El trabajo remoto aumenta la necesidad de seguridad de confianza cero
Un año después de que los bloqueos y cierres de oficinas provocaron un cambio masivo y apresurado al trabajo remoto, muchas empresas están reexaminando su postura de seguridad.
Si bien muchas empresas se han movido hacia un enfoque de seguridad de confianza cero, el trabajo remoto impulsado por la pandemia de COVID-19 lo aceleró diez veces.
A un año de que comenzaron los bloqueos y cierres de oficinas, los expertos en seguridad de la información dicen que las empresas que pueden hacerlo están pasando de redes privadas virtuales (VPNs) a redes de confianza cero (ZTN). Un modelo de confianza cero es útil para proteger los dispositivos de los empleados remotos porque no supone que la persona que inicia sesión con un nombre de usuario y contraseña sea quien dice ser. En cambio, una ZTN verifica cada solicitud de acceso con señales de datos adicionales, como la geolocalización y el comportamiento del usuario, lo que hace que el acceso sea más fácil de controlar y administrar, particularmente cuando hay una afluencia de usuarios que trabajan desde diferentes ubicaciones.
El analista de Gartner, Rob Smith, dijo a SearchSecurity que el acceso a la red de confianza cero (ZTNA) es un elemento de muy alto perfil del que habla en casi todas las discusiones con las empresas. El punto detrás de la confianza cero, dijo, es que no importa cuál sea el dispositivo; un usuario tiene el acceso apropiado en función de la postura del dispositivo. Eso puede incluir si el dispositivo está parcheado, quién lo posee y qué red está usando.
"Quizás tenía 5,000 empleados que se desplazaban a media docena de oficinas. Ahora necesita darse cuenta de que tiene 5,000 oficinas, y hacer esa transición desde una perspectiva de administración y seguridad es radical. Está tirando 40 años de TI por la ventana para reiniciar y hacer todo desde cero", dijo. "Y ahí es donde estamos".
Un ejemplo que dio fue el de una compañía de seguros global que, en un día cualquiera, tenía alrededor de 500 trabajadores remotos. De la noche a la mañana, pasaron a 50.000.
"Y de los 50.000, más de 20.000 no tenían PC, por lo que, con 20.000 dispositivos en un esquema BYOD, no se tiene más remedio que ir a un modelo de confianza cero al instante", dijo Smith.
Amol Kabe, director senior de gestión de productos de Google Cloud Security, dijo que su compañía también ha visto a muchas organizaciones comenzar el viaje de confianza cero, especialmente cuando la pandemia golpeó por primera vez, y surgió la pregunta de cómo los usuarios pueden seguir siendo productivos. Un ejemplo de cliente que proporcionó fue una empresa que inicialmente dijo que probaría la oferta de confianza cero de Google con 100 personas.
“El cliente decidió en el transcurso del día, ni siquiera nos avisaron, en dos días pasaron a 12.000 personas”.
Google ha estado trabajando en el ámbito de la confianza cero durante más de una década, primero internamente con su propia implementación de ZTN y luego con su oferta comercial, BeyondCorp. Kabe dijo que el objetivo es crear un modelo de autorización donde no haya diferencia entre una aplicación pública y privada.
Sin embargo, las empresas se encuentran con frecuencia en las etapas iniciales de la transición.
"Nadie estaba preparado. Nadie. No me importa quién era usted (gobierno, finanzas, ejército), elija cualquier vertical que se le ocurra. Nadie estaba preparado. Y como nadie estaba preparado, la recuperación de desastres simplemente no funcionó", dijo.
Ha habido tres fases desde el paso inicial al trabajo remoto, según Smith. La transición a la nube y al mercado de confianza cero es la fase final.
"La primera fase fue 'estamos todos en casa, volvamos a estar en línea lo más rápido posible'. La segunda fase fue ‘intentemos asegurarnos con lo que tenemos’, y la fase tres, en la que casi todos están ahora, es ‘reiniciemos y hagámoslo bien’. Y en esa fase, la confianza cero es una de las muchas respuestas posibles", dijo Smith.
Christian Espinosa, director gerente de la firma de servicios de seguridad informática Cerberus Sentinel, estuvo de acuerdo en que muchas organizaciones se están moviendo hacia la confianza cero después de aprender lecciones con el año pasado de trabajo remoto. Antes de la pandemia, una VPN puede haber sido suficiente, pero el reciente aumento de trabajadores remotos que tienen acceso a la red corporativa a través de dispositivos personales requiere precauciones adicionales.
"Una VPN proporciona comunicación segura [encriptación] y autenticación, y algo de seguridad menor para el endpoint, pero no es suficiente, especialmente si el endpoint que está conectando VPN al entorno corporativo es un dispositivo personal", dijo en un correo electrónico a SearchSecurity. "Un dispositivo personal definitivamente debería tener cero confianza".
Kabe también le dijo a SearchSecurity que, con el inicio de la pandemia, la confianza cero ha pasado de ser algo "que sería bueno tener" a un "imprescindible" para hacer el trabajo. "En general, es un fenómeno de la industria en el que todos buscan enfoques de confianza cero".
¿Puede su empresa hacer el cambio?
Si bien los expertos en seguridad están de acuerdo en que una ZTN es más segura para el entorno de trabajo en evolución, no es adecuada para todas las empresas.
Algunas, como las empresas medianas, ya están 100% en la nube y lo han estado antes de la pandemia; Muchos de los principales proveedores de nube tienen ofertas de administración de identidad y acceso (IAM) que permiten a los clientes, por ejemplo, implementar sistemas de autenticación continua para usuarios privilegiados. "Pero cuanto más grande y antigua sea como empresa, más probabilidades tendrá de tener cosas que simplemente no se mueran en la red. Si es una empresa mediana, podría deshacerse de su VPN hoy. Finalmente, todo se reduce al caso de uso", dijo Smith.
