El perímetro de la red no existe… ¡No confíes en nadie!
¿Qué es el modelo Zero Trust?
El modelo de seguridad de Zero Trust, ideado por un analista de Forrester y que ha ido evolucionando en la última década, parte de la premisa de que se ha difuminado la barrera entre lo que es confiable y lo que no es confiable en una red.
En un modelo de seguridad perimetral, todo lo que está dentro de la red interna se considera confiable y lo que está fuera es no confiable. Sin embargo, nos movemos en un entorno de colaboración mucho más complejo, donde la información corporativa se encuentra dentro y fuera de la red, y no sólo accede a ella usuarios internos, sino proveedores, clientes y toda clase de colaboradores. Nos centramos en proteger las “capas” cuando lo importante son los datos que son más móviles que nunca.
Venimos de un modelo de seguridad con un enfoque de “Confía pero verifica” (“Trust but Verify”), donde una vez que se ha definido quién es confiable, por ejemplo, los usuarios internos en la red, y no confiable, todos los externos, podemos permitir el acceso a los recursos de red por parte de los usuarios confiables, pero monitorizándolo. Sin embargo, la experiencia ha ido demostrando que se confía el acceso a los recursos de red, pero luego no se verifica o monitoriza. Se confía mucho, pero se verifica poco.
El modelo de “Zero-Trust” se basa en que nadie o nada es confiable.
¿Por qué es necesario un modelo Zero Trust?
- Una buena parte de las exfiltraciones o fugas de información, concretamente el 34% según Verizon, tienen su origen en usuarios internos de la red (empleados descontentos, negligencias, errores humanos, exempleados que se llevan consigo información etc.).
- Si hablamos de atacantes externos, estos se cuelan en la red y dedican todos sus esfuerzos a intentar pasar desapercibidos. A menudo seleccionan empresas y objetivos concretos y se toman su tiempo para acceder a lo que desean (propiedad intelectual, información financiera, información personal, etc.) o simplemente, como el ransomware, cifrar la información para pedir luego un rescate.
- Gran parte de nuestra información debe ser accedida por usuarios externos. Guardamos la información no sólo dentro sino fuera de la red, en diferentes plataformas y aplicaciones Cloud.
- Debemos permitir el acceso a nuestra información a usuarios internos, no sólo desde dentro sino desde fuera de la red, incluso desde sus dispositivos personales.
¿Por qué seguir entonces en el modelo de “foso y castillo” para proteger nuestra red si no podemos decir que quien está dentro de la red es confiable?. Es necesario olvidar la premisa de que se puede confiar en lo que está dentro y no lo que está fuera, que lo de dentro es bueno y lo de fuera malo.
Los principios del modelo Zero Trust
En el modelo de seguridad Zero Trust, los profesionales de seguridad deben:
- Asegurar que los datos, equipos, sistemas, etc. son accedidos de forma segura con independencia de su ubicación. Se deben proteger los datos en el interior de la misma forma que si estuviesen fuera en Internet. Toda conexión a los datos es no confiable hasta que no se demuestre lo contrario, independientemente desde dónde se haga.
- Adoptar la estrategia del “modelo de acceso de menor privilegio” y forzar controles de acceso estrictos: Se debe dar acceso a una persona sólo los recursos que necesita para realizar su trabajo e impedir el acceso al resto. De esta forma estarás evitando que acceda a información que no debe y que, si su identidad es comprometida, un atacante pueda tener acceso a todo. Es necesario controlar el acceso a la información sensible, controlando la identidad, el dispositivo, aplicación y en definitiva el contexto desde el que se intenta acceder.
- Inspeccionar y registrar todo: Se debe inspeccionar la actividad no sólo en el acceso a la red sino también en el interior, intentando identificar comportamientos anómalos. Cuanta más información de contexto se disponga, más sencillo será determinar si un acceso debe ser permitido o no. Esto permite lanzar el mensaje a los posibles atacantes de que se les está monitorizando, para que desistan en sus intenciones.
Evolución y elementos clave del enfoque Zero Trust
Este modelo ha ido evolucionando en los últimos años desde un enfoque inicial más basado en la segmentación de la red, al “Zero-Trust Extended Framework” con un enfoque más amplio que abarca diferentes elementos (datos, personas, redes, aplicaciones, dispositivos) y procesos (visibilidad y analítica, automatización y orquestación).
El modelo establece competencias de seguridad en estas siete áreas de forma que las organizaciones puedan tenerlas en cuenta a la hora de construir su estrategia de seguridad “Zero-Trust”.
