El model de confiança zero guanya força amb experts en seguretat

"Mai confieu; sempre verifiqueu". Sona com el sentit comú, no? Aquest és el lema d'una estratègia anomenada Zero Trust que està guanyant tracció al món de la ciberseguretat. Es tracta d’un departament informàtic que verifiqui tots els usuaris abans d’atorgar privilegis d’accés. La gestió eficaç de l’accés als comptes és més important que mai, amb un 58% de les empreses petites o mitjanes empreses (PIM) que van informar d’incompliments de dades el 2017, segons l’informe d’investigació de dades de Verizon 2018.

El concepte Zero Trust va ser fundat per John Kindervag, antic analista de Forrester Research i ara Field CTO a Palo Alto Networks. "Hem de començar a fer una estratègia real, i això és el que permet la confiança Zero", va dir Kindervag als assistents el 30 d'octubre a la cimera SecurIT Zero Trust de la ciutat de Nova York. Va afegir que la idea de Zero Trust es va originar quan es va asseure i va considerar realment el concepte de confiança i com els agents malintencionats que generalment es beneficien de les empreses que fan confiança no han de ser.

La doctora Chase Cunningham es va convertir en la successora de Kindervag com a analista principal de Forrester en promoure un enfocament de Zero Trust Access. "Zero Trust és el que comporta aquestes dues paraules, que vol dir confiar en res, no confiar en la gestió de contrasenyes, no confiar en les credencials, no confiar en els usuaris i no confiar en la xarxa", va dir Cunningham a PCMag al Zero Trust Cim.

Kindervag va utilitzar l'exemple del servei secret dels Estats Units per il·lustrar sobre com una organització ha de fer un seguiment del que necessita protegir i de qui necessita l'accés. "Supervisen i actualitzen continuament aquests controls perquè puguin controlar el que transita el micro perímetre en qualsevol moment", va dir Kindervag. "Aquest és un mètode de protecció executiva de Zero Trust. És el millor exemple visual del que estem intentant fer a Zero Trust".

Aprenentatges zero de confiança a OPM

Un exemple perfecte de com Zero Trust pot treballar per beneficiar les organitzacions prové de l’antiga CIO del govern federal dels Estats Units. A la Cimera de la confiança de Zero, el doctor Tony Scott, que va ocupar el càrrec de CIO dels Estats Units del 2015 al 2017, va descriure un incompliment important de dades que va tenir lloc a l’Oficina de Gestió del Personal (OPM) dels Estats Units el 2014. L’incompliment es va produir a causa d’un espionatge estranger. en què es va robar informació de fons d’informació personal i informació de seguretat per a 22, 1 milions de persones juntament amb dades d’empremta digital de 5, 6 milions d’individus. Scott va descriure com no només hauria estat necessària una combinació de seguretat física i digital com per evitar aquest incompliment, sinó també una aplicació eficaç de la política Zero Trust.

Quan la gent sol·licitava un lloc de treball a l'OPM, va omplir un complet formulari estàndard (SF) 86 i les dades es guardarien en una cova per guàrdies i tancs armats. "Si fóssiu una entitat estrangera i volguéssiu robar aquesta informació, haureu de trencar aquesta cova a Pennsilvània i passar per davant dels guàrdies armats. Aleshores, haureu de sortir amb càrregues de paper o tenir una màquina Xerox molt ràpida o alguna cosa així. ", Va dir Scott.

"Hauria estat monumental intentar escapar amb 21 milions de registres", va continuar. "Però lentament, a mesura que l'automatització entrava en el procés OPM, comencem a introduir aquestes coses als fitxers d'ordinador en suports magnètics, etc.". Això ens ha fet molt més fàcil robar ". Scott va explicar que l’OPM no va trobar el tipus de seguretat efectiu equivalent que els guàrdies armats quan l’agència va passar digital. Després de l'atac, el Congrés va publicar un informe que demanava una estratègia Zero Trust per protegir aquest tipus d'infraccions en el futur.

"Per combatre les amenaces persistents avançades que busquen comprometre o explotar les xarxes informàtiques del govern federal, les agències haurien de dirigir-se cap a un model de seguretat de la informació i arquitectura informàtica" de "Zero Trust", va indicar l'informe del congrés. L'expresident nord-americà Jason Chaffetz (R-Utah), llavors president del Comitè de Supervisió, també va escriure un missatge sobre Zero Trust en aquell moment, publicat originalment per Federal News Radio. "L'Oficina de Gestió i Pressupostos (OMB) hauria de desenvolupar directrius per als departaments executius i els caps d'agència per implementar eficaçment Zero Trust juntament amb mesures per visualitzar i registrar tot el trànsit de xarxa", va escriure Chaffetz.

