'Con el modelo Zero Trust no hay que preocuparse de fallos según su origen sino su objetivo' (Panda Security)

El concepto Zero Trust, o Confianza Cero, no es nuevo. Fue acuñado por John Kindervag, de Forrester, en 2010 y suponía un avance frente al modelo Trust but Verify, en el que todo lo que se encontraba dentro del perímetro era considerado seguro por defecto. El modelo de Kindervag se basa en que las empresas no deben confiar por defecto en nada ni en nadie, y por tanto todo debe ser adecuadamente autenticado en cada momento. Aunque inicialmente el modelo se dirigía principalmente al nivel de aplicación, hoy Zero Trust se promulga como una modelo de seguridad global.

Este cuestionario forma parte del tema de portada del número de julio de IT Digital Security, disponible desde este enlace.

Jose Luis Paletti, Presales Engineer de Panda Security, responde a algunas preguntas sobre el modelo Zero Trust y su renovada adopción entre las empresas.

¿Qué propugna este modelo y por qué cree que es ahora cuando se está haciendo más popular?

Cada vez tenemos más opciones de conectividad entre nosotros. Sin ir más lejos, el ejemplo más reciente lo tenemos en las redes de conexión 5G. Este crecimiento está provocando que los expertos de seguridad se tengan que replantear los modelos tradicionales de ciberseguridad, hasta hace poco enfocados en generar un entorno cerrado que se protegía ante las potenciales amenazas externas.

Los límites que separan la intranet y la extranet son difusos, de ahí que esa actuación más clásica ya no funcione. Esa difusión ha propiciado un ecosistema muy amplio en el que la mejor decisión que puede tomar la empresa es no fiarse de nadie ni de nada, bajo ninguna circunstancia.

En este contexto de desconfianza o de “confianza cero” que beneficia a la empresa para mantenerse siempre alerta y estar siempre preparada, el modelo Zero Trust (ZT) lo que hace es, precisamente, propugnar la desconfianza de todo, independientemente del origen. ¿Su objetivo? Que la empresa sea quien controle quién se conecta a la red, por qué, cuándo y hasta cuándo, de qué forma y a qué información puede acceder.

¿Cuáles son sus beneficios?

La aplicación del modelo ZT implica que cualquier dispositivo que trate de acceder al sistema o los propios cambios de ubicación de dichos dispositivos, necesitan de una nueva verificación de acceso. Además, con este modelo se controlan las acciones del dispositivo desde el mismo momento en el que accede a la red para poder detectar un comportamiento inusual.

El control de la información es esencial, ya que desvía la atención del modelo ZT de los puntos más tradicionales y la centra en el objetivo final de cualquier brecha en la seguridad. Esto da una ventaja esencial y es que ya no hay que preocuparse de fallos según su origen sino su objetivo, por lo que ya no cabe esperar la sorpresa y las compañías pueden prepararse para cualquier cosa, porque controlan la meta del ataque y tienen establecida una respuesta ágil y óptima para que no se produzcan fugas de información.

¿Cómo funciona? ¿Cuáles son sus principios?

El modelo ZT está centrado en la información: la organización debe velar por un control exhaustivo de autenticación, la administración de identidades, el control de activos y el cifrado. Pero para poder evaluar mejor su implementación en la empresa de manera efectiva, los expertos de la consultora Forrester lo ampliaron el pasado año con un marco extendido: Zero Trust[RC2]  eXtended (ZTX). Este marco aplica los siguientes pilares:

• La red: ¿cómo funciona la tecnología para permitir los principios de aislamiento, segmentación y, en última instancia, seguridad de la red?

• Los datos: ¿cómo se permite la categorización, los esquemas, el aislamiento, el cifrado y el control de los datos?

• Los recursos humanos: ¿cómo se protege a las personas que están utilizando la red y la infraestructura de la empresa? ¿Y cómo se reduce la amenaza que crean los usuarios?

• La carga de trabajo: ¿de qué manera se aseguran áreas tales como las redes en la nube, las aplicaciones y cualquier otra cosa que una empresa u organización utilice para hacer que opere técnicamente?

• La automatización y orquestación: ¿de qué forma la tecnología automatiza y organiza los principios de desconfianza y verificación propios del modelo?

• La visibilidad y el análisis: ¿se proporcionan análisis y puntos de datos útiles? ¿Cómo se eliminan los puntos ciegos del sistema e infraestructura?

Cualquier implementación del modelo ZTX debería abarcar como mínimo tres de estos pilares y, además, debe contar con una API potente que permita su integración.

¿Cree que los responsables de seguridad de las empresas aplican este concepto a la hora de establecer su estructura de ciberseguridad?[AP3] 

La mayor parte de las empresas no cuentan con un modelo Zero Trust como parte de su estrategia en ciberseguridad o no lo están implementando de manera efectiva. El por qué es sencillo: las empresas y los responsables de seguridad que están entre sus filas no comprenden por completo la tecnología tras el sistema, al igual que tampoco terminan de entender los cambios organizativos que deben realizar para implantarlo.

Es importante que las compañías acudan a terceras empresas especialistas en el campo e incorporen las herramientas necesarias para asimilar e implantar el concepto en su estructura de ciberseguridad. Por ejemplo, en Panda Security contamos con Panda Adaptive Defense 360, que ha sido especialmente diseñada para monitorizar toda la actividad, exponiendo cualquier actividad sospechosa, centrándonos en la información a la que van dirigidos los ataques antes incluso de que ocurran. Adaptive Defense 360 cubre este modelo e incluso la mayoría de los pilares del concepto mejorado, Zero Trust eXtended (ZTX) gracias a la mejor combinación de tecnología EPP y EDR. 

¿Cuáles son los retos de aplicar el modelo Zero Trust?

El problema más habitual es que las organizaciones no apliquen el modelo Zero Trust de manera efectiva y se queden en la teoría o solo inicien algunos pasos insuficientes. En ese sentido, el gran reto es que comprendan del todo la tecnología y los cambios organizativos necesarios para ponerlo en práctica. Pero precisamente para hacer frente a ese reto nació el marco extendido ZTX, ya que la aplicación de sus pilares implica una evaluación mucho más precisa de su implementación.