- Datos: Este es un modelo de seguridad centrado en los datos, donde la seguridad de los datos está en el corazón del propio modelo. Hay que tener en cuenta que el objetivo último de la seguridad no es proteger la red, ni no los sistemas, ni dispositivos, sino proteger lo más valioso que son nuestros datos sensibles, y además protegerlos en sus tres estados. La pareja identidad/datos es el verdadero perímetro de la empresa, lo que de be ser monitorizado y controlado. La empresa debe determinar quién debe acceder, a qué datos, con qué permisos y desde dónde.
- Personas: No es tan importante si la persona está en la red o trabajando desde casa, sino, si por su puesto, debe tener acceso a los datos. Sólo se debe dejar acceso a aquello a lo que necesita acceder y a nada más. Así rebajaremos el riesgo de posibles errores humanos, suplantaciones de identidad, etc. Por su puesto, se debe controlar que quien intenta acceder a los datos es quien dice ser, y monitorizar el uso que hace de los mismos.
- Redes: La microsegmentación de las redes es fundamental. Debemos poner las cosas difíciles a un atacante que ha entrado en la red para saltar o acceder a diferentes recursos.
- Cargas de trabajo (Workloads) / aplicaciones: Se debe controlar el acceso a las aplicaciones que permiten el funcionamiento de nuestro negocio, especialmente aquellas que están expuestas de forma pública, en la nube. También se debe integrar seguridad centrada en los datos para las aplicaciones.
- Dispositivos: Es necesario conocer, controlar y gestionar los dispositivos que están intentando acceder a los datos para decidir si son confiables o no. Si el dispositivo está comprometido, tendremos un posible punto de acceso indebido a nuestra información. Con un número cada vez más creciente de dispositivos conectados (móviles, IoT, etc.) se incrementan las posibilidades de que alguno de ellos se vea comprometido.
- Visibilidad y Analítica: Debemos saber quién está accediendo a nuestros datos, desde qué dispositivo, red, con qué permisos. Esta visibilidad no está limitada únicamente al interior de la red sino a plataformas cloud o redes de terceros desde la que se acceda a nuestros datos. Por otro lado, no sólo debemos recoger logs, para analizarlos en casos de problemas sino ser capaces de anticipar posibles amenazas en base a los registros de accesos que tenemos e intentar detectar comportamientos anómalos.
- Automatización y Orquestación: Con un número cada vez más creciente de usuarios, aplicaciones, dispositivos, etc. resulta muy complejo poder realizar tareas de control de acceso a nuestros datos de forma manual. La automatización ayuda a que el control, la protección, monitorización y remediación se haga de forma eficiente, optimizando los recursos de la organización.
¿Qué ventajas ofrece la implementación de la estrategia Zero Trust?
Poner en marcha un enfoque de seguridad “Zero-Trust” puede suponer una serie de ventajas importantes para el negocio:
- Facilitar la innovación y la implantación de nuevas demandas del negocio: Permite implantar con seguridad nuevas iniciativas de colaboración y productividad con proveedores, clientes, etc. que son complejas en un entorno completamente “perimetralizado”, donde dar acceso a determinados recursos puede suponer un problema de seguridad.
- Facilita el crecimiento basado en el conocimiento sobre los datos: En un entorno cada vez más competitivo es crítico aprender a partir de los datos recogidos de nuestros clientes o proveedores. Pero para que esta tarea se haga de forma fiable y segura es fundamental proteger y controlar el acceso a estos datos.
- Responder de forma más eficaz frente a posibles amenazas y cumplir regulaciones: Saber de forma rápida y eficiente dónde se ha producido una posible fuga de información, y remediarla, puede suponer que el negocio no se vea afectado. Además, se ponen los medios y controles para facilitar el cumplimiento de regulaciones como EU-GDPR.
¿Cómo implementar el modelo Zero Trust con SealPath?
Como se ha explicado arriba, en el corazón del modelo de seguridad “Zero-Trust” están los datos ya que es en el acceso a estos datos donde un atacante va a poner todos sus esfuerzos. SealPath ofrece una solución de protección y control de información, centrada en los datos, que puede ayudarnos a implementar el modelo de seguridad “Zero-Trust” en las organización.
Para implantar un modelo de seguridad “Zero-Trust» Forrester propone los pasos que se describen a continuación. Para cada paso, indicamos cómo puede ayudar SealPath en su implementación.
1. Identificar tu información sensible
La criticidad de los datos viene marcada por el perjuicio que puede provocar su pérdida a la organización. La pérdida de datos personales, médicos o financieros pueden llevar al incumplimiento de regulaciones. Revisa dónde los almacenas: En carpetas internas del área “financiera”, “recursos humanos”, etc. de un servidor de ficheros, en un gestor documental tipo “SharePoint”, etc.
