Zero Trust ¿Quién le pone el cascabel al gato?

Si lo analizamos desde una perspectiva actual, esta fábula se parece mucho a un patrón de comportamiento que se produce de manera repetitiva a la hora de determinar cómo han de resolverse problemáticas que afectan a colectivos.

Este contenido salió publicado en el número de diciembre de 2020 de la revista IT Digital Secutity. Descárgatela.

¿Qué sucede cuando dentro de un colectivo, para resolver un problema común, se plantea una solución aparentemente buena pero imposible de alcanzar? El auténtico problema real llega cuando todos dan por buena una solución, que de alcanzarse es francamente buena, pero que desde el punto de vista operativo es simplemente imposible de lograr. Según va pasando el tiempo el colectivo va entrando en una especie de melancolía en la que nadie consigue explicarse cómo no pueden alcanzar la solución que han ideado.

En ese momento tienes dos problemas: el que tenías originalmente, que no has empezado a resolver, y el nuevo que es convencer a un colectivo de que el esfuerzo que están haciendo es inútil porque la estrategia utilizada no es la adecuada.

Este tipo de dinámicas se producen especialmente cuando se dan modelos de relación de adversarios, como las que tenemos en ciberseguridad entre atacantes y víctimas. Cualquier solución que unos piensen, los de enfrente se esforzarán en superarla.

ZTA. Sólo otro modelo más que intenta resolver este problema.

Los modelos Zero Trust vienen a plantearnos soluciones radicalmente distintas a los mismos problemas de seguridad que llevamos intentando evitar los últimos 35 años. ¿Por qué sabemos que necesitamos aproximaciones radicalmente distintas a las actuales? Porque las que estamos utilizando ahora no están funcionando. Sólo hay que leer la prensa para ver que el número de incidentes y su impacto no para de crecer. La opinión generalizada es que lejos de mejorar, estamos en una espiral en caída libre.

El NIST ha sacado recientemente (agosto 2020) la primera versión final del “NIST Special Publication 800-207. Zero Trust Architecture”. Es una apuesta decidida del NIST y de la Cybersecurity & Infrastructure Security Agency del Departamento de Homeland Security de USA por forzar a todas las agencias que dependen de la Administración Federal a evolucionar hacia modelos Zero Trust.

¿En qué están basados los modelos Zero Trust? En que no puede haber ningún tipo de comunicación entre dos programas, entre dos máquinas o entre dos usuarios que no esté expresamente aprobado en el momento en el que se produce.

¿Por qué Zero Trust es una aproximación radicalmente distinta? Porque la forma actual de diseñar los sistemas de información, las comunicaciones y las tecnologías es que hay zonas de confianza. Si dos aplicaciones, si dos máquinas están dentro de una zona de confianza pueden acceder la una a la otra relajando mucho los mecanismos de control. Con los modelos Zero Trust desaparecen las zonas de confianza.

Las Zero Trust Architectures (ZTA) son por ende arquitecturas tecnológicas diseñadas siguiendo los principios Zero Trust.

Empresas reales con personas reales

¿Por qué podría funcionar este nuevo paradigma? Uno de los aspecto que más me hace pensar que puede ser el siguiente gran modelo de seguridad es que está pensado para que funcione en “empresas reales”. En las “empresas reales” las personas de distintos departamentos de informática colaboran muy poco entre sí, cuando no mantienen posiciones de enfrentamiento permanente entre ellos. Además, esta falta de alineamiento de objetivos entre personas y colectivos de las empresas es un tipo de comportamiento fractal. Se produce de manera recursiva en todos los niveles y tamaños de grupos humanos.

Cuantas más campañas del tipo “¡Somos un equipo!!!” observo en las empresas más pienso que sus departamentos internos están completamente enfrentados.

¿Por qué se produce esta falta de sintonía entre los departamentos de las empresas? Supongo que los antropólogos tienen mucho que decir al respecto. Cuanto más veo documentales de chimpancés con sus luchas de castas, guerras territoriales y posicionamientos en sus jerarquías, más entiendo las dinámicas internas de las empresas.

