Ante la contingencia sanitaria por Covid-19 que llevó a millones de organizaciones al trabajo remoto, ahora estas empresas se enfrentan a dos problemáticas principales de inseguridad: un alto porcentaje de ataques informáticos se originan desde dentro de la red, es decir la mayoría de las veces por usuarios que por desconocimiento ejecutan malware proveniente de correos electrónicos, páginas Web, memorias USB. Por otro lado, y el más grave, por empleados malintencionados con conocimientos en ciberseguridad que pueden ejecutar varios escaneos de red o puertos para ver las vulnerabilidades y/o huecos en servidores y aplicaciones.

Oswaldo Palacios, director de Ingeniería de Ventas en Guardicore para México y Latinoamérica, destacó los esfuerzos que las compañías han realizado para dar acceso a su personal con el propósito de que puedan seguir trabajando desde casa a partir del pasado mes de marzo. Sin embargo, consideró que “en seguridad aún hay mucho por hacer”, y agregó que los CISO deben contar con estrategias y  herramientas de seguridad que les otorguen completa visibilidad de sus activos de TI para tomar decisiones basadas en información confiable y en tiempo real”.

Es así que bajo el modelo Zero Trust o Confianza cero, creado por Forrester Research en el año 2010, que consiste en que las empresas no deben confiar sino verificar todo aquello que intente o necesite ser conectado a sus sistemas para luego otorgar o denegar su acceso, Guardicore enfatizó que la gestión de acceso de identidad de usuario es una parte clave de este enfoque, ya que gestiona el acceso de usuarios individuales y de terceros, así como conexiones simultáneas.

Avishag Daniely, directora de Gestión de Producto de Guardicore, consideró que una estrategia de seguridad sólida de Zero Trust incluirá la aplicación estricta del acceso del usuario, así como la autenticación y el monitoreo del comportamiento y los movimientos del usuario, tanto dentro del centro de datos como a medida que los usuarios se conectan a la Web. “Una vez que la organización ha reforzado su infraestructura y segmentado las aplicaciones principales que son críticas para el negocio, el personal es la última línea de defensa”, aseveró.

La gobernanza del acceso de cada usuario y sus privilegios significa que, incluso si sucede lo peor y sus credenciales son robadas con éxito, no hay forma de que un atacante intensifique esta violación o realice movimientos fuera de lo que ese usuario específico tiene derecho a acceder. Por ejemplo, una persona de recursos humanos necesitará acceso únicamente a todos los datos y aplicaciones que sean relevantes para su función, y no necesitan acceso extendido a nada fuera de esto.

Avishag Daniely resaltó que seguir los pilares de Zero Trust Extendido es la mejor práctica para proteger tanto la red como a  los usuarios de amenazas externas e internas. De acuerdo con dicha opinión, Oswaldo Palacios añadió que afortunadamente existen alternativas que apoyan en varias capas de seguridad, con microsegmentación de aplicaciones y detección de movimientos laterales en los servidores de los centros de datos, ya que de esta forma los encargados de ciberseguridad se aseguran que solo las personas autorizadas tendrán acceso a dichos activos y aplicaciones, sin importar si la conexión es dentro o fuera del perímetro.

Seis claves basadas en el modelo Zero Trust

Avishag Daniely recomendó seis claves para el éxito de una solución sólida de identidad de usuario siguiendo las pautas del modelo Zero Trust que brinda a los CISO una postura de seguridad más rigurosa:

1) Aísle las interacciones de los usuarios: mediante el uso de un grupo de usuarios de Active Directory, la microsegmentación inteligente puede aislar el acceso de los usuarios, brindando a las personas específicas acceso a ciertos servidores y aplicaciones a través de puertos y procesos específicos. Este control de acceso se puede aplicar entre cargas de trabajo en el mismo segmento de la red, e incluso permite conexiones simultáneas desde el mismo servidor / Jumpbox.

2) Administración de acceso de terceros: los grupos de usuarios pueden respaldar la aplicación de políticas específicas para cada conexión de terceros, fortaleciendo la seguridad donde es más débil. Defina políticas para el centro de datos en general, así como aplicaciones individuales y cargas de trabajo, proporcionando acceso a lo que cada usuario necesita, y nada más.

3) Gestión de identidad privilegiada: las contraseñas de acceso de administrador / root a menudo no se modifican, y pueden ser una puerta abierta para que los atacantes se establezcan. Al probar su red en busca de debilidades, es importante observar la propagación usando contraseñas raíz, así como también dónde los atacantes podrían moverse lateralmente desde la violación inicial.

4) Autenticación de dos factores (2FA): reduce en gran medida el riesgo de compromiso de credenciales;si a los gerentes les preocupa que las personas se sientan ralentizadas por esta herramienta de seguridad esencial, es importante recordarles que es como sacar dinero de un cajero automático con una tarjeta bancaria y un número PIN. Pronto, 2FA será este equivalente para el lugar de trabajo.

5) Seguridad Web: las estafas de phishing se están volviendo cada vez más sofisticadas y manipuladoras, y no siempre se puede confiar en la educación de los empleados para detectar ataques con anticipación. Las soluciones de seguridad sólidas incluirán puertas de enlace de seguridad Web que bloquean el acceso de los usuarios con anticipación a cualquier sitio Web malicioso.

6) Análisis del comportamiento del usuario: puede aprender mucho sobre la forma en que actúan sus empleados al monitorear “el negocio de todos los días”, lo que puede ayudar a crear políticas que aprendan de sus empleados reales y pueden alertarlo sobre acciones anómalas. Esto puede ser desde un inicio de sesión a una hora inusual del día, hasta el uso de credenciales cuando un empleado debe estar de vacaciones.

Por último, Oswaldo Palacios reiteró: “Es importante que los CISO y departamentos de ciberseguridad cuenten con  completa visibilidad de las conexiones en todas sus aplicaciones a nivel de proceso tanto en sitio como en la nube, así como trazabilidad en el tiempo y crear políticas con base en la información obtenida, para reducir la superficie de ataque.  De esta forma se puede  llegar a ambientes de Zero Trust donde todo está bajo control del personal de TI”.