El punto de contacto inicial durante un ciberataque rara vez es el objetivo real. Los atacantes suelen acceder a las redes desde una estación de trabajo o activo IoT menos seguro y trabajar a partir de ahí ganando acceso a hosts y cuentas con mayores privilegios.
El concepto Zero Trust
Por ello, el concepto Zero Trust (ZT – confianza cero) ha crecido de forma significativa en los últimos dos años, ya que las aplicaciones en la nube y la fuerza de trabajo móvil han redefinido el perímetro de seguridad. Los recursos y servicios corporativos modernos suelen eludir ahora los modelos de seguridad basados en el perímetro de las instalaciones, que se basan en cortafuegos de red y redes privadas virtuales (VPN) y que han quedado obsoletos. Una arquitectura ZT básicamente considera que todas las entidades de una red son hostiles y no permite ningún acceso a los recursos hasta que tanto la cuenta como el host hayan sido autenticados y autorizados individualmente para utilizar ese recurso específico.
Zero Trust garantiza que incluso si un host o cuenta se ve comprometido, el movimiento lateral posterior está bloqueado dentro de la red.
Las lagunas de los enfoques basados solo en el acceso
Sin embargo, este enfoque Zero Trust, comúnmente visto en las soluciones de Gestión de Acceso Privilegiado y Gestión de Acceso de Identidad, todavía se basa en decisiones de seguridad en un solo punto en el tiempo que utilizan una lista predefinida de identidades privilegiadas. Hay varios problemas con este enfoque siendo uno de ellos la implementación.
Uno de los problemas tiene que ver con simples errores de configuración. Esto es especialmente común en entornos cloud debido al conjunto de habilidades diferenciado que se requiere para gestionar la complejidad de los recursos en la nube, que cambian constantemente, a diferencia de los tradicionales que se encuentra en las instalaciones.
Otro problema es que, una vez concedido, el acceso puede ser fácilmente manipulado por atacantes que utilizan métodos como el abuso de credenciales y la escalada de privilegios. Ambos métodos son especialmente difíciles de detectar para los profesionales de la seguridad. Rara vez tienen visibilidad de las credenciales que se utilizan en la red frente a las credenciales asignadas por los proveedores de identidad (IdP).
Visibilidad y evaluación continuas de los privilegios
Para cerrar esta brecha es necesario ampliar el método preliminar de autenticación y autorización mediante la supervisión continua de las cuentas e identidades que se utilizan para acceder a la red y a la nube. Esta es la razón por la que la visibilidad y el análisis han sido el componente impulsor del Ecosistema Zero Trust de Forrester.
Según Gartner, «los responsables de la seguridad y de la gestión de riesgos deben adoptar un enfoque estratégico en el que la seguridad sea adaptativa, en todas partes y en todo momento». Gartner llama a este enfoque estratégico «evaluación adaptativa continua de riesgos y confianza», o CARTA, y «con un enfoque estratégico CARTA, debemos diseñar entornos empresariales digitales en los que el riesgo y la confianza sean dinámicos y necesitan ser evaluados continuamente después de realizar la evaluación inicial».
Con la monitorización, es posible observar si los comportamientos se desvían de las expectativas de una manera arriesgada, y hacer que los profesionales de la seguridad lo sepan para determinar si el acceso a las capacidades debe adaptarse o eliminarse por completo.
La monitorización de las interacciones que se producen realmente expone la verdad inmutable de lo que ocurre dentro de un entorno específico.
El uso de la Inteligencia Artificial (IA) para conseguir un marco Zero Trust
Se utiliza la IA para encontrar y priorizar eficazmente los ataques ocultos en tiempo real dentro de los servicios en la nube como Microsoft Office 365, Azure AD, la nube, el centro de datos, IoT y las redes empresariales antes de que los atacantes causen un daño irreparable a la organización. Una plataforma basada en IA permite a los equipos de seguridad prevenir los ataques antes, en las primeras fases del ataque, garantizando que las aplicaciones esenciales para la continuidad del negocio estén disponibles y accesibles para toda la fuerza de trabajo repartida en diferentes lugares.
Como componente clave de un marco Zero Trust, una plataforma basada en IA ayudará a proporcionar visibilidad y análisis sobre tres principios rectores:
- Verificar explícitamente. Autenticar y autorizar siempre basándose en todos los puntos de datos disponibles, incluyendo la identidad del usuario, la ubicación, la salud del dispositivo, el servicio o carga de trabajo, clasificación de datos y anomalías.
- Utilizar el acceso menos privilegiado. Limitar el acceso de los usuarios con políticas adaptativas basadas en el riesgo y la protección de datos para proteger tanto los datos como la productividad.
- Asumir la brecha de seguridad. Minimizar el radio de explosión de las brechas y evitar el movimiento lateral al segmentar el acceso por red, usuario, dispositivos y conciencia de las aplicaciones. Verificar que todas las sesiones estén cifradas de extremo a extremo. Utilizar los análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Para lograr esta visibilidad, es necesario que se observen en su totalidad las siguientes entidades:
- Los hosts que acceden a las cargas de trabajo
- Los servidores o servicios que contienen las cargas de trabajo
- Las cuentas de usuario o servicios que se están aprovechando.
Se tiene que monitorizar continuamente los comportamientos de cuentas, hosts y servicios, y aplicar modelos de IA supervisados y no supervisados para puntuar estos comportamientos en función de la amenaza, la certeza y la priorización del riesgo.
Como resultado, se ofrece una evaluación continua de los privilegios en tiempo real. Esto permite a los equipos de seguridad disponer de la información adecuada para anticipar qué activos serán el objetivo de los atacantes, y para tomar rápidamente medidas contra el uso malicioso de los privilegios en la nube y en los entornos híbridos.
Análisis de acceso privilegiado
Una parte fundamental del motor que permite la puntuación de amenazas se llama Privileged Access Analytics (PAA – Análisis de Acceso Privilegiado). En lugar de basarse en los privilegios concedidos a una entidad o ser agnóstico a los privilegios, PAA se centra en cómo las entidades están realmente utilizando sus privilegios dentro de la red. Esto se conoce como privilegio observado.
Este punto de vista es similar a cómo los atacantes observan o infieren las interacciones entre entidades. Para tener éxito, es imperativo que los defensores piensen de manera similar a sus adversarios.
El PAA comienza por agrupar las identidades observadas en grupos basados en la similitud. Esta agrupación es la línea de base para incurrir en lo que constituye como patrones de acceso normales y patrones de acceso anormales. A continuación, se aplican otros modelos para detectar ataques de acceso comunes.
Una cuenta, como la de un administrador de dominio por ejemplo, puede tener los derechos para acceder a cualquier sistema dentro de toda la red. Sin embargo, es probable que no suela hacerlo, y por lo tanto su privilegio observado podría ser menor que la de una cuenta de servicio que está acostumbrada a desplegar actualizaciones de software en miles de sistemas en la red.
Conclusión
Las ciberamenazas son omnipresentes en la sociedad moderna. La autenticación de los usuarios es, y seguirá siendo, un elemento clave de la seguridad para proteger el robo de identidad y el acceso no autorizado a las redes y los datos. Toda organización debe tener una estrategia para garantizar que todos los usuarios, tanto dentro como fuera de su red, se sometan a la autenticación, estén debidamente autorizados y se valide continuamente la configuración de seguridad antes de concederles el acceso a las aplicaciones y los datos. La buena noticia es que ahora los analistas de seguridad tienen las herramientas necesarias para identificar y priorizar los privilegios observados en todas sus redes.