Confiança zero en el món real

En un exemple real d’implementació de Zero Trust, Google va desplegar internament una iniciativa anomenada BeyondCorp destinada a traslladar els controls d’accés des del perímetre de xarxa a dispositius i usuaris individuals. Els administradors poden utilitzar BeyondCorp com a forma de crear polítiques de control d'accés granulars per a Google Cloud Platform i Google G Suite basades en l'adreça IP, l'estat de seguretat del dispositiu i la identitat d'un usuari. Una empresa anomenada Luminate proporciona seguretat Zero Trust com a servei basat en BeyondCorp. Luminate Secure Access Cloud autentica els usuaris, valida els dispositius i ofereix un motor que proporciona una puntuació de risc que autoritza l'accés a l'aplicació.

"El nostre objectiu és proporcionar accés de forma segura a qualsevol usuari, des de qualsevol dispositiu, a qualsevol recurs corporatiu independentment del lloc on estigui allotjat, al núvol o a les instal·lacions sense desplegar cap agent al punt final o cap dispositiu com ara xarxes privades virtuals (VPNs), tallafocs o representants al lloc de destinació ", va dir a MichaelMagins, cap de Gestió de productes de Luminate, a PCMag a la Conferència de Protecció d’Identitat Híbrida (HIP) 2018 (HIP2018) de Nova York.

Una de les principals disciplines informàtiques en què Zero Trust guanya traccions ràpides és la gestió de la identitat. Això és probable perquè el 80 per cent dels incompliments són causats per un mal ús de les credencials privilegiades, segons l'informe "Forrester Wave: Privileged Identity Management, Q3 2016". Els sistemes que controlen l’accés autoritzat a un grau més granular poden ajudar a prevenir aquests incidents.

L’espai de gestió de la identitat no és nou, i hi ha una llarga llista d’empreses que ofereixen aquestes solucions, i probablement la més perversa sigui Microsoft i la seva plataforma Active Directory (AD), que està incrustada a l’encara popular sistema operatiu de Windows Server (Sistema operatiu). Tot i això, hi ha una gran quantitat de jugadors més nous que ofereixen no només més funcionalitats que AD, sinó que també poden facilitar i implementar i mantenir la gestió de la identitat. Aquestes empreses inclouen jugadors com Centrify, Idaptive, Okta i SailPoint Technologies.

I si bé els que ja han invertit en Windows Server poden pagar més per la tecnologia que senten que ja han invertit, una arquitectura de gestió de la identitat més profunda i més ben conservada pot suposar grans dividends en incompliments i auditories de compliment frustrats. A més, el cost no és prohibitiu, encara que pot ser significatiu. Per exemple, Centrify Infrastructure Services comença a partir de 22 dòlars al mes per sistema.

Com funciona Zero Trust

"Una de les coses que Zero Trust fa és definir la segmentació de xarxa", va dir Kindervag. La segmentació és un concepte clau tant en la gestió de la xarxa com en la ciberseguretat. Es tracta de dividir una xarxa informàtica en subxarxes, lògica o física, per millorar el rendiment i la seguretat.

Una arquitectura Zero Trust es mou més enllà d’un model de perímetre, que engloba la ubicació física d’una xarxa. Es tracta de "tirar el perímetre cap avall a l'entitat", va dir Cunningham.

"L'entitat podria ser un servidor, un usuari, un dispositiu o un punt d'accés", va dir. "Empentes els controls fins al nivell micro en lloc de pensar que has construït un mur realment alt i que estàs segur". Cunningham va descriure un tallafoc com a part d’un perímetre típic. "És un problema d'enfocament, d'estratègia i el perímetre", va assenyalar. "Les parets altes i la gran cosa: simplement no funcionen".

Per accedir a una xarxa, un antic aspecte de la seguretat era utilitzar routers, segons Danny Kibel, el nou director general d'Idaptive, una companyia de gestió de la identitat que està desconnectant de Centrify. Abans de Zero Trust, les empreses verificarien i després confiarien. Però amb Zero Trust, "sempre comproves, mai confieu", va explicar Kibel.

Idaptive ofereix una plataforma d’accés Next-Gen que inclou l’inici de sessió únic (SSO), l’autenticació adaptativa multifactor (MFA) i la gestió de dispositius mòbils (MDM). Els serveis com Idaptive proporcionen una forma de crear els controls d'accés necessàriament granulars. Podeu subministrar o subministrar en funció de qui necessiti accedir a diverses aplicacions. "Dóna aquesta gran quantitat de capacitat per a l'organització per controlar el seu accés", va dir Kibel. "I això és molt important per a les organitzacions que estem veient, perquè hi ha moltes solucions en termes d'accés no autoritzat."

