Modelo de Confianza Cero (Zero Trust Model) para la seguridad en red

En seguridad informática, el Modelo de Confianza Cero simplifica el modo en el que se conceptualiza la función, partiendo de la base de que ya no pueden existir interfaces, aplicaciones, tráfico, redes o usuarios “de confianza”. Toma el modelo anterior – “confiar, pero verificar” – y le da la vuelta, porque a raíz de algunos incidentes recientes, ha quedado patente que cuando una organización confía, no verifica [6].

El modelo establece los siguientes requisitos [6]:

1. El acceso a todos los recursos debe hacerse de manera segura.
2. El control de accesos debe establecerse conforme al principio de “necesidad de conocer”, aplicándolo de manera estricta.
3. Los sistemas deben verificar, nunca confiar.
4. Deberá inspeccionarse, registrarse y revisarse todo el tráfico.
5. Los sistemas deben estar diseñados de dentro hacia fuera, en lugar de fuera hacia dentro.
6. Zero-trust model key concepts.

Conceptos clave del modelo de confianza cer

De ataques “fuera-hacia dentro” a “dentro-hacia fuera”

Según un informe de Forrester Research, los profesionales de la seguridad informática necesitan modificar algunos de sus planteamientos tradicionales en la lucha contra los ciberataques. Estos profesionales hacen hincapié en la necesidad de reforzar el perímetro de la red, según el informe. Pero, a tenor de cómo están evolucionando algunas amenazas – como el uso indebido de contraseñas de empleados y ataques discrecionales – los ejecutivos tienen que comenzar a poner el foco sobre sus redes internas. Según el modelo de seguridad de confianza cero, las empresas deben comenzar a analizar los accesos de sus empleados y el tráfico interno de sus redes. Una de las recomendaciones clave para las empresas del informe de Forrester es la restricción máxima de los privilegios que otorgan a sus empleados. También pone de relieve la importancia de analizar registros y de incrementar el uso de herramientas para inspeccionar el contenido real, o paquetes de datos, del tráfico interno [1].

Los equipos dentro de las grandes corporaciones, con y sin apoyo de los equipos de los departamentos informáticos, están comenzando a adoptar nuevas tecnologías en su lucha constante por incrementar la eficiencia y la eficacia de las empresas y sus empleados. Entre estas tecnologías se incluye la virtualización, la computación en la nube, la convergencia de redes de datos, voz y video, aplicaciones web 2.0, redes sociales, smartphones y tablets. Además, el incremento del porcentaje de trabajadores remotos y móviles socava la efectividad de los controles físicos de perímetro.

La principal estrategia de los ataques ha pasado de ser de “fuera hacia dentro” a “dentro hacia fuera”. Anteriormente, la mayoría de los ataques consistían en acciones dirigidas a penetrar directamente en la empresa a nivel red a través de puertos abiertos y el aprovechamiento de vulnerabilidades de los sistemas operativos. Esta metodología de ataque es la que se conoce como “outside-in” o de “fuera hacia dentro”. En los ataques “inside out” o de “dentro hacia fuera”, son los usuarios dentro de la red los que se exponen al visitar páginas web externas, acciones que pueden ser tan susceptibles de ataques como las de cualquier usuario al acceder a internet desde casa [5].

Recomendaciones de confianza cero

1. Actualizar la seguridad de red con firewalls de última generación.
2. Utilizar un “sandbox” o entorno seguro para detectar amenazas ocultas en archivos.
3. Establecer enclaves protegidos para controlar el acceso de los usuarios a aplicaciones y recursos.
4. Utilizar un servicio de email protegido especializado antiphising.
5. Utilizar inteligencia frente a amenazas para priorizar la corrección de vulnerabilidades.
6. Analizar registros mediante algoritmos avanzados de aprendizaje automático (machine learning) para detectar usuarios comprometidos o maliciosos.
7. Implementar un sistema de gestión de incidencias para minimizar el impacto de incidencias individuales.
8. Implantación de un gestor de servicios en la nube para descubrir, analizar, y controlar equipos informáticos invisibles, englobados bajo el concepto de shadow IT (esto es equipos dentro de la red corporativa no soportados por el departamento de TI).
9. Monitorización de las prácticas de seguridad de los partners utilizando un servicio basado en la red.
10. Implantar sistemas de gestión de claves y certificados corporativos.
11. Implantar un servicio de respaldo, mitigación de DDoS basado en la nube.
12. Desplegar un control de detección de malware de punto final no basado en firmas.

Pero, por encima de todo, la clave del Modelo de Confianza Cero de seguridad informática es “verificar, nunca confiar”.

Ahmed Banafa, Autor de los libros:

Secure and Smart Internet of Things (IoT) Using Blockchain and AI

Blockchain Technology and Applications

Referencias 

[1] http://www.securitymanagement.com/article/zero-trust-model-007894

[2] http://www.securityweek.com/steps-implementing-zero-trust-network

[3] http://spyders.ca/reduce-risk-by-adopting-a-zero-trust-modelapproach-to-security/

[4] http://www.cymbel.com/zero-trust-recommendations/

[5] http://csrc.nist.gov/cyberframework/rfi_comments/040813_forrester_research.pdf

[6] https://go.forrester.com/research/