La seguridad zero trust (confianza cero) es un modelo de seguridad de datos propuesto1 en 2010 por Forrester Research, que se puede resumir con el lema “nunca confíes, siempre verifica”. Bajo este modelo, en tu infraestructura de TI no existen interfaces, redes, dispositivos y usuarios confiables o no confiables. Cada elemento es sospechoso hasta que se demuestre lo contrario.
Todos y cada uno de los accesos a un sistema deben validarse constantemente: los usuarios y las cargas de trabajo deben tener solo los privilegios mínimos necesarios para completar una tarea y debe usarse microsegmentación para limitar el acceso a los recursos.
En resumen, “la confianza no es un concepto que deba aplicarse a usuarios, paquetes, tráfico de red o datos”, afirma Forrester Research en su introducción al concepto.
El enfoque en la autenticación continua hace que zero trust se confunda comúnmente con un tipo de firewall. Algo comprensible, ya que los firewalls son, desde hace más de 30 años, la principal herramienta con la que cuentan los profesionales de la seguridad para proteger sus sistemas.
Pero el control de acceso es solo uno de los muchos campos de acción de la seguridad zero trust. El concepto va mucho más allá de las redes y puede (y debe) aplicarse a otros aspectos de tu operación como datos, usuarios, dispositivos, cargas de trabajo y más. El control de acceso a los datos es uno de los más importantes, pues cada vez más estos son el objetivo de los ciberdelincuentes.
El valor de los datos
Una violación de datos puede dañar a tu organización de muchas maneras. En primer lugar, está el daño a la imagen de la marca: los clientes, socios y proveedores confían en que tu empresa hará todo lo posible para proteger la información que se comparte. La violación de datos representa una ruptura de esa confianza, que puede conducir a la pérdida de clientes, suspensión de contratos y término de sociedades.
Además, los datos operativos, como los planes comerciales, las estrategias de marketing o las listas de clientes, pueden utilizarse como moneda de cambio para la extorsión.
Ya los datos del usuario se pueden utilizar de otras varias maneras.
Información como números de tarjetas de crédito puede ser utilizada para realizar compras fraudulentas. Incluso datos aparentemente inocuos, como nombres, fechas de nacimiento y direcciones de correo electrónico son valiosos, ya que se pueden cruzar con la información que se encuentre en otras violaciones de datos para crear un perfil bastante completo de un usuario, lo que puede dar lugar a ataques más graves, como por ejemplo el robo de identidad.
Toda violación de datos tiene un costo, que incluye gastos operativos para analizar y reparar la falla que permitió que esta ocurriera, mitigar el impacto y reparar el daño de los usuarios afectados, entre otros factores. Con la promulgación de legislación dirigida a la protección de datos y la privacidad, como la GPDR en Europa y la LGPD en Brasil, este costo está aumentando.
Un informe de IBM de 2022 llamado Cost of a Data Breach Report2(Costo de un informe de violación de datos) estimó que el costo promedio de una violación de datos fue de 164 USD por registro de información de identificación personal (PII, Personally Identifiable Information).
Además, cuando ocurre una violación, esta no suele abarcar pocos registros.
Para hacernos una idea de la escala: en agosto de 2021 una violación de datos en la operadora telefónica estadounidense T-Mobile expuso3 datos de 76,6 millones de clientes. Esto resultó en un pago de 350 MUSD en compensación a las víctimas y más 150 MUSD para mejorar las medidas de protección de datos. Y el problema no terminó aquí, pues aún así, en enero de 2023 la empresa fue víctima de una nueva violación4, esta vez exponiendo datos de 37 millones de clientes.
Cómo Zero Trust protege tus datos
La restricción de privilegios de acceso y la microsegmentación son algunas de las características de zero trust que ayudan a prevenir la fuga de datos, ya que impiden el movimiento lateral durante un ataque.
En una red no segmentada, un atacante puede usar un dispositivo vulnerable no tan relevante, como una impresora o un sistema de teleconferencia, como puerta de enlace para un ataque y una vez dentro de la red encontrar formas de “saltar” a otros dispositivos con mayores privilegios de acceso, hasta llegar a su objetivo.
Por lo tanto, muchas empresas ya emplean la segmentación de redes. Por ejemplo, aislando sistemas críticos, como los que contienen datos de tarjetas de crédito de clientes o procesan nóminas, de aquellos que manejan inventario. Aún así, hay riesgos. Si un atacante obtiene acceso al área donde se encuentran los sistemas críticos, todos ellos y sus datos estarán a su alcance.
La microsegmentación lleva el concepto de división más allá, al nivel de hosts y tareas. Un cliente puede contar con permisos para acceder y escribir registros en una base de datos solo bajo un conjunto de condiciones específicas, haciendo más difícil aún que un delincuente se mueva lateralmente.
La microsegmentación lleva el concepto de división más allá, al nivel de hosts y tareas; también se aplica a los permisos de acceso. Por ejemplo, un cliente puede acceder y escribir registros en una base de datos solo bajo un conjunto de condiciones específicas, en lugar de un permiso general de “acceso a la base de datos” en una aplicación que lo necesite.
Las técnicas de captación de huella digital del dispositivo (fingerprinting) se pueden usar para otorgar acceso solo si la solicitud proviene de un dispositivo en específico o también pueden utilizarse para ello listas de redes basadas en direcciones IP, ASN y geolocalización de usuarios. Así, si un ciberdelincuente intenta acceder a una base de datos con un dispositivo no autorizado o desde una ubicación no aprobada, se le negará el acceso.
Este enfoque ayuda a reducir la superficie de ataque, contener filtraciones rápidamente, proteger aplicaciones críticas e incluso mejorar la conformidad, ya que la separación y el tratamiento diferenciado de los datos considerados sensibles (como la información personal) son un requisito básico en todos los estándares de seguridad.
Conclusión
El modelo zero trust es un enfoque moderno para gestionar los requisitos de seguridad cada vez más complejos de las redes empresariales. No es un producto, sino un proceso.
Para obtener más información sobre cómo Azion puede fortalecer tu infraestructura y ayudarte a comenzar a implementar un modelo de seguridad zero trust, comunícate con nuestros expertos.
Referencias
1 No More Chewy Centers: The Zero Trust Model Of Information Security
2 Cost of a data breach 2022
3 Deadline Passes on T-Mobile’s $350 Million Settlement Days After Another Data Breach
4 T-Mobile data breach exposes about 37 mln accounts