Kibel va definir l’enfocament d’Idaptive de Zero Trust amb tres passos: verificar l’usuari, verificar el seu dispositiu i només després permetre l’accés a les aplicacions i serveis només per a aquest usuari. "Tenim diversos vectors per valorar el comportament de l'usuari: ubicació, geo-velocitat, hora del dia, hora de la setmana, quin tipus d'aplicació estàs utilitzant i fins i tot en alguns casos com estàs utilitzant aquesta aplicació", va dir Kibel. L’Idaptive supervisa els intents d’inici de sessió amb èxit i no realitzats per veure quan necessita tornar a autentificar l’autenticació o bloquejar un usuari totalment.

El 30 d’octubre, Centrify va introduir un enfocament de ciberseguretat anomenat Zero Trust Privilege en el qual les empreses concedeixen l’accés menys privilegiat necessari i verifiquen qui ho sol·licita. Els quatre passos del procés de privilegi de confiança de Zero inclouen la verificació de l’usuari, mirar el context de la sol·licitud, protegir l’entorn d’administració i atorgar el mínim de privilegi necessari. L'enfocament de Centrify Zero Trust Privilege implica un enfocament gradual per reduir el risc. També aporta una transició de la Gestió d'accés privilegiat privilegiada (PAM), que és un programari que permet a les empreses restringir l'accés a tipus més nous d'entorns com ara plataformes d'emmagatzematge en núvol, projectes de dades grans i fins i tot a projectes avançats de desenvolupament d'aplicacions personalitzades que funcionen en web de qualitat empresarial instal·lacions d’allotjament.

Un model de Zero Trust assumeix que els hackers ja estan accedint a una xarxa, va dir Tim Steinkopf, president de Centrify. Segons Steinkopf, una estratègia per combatre aquesta amenaça seria limitar el moviment lateral i aplicar MFA a tot arreu. "Sempre que algú intenti accedir a un entorn privilegiat, necessiteu immediatament tenir les credencials adequades i l'accés adequat", va dir Steinkopf a PCMag. "La manera de fer complir això és consolidar les identitats i, a continuació, necessiteu el context de la sol·licitud, és a dir, qui, què, quan, per què i on." Després d'això, concedireu només la quantitat d'accés necessari, va dir Steinkopf.

"Esteu prenent el context de l'usuari, en aquest cas pot ser un metge, podria ser una infermera o podria ser una altra persona que intenti accedir a les dades", va dir Dubinsky. "Preneu el context del dispositiu des del qual treballen, adopteu el context del fitxer al qual intenten accedir i, aleshores, heu de prendre una decisió d'accés basada en això".

MFA, Zero Trust i bones pràctiques

Un aspecte clau d’un model de Zero Trust és l’autenticació forta, i que permet múltiples factors d’autenticació és una part d’això, va assenyalar Hed Kovetz, CEO i cofundador de Silverfort, que ofereix solucions MFA. Amb la manca de perímetres a l'era del núvol, hi ha una necessitat més gran d'autenticació que mai. "La capacitat de fer MFA de qualsevol cosa és gairebé un requisit bàsic de Zero Trust i és impossible fer-ho avui perquè Zero Trust prové de la idea que ja no hi ha perímetres", va dir Kovetz a PCMag a HIP2018. "Així que qualsevol cosa es connecta a qualsevol cosa i, en aquesta realitat, no teniu una passarel·la sobre la qual pugueu aplicar el control."

Crestham de Forrester ha exposat una estratègia anomenada Zero Trust eXtended (XTX) per associar les decisions de compra de tecnologia a una estratègia de Zero Trust. "Ens vam fixar en els set punts de control que necessiteu per gestionar un entorn de manera segura", va dir Cunningham. Els set pilars són Automatització i Orquestració, Visibilitat i analítica, càrregues de treball, persones, dades, xarxes i dispositius. Per ser una plataforma ZTX, un sistema o tecnologia tindria tres d’aquests pilars juntament amb les capacitats de la interfície de programació d’aplicacions (API). Diversos proveïdors que ofereixen solucions de seguretat encaixen en diversos pilars del marc. Centrify ofereix productes que s’adrecen a la seguretat de persones i dispositius, Palo Alto Networks i Cisco ofereixen solucions de xarxa i les solucions de l’IBM Security Guardium se centren en la protecció de dades, va assenyalar Cunningham.