Son muy clarificadores. ¿Qué tiene que ver Zero Trust con la falta de colaboración entre departamentos? Los modelos Zero Trust parecen estar pensados no sólo para que se puedan crear arquitecturas tecnológicas de confianza cero, sino para que sean diseñadas, implementadas y gestionadas por personas que entre ellos van a tener “Colaboración Cero”. Parecen estar pensadas para que puedan generar un avance muy importante en materia de seguridad dentro de “empresas reales” donde los niveles de colaboración interdepartamentales son escasos y puntuales.

Es la primera vez que veo un modelo de ciberseguridad que, naciendo de una organización de estandarización, no supone que todo el mundo en la empresa va a dejar todas sus tareas diarias y cogidos de mano todas las mañanas, cantando canciones dominicales, van a dedicar todos sus esfuerzos a implantar interminables listas de controles de seguridad.

En las “empresas reales” todas las áreas técnicas tienen una presión enorme por hacer que los sistemas funcionen todos los días, todos los minutos, todos los segundos, lo hagan bien y cada vez con menos presupuesto y menos personal. Y las Áreas de Negocio no se escapan a esta presión. Tienen que conseguir, por ejemplo, que la rotación diaria de personal en los Contact Centers se haga rápido a pesar de sus usuarios y sus contraseñas.

En las “empresa reales” todo el mundo tiene mucho que hacer y mucha presión para cumplir los objetivos que le ponen a cada uno, como para estar dedicándole ni un minuto a estas zarandajas de la Cyber. Lo normal es que piensen ¡Que se encarguen l@s chic@s de Cyber!!! ¡Que para eso les pagan!!!

¿Por qué puede ser una solución el concepto Zero Trust?

En los siguientes artículos iremos desgranando las virtudes de los modelos Zero Trust. Lo de no confiar en nada ni en nadie parece un poco paranoico, pero es tan fácil de construir técnicamente que es muy difícil explicar a los Comités de Dirección de las empresas cómo es que no lo tenemos ya todos completamente instalado. La respuesta es políticamente incorrecta y nadie va a darla: “No lo hemos hecho ya porque no nos “ponemos de acuerdo” dentro de la empresa”.

Creo que una imagen vale más que mil palabras. Voy a utilizar dos ejemplos reales de dos empresas que han tenido sendos incidentes de ransomware durante esta pandemia para explicar el modelo y algunos de los principios Zero Trust.

Primer ejemplo: Accesos externos basados en usuario y contraseña.

En el modelo Zero Trust das por sentado que todos nuestros usuarios y contraseñas, nuestras direcciones de correo, nuestros números de tarjetas, nuestros PINes… se pueden comprar en el mercado negro.

Ningún mecanismo de acceso externo a la organización debería estar basado en usuario y contraseña, ya que estas se pueden adquirir fácilmente en el mercado negro.

Los grupos de delincuencia organizada están escaneando permanentemente todo el perímetro externo de las organizaciones buscando accesos abierto tipo VPN o RDP que estén habilitados con usuario y contraseña.

Si tu empresa tiene un acceso externo al que puedas entrar con usuario y contraseña, puedes tener la garantía (casi absoluta) que vas a tener un incidente de ransomware en breve. ¿Por qué? Muy fácil: la probabilidad que un atacante pueda comprar algún usuario y contraseña tuyo es muy alta y la probabilidad de que tengas parcheados TODOS los sistemas internos a las últimas vulnerabilidades conocidas con algún exploit disponible es CERO!!!

Conclusión: Si tienes expuestas conexiones (VPN, RDP…) con usuario y contraseña vas a tener un ransomware próximamante.

Después de tener el incidente la Alta Dirección va a preguntar si el problema era conocido. La respuesta suele ser que sí. Que el departamento de Seguridad lo conocía. La siguiente pregunta de la Dirección es evidente: ¿Por qué no se había corregido ya? Las respuestas serán variopintas, pero el fondo de todas es el mismo: “No nos hemos puesto de acuerdo los departamentos internos para hacerlo”. Muchas veces nadie se atreverá a decirlo.

