Zero Trust es una de las principales tendencias del sector tecnológico en la actualidad, pero también uno de los enfoques relacionados con la ciberseguridad peor comprendidos. Con frecuencia, la confianza cero se equipara con una tecnología específica, como el perímetro definido por software (SDP), o con un segmento del mercado, como la gestión de accesos e identidades (idAM).
Con Zero Trust estamos viendo las mismas prisas que vivimos con la llegada de la computación en la nube, y que dio lugar al fenómeno del “cloud wahing”, es decir, el ansia de muchos proveedores por sumarse a esta propuesta etiquetando sus productos y servicios como “cloud”, sin que realmente lo fueran.
La seguridad Zero Trust es, en esencia, una mentalidad a partir de la cual surgen técnicas y tácticas y se aprovechan tecnologías específicas, que luego se pueden aplicar para abordar un amplio espectro de amenazas. Esta mentalidad abarca un conjunto de suposiciones, y los usos de las diferentes tecnologías son consecuencia de las mismas.
Implementar una tecnología como SDP o de seguridad API no significa que se haya adoptado una estrategia de confianza cero. No hay un único producto que garantice que la empresa es “zero trust compliant” y, por lo tanto, inmune a ataques, infracciones o vulnerabilidades.
Lo que es cierto es que la seguridad de SDP y de API pueden, de hecho, convertirse en una respuesta táctica adecuada a la hora de adoptar un enfoque de confianza cero. Pero para llegar a este punto es imprescindible comenzar planteándose una serie de suposiciones básicas y luego decidir cuáles son las mejores herramientas y tecnologías que se derivan de ellas.
En esta realidad, la protección contra bots, la seguridad web y la seguridad de API se han convertido en una parte importante dentro de la caja de herramientas de Zero Trust.
- Un enfoque zero trust supone compromiso. Los usuarios legítimos con acceso autorizado pueden verse comprometidos y, por lo tanto, convertirse en una amenaza no intencional y muy costosa. Los atacantes saben que, por lo general, resulta más fácil introducirse a través de una ventana (usuarios) que por la puerta principal (red corporativa). Si los usuarios están constantemente bajo la amenaza de verse comprometidos, asumir que ya lo están es el camino más seguro posible. Las acciones que pueden llevarse a cabo desde un portátil o un móvil corporativo comprometidos son múltiples, incluyendo el lanzamiento de ataques contra sitios web, aplicaciones que comparten malware y ransomware o la explotación de vulnerabilidades para obtener acceso. Debido a que las API están aumentando la forma en que las aplicaciones móviles y web acceden a las aplicaciones y sistemas corporativos, es importante inspeccionar el contenido que proviene incluso de usuarios autenticados y legítimos para determinar si es malicioso o no. Eso hace que la seguridad web y API sea una opción lógica para implementar la protección contra este riesgo.
- En Zero Trust, las credenciales no son suficientes. Con independencia de si un usuario es un humano, una máquina o un software, un enfoque Zero Trust asume que, incluso si se presentan credenciales legítimas, es posible que el usuario real no sea legítimo. El relleno de credenciales, que saca partido a las credenciales legítimas pero robadas, sigue siendo una preocupación constante. Es bien sabido que todos los días se filtran o roban alrededor de un millón de nombres de usuario y contraseñas. En este sentido, un informe de F5 señala que entre el 0,5 y el 2% de las credenciales violadas resultarán válidas en un sitio web o una aplicación móvil que sea objetivo de los ciberdelincuentes. Por lo tanto, un enfoque de confianza cero debe tomar medidas para verificar no solo las credenciales, sino también la identidad misma del usuario. Esto incluye descubrir bots que se hacen pasar por usuarios legítimos. Tácticamente, esto lleva a que la protección contra bots desempeña un papel fundamental dentro de una aproximación de confianza cero.
- Zero Trust asume que el cambio es constante. En una estrategia de confianza cero se rechaza la suposición de que una vez verificado el usuario y autorizado el acceso a un recurso, no hay riesgo. Se considera que cada operación conlleva un riesgo y por ello se evalúa con respecto al contenido que conlleva y al usuario que la envía. Después de todo, el secuestro de sesión es un método de ataque real. La vigilancia continua es (o debería ser) el lema de Zero Trust, lo que implica estar constantemente atento a contenidos maliciosos. Esto hace que la seguridad web y API, junto con la detección de bots, se conviertan en componentes críticos dentro de un enfoque de confianza cero.
Ahora bien, esta estrategia también conduce a otras herramientas y tecnologías, como SDP, control de identidades y acceso, firewalls de red y CASB, así como a una serie de soluciones dirigidas a mitigar los riesgos conocidos que surgen de forma natural de esas suposiciones. Pero no vale de nada implementar solo una de ellas y dar por finalizado el plan de confianza cero. Eso sería como tomar paracetamol para tratar una pierna rota. Puede ayudar con el dolor, pero no soluciona el problema.
Zero Trust no es una estrategia perfecta. Ningún método lo es. Sin embargo, permite llegar más lejos a la hora de abordar, de forma más rápida y con más éxito, nuevos ataques emergentes.
Lori MacVittie, ingeniera distinguida en F5
