Cada vez más empresas permiten el teletrabajo. Las aplicaciones se están moviendo a la nube. Todos estos factores están rompiendo el perímetro de seguridad de la empresa, haciendo obsoletos los enfoques tradicionales de seguridad y allanando el camino para los enfoques de confianza cero o Zero Trust.
¿Qué es Zero Trust?
Zero Trust es una arquitectura basada en software que elimina los niveles de confianza de los accesos a la red tanto por usuarios como por dispositivos.
Las conexiones LAN o WAN tanto dentro como fuera de la red, deberán ser autenticadas de forma constante para permitir el acceso o continuidad de las operaciones.
ZTNA , exige a los usuarios identificarse cada cierto tiempo o en diferentes procesos para garantizar la autenticidad del mismo.
Bajo el concepto anterior, también se configuran todos los dispositivos que se conectan a la red, antes y durante cualquier operación o uso.
¿Por qué ahora es el momento de Zero Trust en la ciberseguridad?
No es de extrañar que la alta dirección esté sujeta a la presión de proteger los sistemas y datos empresariales. Tanto los inversionistas como los clientes y consumidores insisten en contar con una mejor seguridad y privacidad de los datos. Los problemas se complican aún más cuando algunos datos y aplicaciones se encuentran en las premisas de la organización y otros en la nube, y todos, desde los empleados hasta los contratistas y socios, acceden a esas aplicaciones utilizando una variedad de dispositivos desde múltiples ubicaciones.
Al mismo tiempo, las regulaciones gubernamentales y de industria están aumentando los requisitos para proteger los datos importantes. Zero Trust puede ayudar a demostrar el cumplimiento con estas regulaciones.
9 pasos para una arquitectura de confianza cero
Si bien el establecimiento de una arquitectura de confianza cero puede mejorar la seguridad, muchas organizaciones encuentran desafiante la implementación. Comprender los pasos involucrados puede ayudar a avanzar hacia un enfoque de seguridad de confianza cero.
Adoptar un enfoque de extracción y reemplazo no es el camino más probable, pero algunas organizaciones pueden hacerlo. Este enfoque requiere:
1. Identifique a los usuarios que necesitan acceso a la red
El primer paso es comprender quién necesita acceder a sus recursos digitales. Sin embargo, también debe hacer algo más que obtener una lista de empleados. Al identificar a los usuarios, debe tener en cuenta:
Empleados
Contratistas externos
Cuentas de servicio
Automatizaciones de procesos robóticos (RPA / bots)
Funciones sin servidor
Además, debe tener en cuenta los usuarios con acceso privilegiado, que incluyen:
Administradores del sistema
Desarrolladores
2. Identifique los dispositivos que necesitan acceso a la red.
Zero Trust también rastrea todos los dispositivos que se conectan a su red. El mayor uso de dispositivos de Internet de las cosas (IoT) ha hecho que la identificación y catalogación de dispositivos sea más desafiante.
Al crear el catálogo de activos, debe incluir:
Estaciones de trabajo (computadoras portátiles / de escritorio)
Teléfonos inteligentes
Tabletas
Dispositivos de IoT (impresoras, cámaras de seguridad inteligentes)
Interruptores
Enrutadores
Modems
Como parte de una arquitectura de confianza cero, debe mantener configuraciones seguras para todos estos dispositivos.
3. Identificar los artefactos digitales que necesitan acceso a la red.
Cada vez más, las aplicaciones y otros artefactos digitales no tangibles requieren acceso a la red. A medida que elabora su lista, debe considerar:
Cuentas de usuario
Aplicaciones
Certificados digitales
Otro desafío aquí es la TI en la sombra, tecnologías que se conectan a la red que su equipo de TI puede no conocer. Como parte de su migración de confianza cero, se recomienda participar en un escaneo de red para asegurarse de conocer todos los puntos de acceso.
4. Identificar procesos clave
Una vez que conozca todas las aplicaciones que utiliza su empresa, debe definir las más críticas para sus operaciones. Estos procesos comerciales clave lo ayudan a establecer políticas de acceso a los recursos.
Los procesos de bajo riesgo suelen ser buenos candidatos para la primera ronda de migración porque moverlos no provocará un tiempo de inactividad empresarial crítico.
Mientras tanto, los recursos críticos basados en la nube son buenos candidatos en general porque colocar controles alrededor de ellos protege los datos y servicios confidenciales. Sin embargo, al poner los controles en torno a estos procesos, debe participar en un análisis de costo-beneficio que incluya:
Actuación
Experiencia de usuario
Impacto en los flujos de trabajo
5. Establecer políticas
Con todos los usuarios, tecnologías y procesos comerciales clave identificados, ahora comienza a establecer políticas .
Para cada activo o flujo de trabajo, debe identificar:
Recursos ascendentes (cosas que fluyen hacia el activo actual, como administración de identificaciones, sistemas, bases de datos)
Recursos posteriores (cosas que fluyen del activo actual, como registros de eventos)
Entidades (conexiones al activo, como cuentas de usuarios y servicios)
6. Identificar soluciones
La solución que elija debe basarse en los pasos anteriores porque las diferentes herramientas permiten diferentes objetivos comerciales. Según NIST, las preguntas principales que debe hacerse al tomar la decisión son:
¿La solución requiere que los componentes se instalen en el activo del cliente?
¿Funciona la solución cuando los recursos del proceso empresarial existen completamente en las instalaciones de la empresa?
¿La solución proporciona un medio para registrar interacciones para su análisis?
¿La solución proporciona un amplio soporte para diferentes aplicaciones, servicios y protocolos?
¿La solución requiere cambios en el comportamiento del sujeto?
7. Implementar la solución
La implementación de su solución debe realizarse en etapas para mitigar el riesgo de interrupción del negocio. Esta primera etapa debe considerar:
Operando inicialmente en modo de observación y monitoreo
Asegurarse de que todas las cuentas de usuarios privilegiados tengan acceso
Asegurarse de que el acceso a la cuenta de todos los usuarios privilegiados esté adecuadamente limitado
Revisar el acceso para asegurarse de que nadie tenga más acceso del que necesita
8. Controles del monitor
Una vez que sepa que todo funciona según lo previsto para la primera ronda de procesos migrados, debe participar en un período de supervisión. Durante este tiempo, debe asegurarse de establecer líneas de base para actividades como:
Solicitudes de acceso a recursos y activos
Comportamientos
Patrones de comunicación
Además, desea monitorear la funcionalidad básica de la política como:
Denegar solicitudes que fallan en MFA
Denegar solicitudes de direcciones IP controladas o subvertidas por atacantes conocidos
Otorgar acceso para la mayoría de las demás solicitudes
Asegurarse de que se generen todos los registros necesarios
9. Ampliar la arquitectura Zero Trust
Con la primera fase de la migración completa, ahora tiene líneas de base y registros que deberían brindarle confianza sobre los flujos de trabajo y la supervisión. Sin embargo, cada fase de la implementación debe seguir un proceso similar en el que se implementa, se revisa, se supervisa, se establecen líneas de base y se garantiza la documentación.
Aunque hay unos pocos bloques tecnológicos requeridos, llegar a la confianza cero es un viaje no lineal y requiere que los equipos de tecnología de la información y la comunicación se encarguen de la arquitectura y la construcción, a fin de abordar todos los diferentes vectores de ataque en un espacio de trabajo digital. ¿Te ayudamos con la seguridad de tu empresa? Visita nuestra página https://www.vialynk.com/securityscorecard y solicita una demostración.