La semana pasada, en ChannelCon en Chicago, participé en un panel titulado "Generar confianza en un mundo Zero Trust" con varios otros expertos de la industria. El concepto central de Zero Trust es 'no confíes en nada, verifica todo' y para muchos en la industria de la ciberseguridad este ha sido el mantra con el que hemos vivido durante toda nuestra carrera. Y, a lo largo de mi carrera, se han utilizado muchos términos y acrónimos en la industria de la tecnología de la información que han demostrado ser 'por el momento' o 'de moda', el término Zero Trust no pertenece a este grupo.

Hace mucho tiempo, en una galaxia muy, muy lejana, bueno, no hace mucho en realidad y solo al otro lado del charco, trabajé para varias organizaciones financieras notables donde la seguridad era un tema de paranoia dentro de los equipos de tecnología. A finales de los ochenta, un proyecto en el que trabajé se destaca como un excelente ejemplo de esto: la implementación de computadoras portátiles para los vendedores en el campo, dándoles acceso a datos comparativos y de cuentas antes de una cita con el cliente. La sincronización de datos, para las citas de mañana, fue una tarea del final del día utilizando un módem de 2400 baudios (datos comprimidos con una velocidad de transferencia efectiva de 4800 baudios) con cifrado DES basado en hardware, y el usuario autenticado con un token de respuesta de desafío protegido por PIN . Hubo verificaciones de seguridad adicionales integradas en el software subyacente para garantizar que el dispositivo pudiera conectarse, verificando identificadores únicos de hardware. El concepto de tomar datos alojados en el mainframe, colocarlos en un servidor de archivos de Novell y luego distribuirlos en computadoras portátiles remotas en el campo era una tecnología de vanguardia y provocó muchas noches de insomnio para los equipos de seguridad del mainframe que consideraban a esta nueva generación de pioneros de PC como vaqueros del salvaje oeste; la paranoia era intensa.

La falta de confianza en este proyecto de vanguardia provocó una actitud de confianza cero, 'no confíes en nada y verifica todo', y luego, cuando sea posible, 'verifícalo de nuevo'. La industria de las computadoras personales evolucionó rápidamente y, en muchos casos, esta paranoia del "anfitrión" del mainframe se atenuó y posiblemente incluso se dejó de lado. Sin embargo, aquí estamos hoy hablando de un enfoque similar, aunque más definido y maduro que mi experiencia a finales de los años ochenta. Oh, cómo extraño los años ochenta: ¡mi colección de vinilos me recuerda esos grandes tiempos todos los días!

La confianza cero en el entorno tecnológico actual se trata de infundir esta misma paranoia con una visión holística de todo el entorno digital, independientemente de la ubicación; on-premise, remoto, en la nube, quién es el propietario, quién puede estar usándolo, etc. La rápida transformación digital de los últimos años ha obligado a las empresas a adoptar, al menos en parte, algunos de los conceptos que están profundamente encaminados dentro de cero confianza, como la autenticación multifactor y el cifrado. Pero este concepto se trata menos de tecnologías específicas y más de una mentalidad; por ejemplo, cuando un nuevo empleado se une a un departamento de finanzas, es fácil para el gerente ocupado aprobar el acceso general a todos los sistemas que usa el equipo. Sin embargo, en el mundo de confianza cero, el gerente debe pensar más en qué sistemas realmente necesitan acceso para la función del empleado, desde qué dispositivos y qué ubicaciones, posiblemente incluso extendiéndose a los límites de acceso según la hora del día. Este cambio de pensamiento debe abarcar todo el negocio, no solo un concepto por el que aboga el equipo de seguridad de TI; debe haber respaldo desde el nivel C hacia abajo, en toda la organización.

Existen numerosos beneficios al adoptar un modelo de confianza cero, un beneficio que puede no ser obvio es la 'simplificación'. Si todo el entorno digital, ya sea de propiedad o utilizado como servicio, se trata como si no tuviera perímetro, entonces el proceso de protección de diversos activos se simplifica; esto también se aplica a los usuarios, ya que todos estarán sujetos a las mismas políticas de acceso. La superposición de este enfoque con decisiones basadas en datos, que probablemente se automaticen, lleva esto al siguiente nivel. En un escenario en el que un usuario está conectado y cumple con la ubicación, el dispositivo, la autenticación, etc., pero el análisis en tiempo real del tráfico desde ese dispositivo muestra una anomalía, entonces el acceso otorgado podría revocarse dinámicamente, lo que requiere una mayor investigación y una posible corrección de lo que provocó la alerta.

El monitoreo y análisis de eventos en tiempo real de esta manera se puede lograr mediante el uso de tecnologías como Endpoint Detection and Response (EDR). La automatización de este tipo brinda un beneficio significativo: restringe la capacidad de los atacantes potenciales para obtener una ventaja significativa, ya que se ven obstaculizados por la aplicación dinámica de políticas en tiempo real; por ejemplo, el movimiento lateral dentro de la red podría estar prohibido en función de las acciones inusuales o inesperadas que los atacantes están creando.

La toma de decisiones de inteligencia en tiempo real no estaba disponible para el proyecto en el que participé en los años ochenta; Sin embargo, estoy seguro de que si hubiera sido así, los equipos de seguridad paranoicos que intentaron controlar el nuevo salvaje oeste de la implementación de PC habrían insistido en que se usara, y con razón.