Según Smith, hay cuatro variables para determinar un caso de uso: usuario, dispositivo, datos y ubicación.
Debido a que no todos los usuarios tienen los mismos requisitos, algunos necesitan acceso de confianza cero y otros no. También es importante comprender a qué tipo de aplicaciones, datos y contenido necesitan acceder. ¿Es local o en la nube? Además, Smith dijo que la ubicación es importante porque cada estado y país tiene leyes diferentes.
"El año pasado a esta hora, si me hubieran preguntado sobre 'traiga su propia PC', habría dicho que ni siquiera el uno por ciento de los clientes de Gartner están realmente haciendo traer su propia PC. Pero luego, cuando ocurrió el bloqueo, las organizaciones no tenían elección porque la gente fue enviada a casa sin computadoras. Entonces, ahora dos tercios de los clientes de Gartner están trayendo su propia PC en algún nivel. Y eso podría ser solo un puñado de dispositivos o literalmente decenas de miles ", dijo. "Entonces, la transición para traer su propia PC, conforme sucede, realmente lo empuja más hacia un modelo de confianza cero u otro modelo, como el de escritorio como servicio (DaaS)".
Ciertos sectores como los servicios financieros pueden requerir una postura de seguridad especializada, dijo Smith. Por ejemplo, un modelo de confianza cero puede no ser el más adecuado para una organización de servicios financieros que todavía tiene la mayoría de sus operaciones en las instalaciones en lugar de en la nube.
Al igual que Smith, el investigador de Kaspersky Dmitry Galov dijo que el uso organizacional de la confianza cero es complicado porque la confianza cero implica muchos aspectos, desde la segmentación de la red hasta la autenticación continua, y hay muchas formas de crear una ZTN. "Es importante señalar que puede utilizar varios enfoques a la vez, segmentando la red corporativa", dijo en un correo electrónico a SearchSecurity.
Otro desafío es que la confianza cero es un viaje, dijo Kabe. "Puede comenzar poco a poco, identificar una función o una población a la que apunta para el éxito, y luego comenzar a gastar".
La pandemia destaca las deficiencias de las VPN
A medida que aumentaba el trabajo remoto durante la pandemia, muchas organizaciones encontraron que sus VPN tenían problemas para manejar el aumento masivo en el uso. Además de que las VPN se adaptan a un entorno local, el modelo no siempre protege contra ataques complejos.
Galov dijo que, aunque todavía es un método popular, no se mantendrá cuando se trata de atacantes que obtienen acceso a la red interna después de comprometer a usuarios individuales. Recientemente, ha habido varios casos en los que los actores de amenazas obtienen acceso utilizando las credenciales de los empleados. "Para resolver este tipo de problemas, se puede utilizar un modelo de confianza cero, en el que es necesario pasar una autorización cada vez que un usuario intenta acceder a un determinado recurso".
Si bien nada es 100% efectivo, la confianza cero proporciona cierto grado de seguridad sobre el estado de los dispositivos y el estado de la ubicación desde donde acceden las personas. "Con una VPN se tiene acceso sin restricciones a toda la red. La confianza cero permite tener un control granular sobre los tipos de acceso y qué población de usuarios tiene acceso a esa aplicación", dijo Kabe.
Cuando la pandemia golpeó por primera vez, las empresas intentaron que funcionara con un modelo de VPN existente agregando más hardware. Sin embargo, Kabe dijo que solo hay una cantidad finita de capacidad y que se debe instalar ese hardware VPN en una oficina en algún lugar. Las oficinas quedaron casi vacías después de que comenzó la pandemia.
"Con la confianza cero, básicamente se puede decir que quiero que toda mi corporación pueda acceder a esta aplicación de manera de confianza cero, y de la noche a la mañana es posible hacerlo", dijo Kabe.
Google lanzó BeyondCorp Enterprise, que reemplazó a BeyondCorp Remote Accesss, en enero, dos meses antes de que la pandemia azotara Estados Unidos, y Kabe dijo que la respuesta ha sido fenomenal. La nueva oferta toma el concepto de confianza cero de Google y lo combina con la protección contra amenazas y datos a través del navegador web Chrome de la compañía. "La razón principal es que debido al COVID, muchos trabajan desde casa. Entonces, por definición, todos son remotos. Los socios pueden ser productivos, la cadena de suministro, el centro de llamadas, porque todos operan de forma remota".
Microsoft también lanzó una nueva iniciativa para adaptarse a los desafíos de seguridad del trabajo remoto: un ecosistema sin contraseña dentro de Azure Active Directory. Durante una sesión de Microsoft Ignite 2021 el mes pasado, Joy Chik, vicepresidente corporativo de la división de identidad de Microsoft, presentó nuevas formas de verificar usuarios sin el uso de contraseñas. Es parte de la estrategia del gigante del software crear opciones de autenticación más confiables y seguras utilizando la confianza cero.
Aunque la confianza cero no es la única respuesta, es un componente de una solución de seguridad más amplia, dijo Smith. "Todo este mercado está convergiendo hacia un marco único de lo que llamamos SASE (Secure Access Service Edge o perímetro de servicios de acceso seguro). ¿Cuál es su plan para suministrar al ecosistema de nube más amplio todos estos conceptos de seguridad?"
Si bien el mercado se está moviendo hacia la nube, y los beneficios de una ZTN superan a una VPN, particularmente en la era laboral posterior a una pandemia, eso no significa que las VPN serán obsoletas. "La realidad es que, mientras exista en las instalaciones, se seguirá utilizando una VPN", dijo Smith.