¿Cómo ayuda SealPath?
- Una vez identificada la información sensible, en qué repositorios de información está, de qué tipo es, es posible protegerla de forma automática. Con SealPath for File Servers es posible proteger información sensible que hayamos identificado en determinadas carpetas de red (Ej. Del Departamento Financiero, Legal, etc.). También podremos protegerla de forma automática si está en SharePoint, Office 365, Box, G-Drive, OneDrive, Alfresco, etc.
- Si la información identificada está sujeta a alguna regulación como GDPR, PCI, etc. con SealPath podremos aplicar protección (cifrado) de forma que, independientemente de dónde se mueva, esté siempre protegida, facilitando así el cumplimiento de estas regulaciones.
SealPath se integra con soluciones de descubrimiento de información como DLPs (ForcePoint, Symantec, McAfee) de forma que puede proteger de forma automática información de un determinado tipo. También se integra con soluciones de clasificación de información de forma que si un usuario clasifica información como “uso interno” el documento se puede proteger de forma automática con la política que haya establecido el administrador (ej. Que sólo puedan acceder usuarios del dominio).
2. Comprender los flujos de información sensible en tu organización
Analiza el camino que sigue la información sensible de la organización en su ciclo de vida: Por ejemplo, en el caso de datos financieros con números de cuentas, ver dónde crean, quién lo hace, dónde se guarda, quién suele acceder a él, con quién se comparte, a dónde se envía o copia, etc. Entender los flujos normales nos permitirá descubrir posibles comportamientos anómalos, posibles puntos de fuga de la información, ver formas de diseñar estos flujos de una forma más óptima y prepararnos mejor para el cumplimiento de regulaciones.
¿Cómo ayuda SealPath?
- SealPath permite aplicar diferentes políticas sobre los datos dependiendo de cuál es el ciclo de vida que van a seguir. Estas políticas, pueden aplicarse de forma automática o pueden ponerse a disposición de los usuarios para que incluyan seguridad en determinados puntos del flujo de la misma. Las políticas pueden abarcar a toda la organización, a departamentos, equipos de trabajo concretos, o usuarios individuales. Pueden generarse políticas específicas según el tipo de información y flujo que va a seguir la misma. Por ejemplo, podemos aplicar la política “Actas de Reunión de Dirección” o “I+D – Proyecto X” de forma que protejamos este tipo de información desde su creación, permitiendo el acceso a quien puede acceder e impidiéndolo a quien no debería acceder.
- Una vez protegida la información, es posible comprender cómo se usa, quién accede, si alguien intenta acceder sin permisos. Se dispone de una visibilidad completa de accesos a la información tanto si el fichero está dentro como si está fuera de la organización.
Es posible ver desviaciones a los patrones normales de comportamiento, como por ejemplo identificando cuándo un usuario está intentando desproteger un volumen alto de información. O cuándo un usuario que ha dejado la organización sigue intentando acceder a la misma.
3. Definir micro-perímetros de seguridad Zero Trust
El término “micro-perímetro” se basa en el concepto de segmentar la red para limitar la posibilidad de que un posible atacante salte con facilidad de un lado a otro de la misma. Estos “micro-perímetros” deben construirse alrededor de la información sensible una vez se han identificado los flujos que sigue la misma. El primer objetivo es proteger la información sensible y para ello es fundamental establecer controles de acceso allí donde se encuentre la información, cuando esta se mueva, se utilice, etc.
¿Cómo ayuda SealPath?
- Con SealPath, la seguridad viaja con los datos. SealPath marca el micro-perímetro alrededor de los propios ficheros, de la documentación sensible, que es el objetivo de un posible atacante.
- Los datos permanecen cifrados en reposo, en tránsito y en uso. Sea cual sea el flujo que sigue el documento, podremos garantizar que sólo quien tiene permisos para acceder, puede hacerlo. Un atacante ha podido crear una brecha de seguridad en nuestra red y extraer infomación, pero si está está cifrada, podrá hacer poco con ella.
- SealPath permite definir qué personas pueden acceder a qué ficheros. Desde qué redes, con qué permisos (Ej. Sólo Ver, Editar, Imprimir, Copiar y Pegar, etc.), durante cuánto tiempo.
La protección es dinámica y podemos modificarla en tiempo real: Podemos revocar el acceso a un documento de forma que la documentación quede “virtualmente destruida” en el equipo de un tercero. Podemos dar más permisos a una persona si es necesario ya que habíamos dado inicialmente un conjunto de privilegios mínimos.