Segundo ejemplo: Hemos tenido un ransomware y sólo se han salvado los PCs que estaban en teletrabajo.

Uno de los patrones repetitivos en los incidentes de ransomware durante la pandemia es que los PCs que estaban en teletrabajo no son cifrados en el ataque. Este tipo de comportamiento, si bien era conocido por los expertos, nunca se había evidenciado antes ante la Alta Dirección de las empresas, ya que el número de PCs en teletrabajo era infinitamente menor.

La causa es obvia para los expertos en Cyber. La probabilidad de que un ataque de ransomware se propague desde el interior de una empresa a sus PCs que están en teletrabajo es menor que a los PCs internos. La razón es que las empresas se protegen habitualmente de sus PCs cuando estos están en teletrabajo, utilizando  lgún cortafuegos o IPs. Esta protección usualmente es bidireccional. Los PCs que están en teletrabajo han quedado protegidos accidentalmente del ransomware que se ha propagado desde el interior de la organización.

Llegado este punto la pregunta de la Dirección es evidente ¿Por qué no tenemos a todos los PCs como si estuvieran en Teletrabajo? Como en el ejemplo anterior, las respuestas de los Departamentos de Seguridad a sus Direcciones serán variopintas. Incluso es posible que algunos indiquen que es imposible, que es muy caro de mantener o que generaría incomodidades para los usuarios. Los que nos dedicamos a este oficio sabemos que nada de eso es cierto. Como en el ejemplo anterior la única respuesta honesta es que “No nos hemos puesto de acuerdo los departamentos internos para hacerlo”.

¿Cómo se diseñan arquitecturas “basadas en principios”?

Zero Trust es una forma de diseñar la ciberseguridad basada en principios, no en guías de implantación. Se van haciendo diseños arquitectónicos que se “someten” a la validación de los principios. De esta manera se debe verificar, por ejemplo, que una arquitectura técnica concreta impide el acceso a la organización desde el exterior de la misma utilizando simplemente un usuario y contraseña.

Para evolucionar nuestras arquitecturas actuales a modelos Zero Trust no es necesario hacer más inversiones en tecnologías de seguridad. Habitualmente con las que ya tenemos son suficientes. Hay que usarlas de otra manera y empezar a configurar todas las tecnologías (no sólo las de seguridad) de manera que cumplan los principios Zero Trust.

Estos son los dos mayores inhibidores para la implantación de Arquitecturas Zero Trust:

1. Los fabricantes/proveedores de seguridad no tienen ningún interés en recomendarte que no compres más cacharrería de Cyber. Supongo que esto no hay que explicarlo.

2. Los departamentos técnicos (no de seguridad) tienen que trabajar muy duro y durante mucho tiempo para implementar Arquitecturas Zero Trust. Sirva como ejemplo el esfuerzo que tienen que hacer los Departamentos de Comunicaciones y de Microinformática si, como describíamos en un ejemplo anterior, quieres que los

PCs no puedan verse entre ellos, para reducir drásticamente la probabilidad de que puedan propagarse un malware.

Para evolucionar hacia arquitecturas de confianza cero no necesitas comprar más tecnologías. No hay que hacer más inversiones. Sólo hay que usar de otra manera las que ya estamos haciendo. ¿Vamos a conseguir solucionar un problema en el que todos los fabricantes/proveedores actuales pierden y en el que las áreas técnicas y de negocio de las empresa tienen que dedicarle mucho tiempo y esfuerzo en objetivos que no son los suyos?

¿Quién le pone el cascabel al gato? Ahí queda la pregunta. Profundizaremos en los principios Zero Trust en próximos artículos.

Santiago Moral Rubio, VP de Innovación y Ciberseguridad de OpenSpring y codirector y uno de los fundadores del Instituto DCNC Sciences de la Universidad Rey Juan Carlos