En meses pasados publiqué una entrada llamada “5 consideraciones para la construcción de un entorno de TI de confianza cero” y en esta ocasión les voy a contar tres formas de lograr dar ese salto, en especial en estas épocas tan difíciles.
Cuando hablamos de Zero Trust debemos tener claro que se requiere que todos los usuarios sean autenticados, autorizados y evaluados continuamente por riesgo para acceder a aplicaciones y datos de la empresa.
Muchas organizaciones comienzan su viaje zero trust con la modernización de su pila de acceso remoto. Las VPN heredadas y las tecnologías relacionadas no solo son lentas, sino que son características de tecnologías que dependen de la confianza implícita.
Sin embargo, estos proyectos reemplazo son notoriamente intensivos en recursos y disruptivos, lo que hace que los equipos de TI aplacen esfuerzos beneficiosos, como la implementación de Zero Trust Network Access (ZTNA).
Hay decisiones de implementación que las empresas pueden tomar que acercarán al equipo a un entorno de Zero Trust sin necesidad de un proyecto masivo por adelantado. Los profesionales de la seguridad sólo necesitamos conocer los lugares adecuados para comenzar para que podamos adoptar estas tecnologías de una manera reflexiva.
Paso 1 para dar el salto a Zero Trust: Identificar nuevas aplicaciones que no usen acceso remoto heredado
Tenemos que comenzar con las aplicaciones empresariales que actualmente carecen de protección mejorada o tienen arquitecturas de seguridad ineficientes delante de ellas. Las aplicaciones SaaS cumplen estos requisitos perfectamente, especialmente para las organizaciones que desean ofrecer acceso rápido y sin problemas a las aplicaciones alojadas sin hacer que los usuarios salten a través de anillos innecesarios que afecten la experiencia del usuario.
Mientras que los usuarios legítimos pueden acceder a las aplicaciones SaaS desde cualquier lugar, las personas equivocadas también pueden acceder a ellas. No sólo nos referimos a usuarios no autorizados dentro de la organización, sino también a ciberdelincuentes.
Los atacantes pueden hacerse pasar por un usuario autorizado y pueden obtener acceso a la información crítica que hospeda la organización en la nube. Recientemente, un grupo de hackers localizó las credenciales de superadministrador para la compañía de cámaras de seguridad Verkada, y obtuvo acceso a las cámaras de vigilancia de los clientes de Verkada, entre ellos Tesla.
Las tecnologías de seguridad existentes no son eficaces para proteger las aplicaciones SaaS. Los modelos de seguridad tradicionales están diseñados para el mundo local, pero cuando se trata del entorno SaaS, simplemente no es práctico retroceder el tráfico a una ubicación central para asegurarlo y enviarlo de vuelta a Internet. Esto podría resultar en una alta latencia y degradación del rendimiento y, en última instancia, una mala experiencia de usuario que realmente derrota el propósito de SaaS.
Como resultado, ahora estamos viendo a las organizaciones replantearse la forma en que ofrecen acceso a las aplicaciones y la forma en que se mantienen en los servicios de seguridad frente a esas aplicaciones.
El bloqueo de IP se ha convertido en una forma de garantizar que solo los usuarios que se encuentran con la infraestructura ZTNA segura y moderna puedan acceder a las aplicaciones SaaS. Al hacerlo, se evita la adquisición de cuentas añadiendo una capa adicional de seguridad que los atacantes tendrán dificultades para derrotar.
Paso 2 para dar el salto a Zero Trust: Identificar dispositivos o plataformas desatendidos
Estar atento de la seguridad frente a las aplicaciones es un buen comienzo, pero las empresas también deben considerar cómo los trabajadores están interactuando con las aplicaciones empresariales hoy en día.
Con la amplia adopción del trabajo remoto y el trabajo desde casa, TI ahora administra más diversidad de plataformas. Atrás quedaron los días en que se poseía y gestionaba el patrimonio de dispositivos Windows, ahora es muy común que TI administre una combinación de plataformas que incluyen macOS, Linux, iOS y Android.
Aunque a los usuarios les gusta tener varias opciones de hardware, conduce a directivas de administración y seguridad incoherentes que dejan a las empresas expuestas cuando hay amenazas en un punto de conexión.
Hemos escuchado de los clientes que algunos grupos de usuarios finales están desatendidos cuando se trata de acceso remoto. A menudo es causada por un mal soporte de acceso remoto desde la solución que está instalada (por ejemplo, no hay aplicación para macOS) o puede ser que los usuarios finales no puedan usar la herramienta de una manera eficiente. Por ejemplo, muchos clientes VPN heredados hacen que las aplicaciones móviles se rompan al restablecer las conexiones después de un cambio de red)
C-TEC, un fabricante de sistemas de alarma, decidió buscar una alternativa VPN porque los usuarios estaban siendo interrumpidos por múltiples solicitudes de autenticación multi multifactor para los servicios de Microsoft 365 cuando estaban fuera del perímetro corporativo y se conectaban a través de la VPN. La compañía implementó una solución ZTNA a partir de sus dispositivos iOS y MacOS, y desea implementarla en dispositivos Windows a continuación.
Durante el resto del año, C-TEC migrará algunas de sus aplicaciones empresariales líderes a la nube y comenzará a conectar usuarios con ZTNA. Adoptar este enfoque paso a paso ha facilitado mucho la transición a ZTNA.
Empezando por las aplicaciones SaaS móviles tenía sentido porque son vírgenes, son relativamente nuevas y no están agobiadas por capas de tecnología heredada. También es el lugar adecuado para combinar evaluaciones de riesgos de puntos finales y directivas de acceso remoto porque los equipos de seguridad pueden lograrlos a través de herramientas unificadas.
Paso 3 para dar el salto a Zero Trust: Ampliar a más aplicaciones y dispositivos
ZTNA no tiene que ser un viaje difícil. Implemente estratégicamente ZTNA para que no todas las aplicaciones o usuarios necesiten convertir en el primer día. Esto significa identificar grupos de aplicaciones y grupos de dispositivos que están desatendidos porque no requieren la complicada eliminación de la tecnología heredada. Una vez identificadas estas áreas vírgenes, pueden actuar como un campo de prueba para ZTNA dentro de la organización. Al implementar ZTNA en un subconjunto de aplicaciones y un subconjunto de dispositivos, la empresa puede evitar interrupciones y obtener una mejor seguridad en el proceso.