4. Monitorizar de forma continua el ecosistema de seguridad Zero Trust
Monitoriza la actividad externa e interna sobre los datos e identifica posibles amenazas, riesgos y opciones de mejora. Revisa por dónde se mueven los datos y si es necesario que alguien deba seguir teniendo acceso a los mismos pasado un tiempo o cuando se ha dejado de colaborar activamente con él.
¿Cómo ayuda SealPath?
- Es posible auditar la actividad sobre la información protegida, independientemente de dónde se encuentra. Podemos monitorizar quién accede, quién la desprotege si tiene permisos, quién está intentando acceder y no dispone de accesos a la misma.
- La actividad se captura en tiempo real, según se accede a la información, y es posible integrarla en un SIEM de forma que pueda correlarla y analizarla junto a otros eventos de la red. Podremos alertar si la actividad que se detecta es sospechosa, y tomar acciones de remediación para evitar posibles fugas de información.
- SealPath muestra en el interfaz web para el administrador resúmenes de actividad sobre la información protegida: Top 10 de usuarios con más intentos de acceso bloqueados, Top 10 de documentos en riesgo, Usuarios internos y externos más activos con la documentación sensible, etc.
- También muestra logs de acceso a documentos protegidos en la organización, pudiendo filtrar usuarios internos y externos, tipos de documentos, tipo de alerta (desprotección, intento de acceso bloqueado, usuarios añadidos al documento, etc.).
- La información de auditoría no está sólo accesible para el administrador, sino para los usuarios que protegen que pueden ver sus documentos protegidos, los accesos de otras personas a sus documentos protegidos y las alertas sobre sus documentos protegidos.
Los usuarios ven que el acceso a la información sensible está siendo monitorizado. Permite extender una cultura de protección sobre la información sensible, y mitiga la posibilidad de que alguien filtre información, sabiendo que está siendo monitorizado.
5. Adoptar la automatización y la orquestación de la seguridad
Muchas organizaciones todavía confían en procesos manuales para la realización de ciertas áreas. Las operaciones manuales de seguridad pueden restar velocidad en la capacidad de respuesta frente a una posible amenaza. Es importante automatizar y orquestar al máximo determinados procesos de protección, detección de amenazas, etc. ya que no nos permitirá fortalecer nuestras defensas y responder de forma eficiente frente a amenazas detectadas.
¿Cómo ayuda SealPath?
- SealPath permite automatizar la protección de documentación almacenada en diferentes carpetas de un servidor corporativo. Cuando los usuarios copian o mueven documentación a la misma, ésta queda protegida de forma automática con la política configurada por el administrador.
- También permite la protección automática de información almacenada en gestores documentales o sistemas de almacenamiento como SharePoint, OneDrive, G-Drive, Box, O365, etc. En cuanto el documento se sube o copie a la carpeta, quedará protegido y si se descarga o copia fuera, viajará con la protección.
- Como decíamos antes, también permite la protección automática de información sensible detectada por un DLP. Si se detecta un documento con números de cuentas bancarias en un endpoint o carpeta de red, el administrador puede crear una acción de remediación para que la información se proteja de forma automática.
- Es posible proteger de forma automática la información que se envía fuera de la organización a través de Exchange. El administrador puede poner reglas de forma que, dependiendo del contenido del mensaje, adjuntos, destinatarios, remitentes, etc. los emails y adjuntos queden protegidos por una política concreta.
Puede aplicarse protección automática sobre documentación clasificada, tal y como se explicaba arriba de forma que en base al nivel de clasificación se aplique una determinada política cuando el usuario esté gestionando un fichero o cuando éste encuentre por SealPath for File Servers en una carpeta de red que está siendo monitorizada.
Conclusiones
En un mundo donde el perímetro de seguridad de las organizaciones se ha difuminado, el enfoque “Zero-Trust” plantea un modelo de seguridad que se adapta a la nueva realidad de las organizaciones.
La seguridad de los datos, aunque no es la única pieza dentro del modelo de seguridad “Zero-Trust”, sí es una pieza fundamental que añade nuevas barreras de protección de nuestros datos sensibles frente a posibles intrusiones en la red.
SealPath aplica una protección persistente que viaja con la documentación sensible que permite, tal y como mencionan los principios del enfoque “Zero-Trust”:
- Proteger el acceso a los datos independientemente de su ubicación.
- Controlar que cada persona accede sólo a lo que debe acceder y aplicando estrictos controles de acceso.
- Auditar y registrar todo acceso a la documentación sensible.
Si quieres saber más detalles de cómo SealPath puede ayudarte a seguir un enfoque de seguridad “Zero-Trust” en lo que respecta a la seguridad de los datos, no dudes en ponerte en contacto con nosotros.