Un model de Zero Trust també hauria d’implicar túnels xifrats, un núvol de trànsit i xifratge basat en certificats, va dir Steinkopf. Si envieu dades des d’un iPad per internet, aleshores voleu verificar que el destinatari té dret a accedir, va explicar. Segons Steinkopf, implementar tendències tecnològiques emergents, com ara contenidors i DevOps, pot ajudar a combatre els abusos privilegiats i acreditats També va descriure la computació en núvol com a primera línia d'una estratègia de Zero Trust.

Dubinsky de Luminate està d’acord. Per a les PIME, dirigint-se a una empresa del núvol que proporciona gestió d’identitats o MFA com a servei descarrega aquestes responsabilitats de seguretat a empreses especialitzades en aquesta àrea. "Vostè vol descarregar el màxim possible a empreses i persones responsables de la seva feina de dia", va dir Dubinsky.

El potencial del marc de confiança zero

Tot i que els experts van reconèixer que les empreses recorren cap a un model de Zero Trust, especialment en la gestió de la identitat, alguns no veuen la necessitat de grans canvis en la infraestructura de seguretat per adoptar Zero Trust. "No estic segur que sigui una estratègia que avui voldria adoptar a qualsevol nivell", va dir Sean Pike, vicepresident del programa del grup de productes de seguretat de l'IDC. "No sóc positiu que el càlcul del ROI existeixi en un termini que tingui sentit. Hi ha diversos canvis arquitectònics i problemes de personal que crec que fan que els costos siguin prohibitius com a estratègia".

Tot i això, Pike veu potencial per a Zero Trust en telecomunicacions i IDM. "Crec que hi ha components que es poden adoptar fàcilment avui en dia que no requereixen canvis d'arquitectura a l'engròs; per exemple, la identitat", va dir Pike. "Si bé estan associats, la meva forta sensació és que l'adopció no és necessàriament un pas estratègic cap a Zero Trust, sinó un moviment per abordar les noves maneres de connectar els usuaris i la necessitat d'allunyar-se dels sistemes basats en contrasenyes i millorar la gestió d'accés", segons Pike explicat.

Tot i que Zero Trust es pot interpretar com una mica d'un concepte de màrqueting que repeteix alguns dels principis estàndard de ciberseguretat, com ara no confiar els participants a la vostra xarxa i haver de verificar els usuaris, però serveix com a pla de joc, segons els experts.. "Sóc un gran defensor de Zero Trust, per avançar cap a aquell tipus de mantra singular i estratègic i impulsar-lo dins de l'organització", va dir Cunningham de Forrester.

Les idees de Zero Trust introduïdes per Forrester el 2010 no són noves per a la indústria de la ciberseguretat, va assenyalar John Pescatore, director de Tendències de seguretat emergents del SANS Institute, una organització que proporciona formació i certificació en seguretat. "Aquesta és la definició estàndard de ciberseguretat; intenta que tot sigui segur, segmenti la xarxa i gestioni els privilegis dels usuaris", va dir.

Pescatore va assenyalar que cap a l'any 2004, una organització de seguretat que ja era defectuosa anomenada Fòrum Jericó va introduir idees similars a Forrester sobre "seguretat perimetral" i només va recomanar permetre connexions de confiança. "És una mica com dir:" Mou-te a un lloc que no tingui delinqüents i tingui un clima perfecte, i que no necessitis ni un sostre ni portes a casa ", va dir Pescatore. "Zero Trust com a mínim va retornar al sentit comú de segmentar; sempre segmenteu d'Internet amb un perímetre".

• Més enllà del perímetre: Com abordar la seguretat en capes més enllà del perímetre: com abordar la seguretat en capes
• NYC Venture cerca impulsar llocs de treball, innovació en ciberseguretat NYC Venture cerca impulsar llocs de treball, innovació en ciberseguretat
• Com preparar-vos per al següent incompliment de seguretat Com preparar-vos per al vostre següent incompliment de seguretat

Com a alternativa al model Zero Trust, Pescatore va recomanar seguir els controls crítics de seguretat del Centre for Internet Security. Al final, Zero Trust pot aportar beneficis malgrat el bombo. Però, segons va assenyalar Pescatore, tant si es diu Confiança Zero com una altra cosa, aquest tipus d’estratègia encara requereix controls bàsics.

"No canvia aquest fet que per protegir el negoci, heu de desenvolupar processos i controls d'higiene bàsics de seguretat, així com disposar de personal qualificat per mantenir-los en marxa de manera eficaç i eficaç", va dir Pescatore. Això és més que una inversió financera per a la majoria de les organitzacions, i és que les empreses hauran d’enfocar-se per tenir èxit.