‘ Confianza cero ‘ es una palabra de moda en la seguridad cibernética hoy en día, gracias en parte a la exageración del marketing, pero todavía hay confusión entre los líderes de seguridad sobre lo que realmente significa. La confianza cero es un marco de seguridad cibernética que establece esencialmente que no se debe confiar en entidades, como humanos y máquinas (es decir, software, cargas de trabajo, contenedores y dispositivos) de manera predeterminada. Con confianza cero, la confianza nunca es implícita y siempre debe verificarse. La confianza cero a menudo se considera la mejor solución para los muchos problemas de autenticación y acceso que enfrentan las empresas, y esos problemas son innumerables ahora que los entornos de trabajo remotos e híbridos son la norma.
Ya no es posible que las empresas simplemente asuman la confianza, ya que una gran cantidad de usuarios y dispositivos ahora operan desde fuera de la supuesta seguridad del firewall corporativo. Las empresas ahora se encuentran con un problema: la necesidad de verificar, incorporar y autenticar individualmente cada dispositivo, usuario, software y entidad que interactúa con la red de la organización para garantizar la legitimidad, sin importar de dónde provengan las conexiones. La implementación de un enfoque de confianza cero es esencial, pero los líderes de seguridad no deberían obsesionarse demasiado porque es solo la primera pieza de un rompecabezas mucho más grande para finalmente establecer y mantener la ‘confianza digital’, la piedra angular del negocio digital seguro.
La confianza digital es el objetivo, la confianza cero es el marco
Entonces, ¿qué es la confianza digital y cómo sabemos que la tenemos? Desde un nivel muy alto, el mundo físico funciona con confianza. Sabemos que podemos usar dólares estadounidenses, ya que el gobierno de los EE. UU. los respalda, por lo tanto, todos y cada uno de los usuarios pueden esperar usarlos para el intercambio de valor. Centrándose en el mundo digital, la confianza digital es la noción de garantizar que todas y cada una de las entidades puedan confiar en su negocio. Un ejemplo simple sería visitar un sitio web y realizar negocios; ¿Deberías confiar en que es el sitio que crees que es? Y si es así, ¿tiene suficiente confianza en ese negocio como para compartir pagos o información personal? Cuando las organizaciones sufren violaciones de seguridad cibernética, especialmente si han vuelto a ocurrir, los clientes de hoy en día ahora se preguntan si esa empresa tiene una tienda digital confiable. Sin confianza digital, el negocio digital no puede existir ni existirá.CISOs , pero el negocio en general.
Sabiendo que la confianza digital ahora es fundamental para todas las empresas y organizaciones de hoy; ¿Por qué la confianza cero ha ganado tanta atención? Bueno, en pocas palabras, no podemos asumir que debemos confiar en todo, adoptar un enfoque de confianza cero y luego establecer y mantener la confianza.
Desde la perspectiva de un líder de seguridad y CISO, eso significa que debemos establecer y mantener la confianza con todas las entidades que conforman e interactúan con el negocio. Como tal, la confianza digital aquí es la confianza en las máquinas, el software, los dispositivos y los humanos que interactúan con los servicios digitales que ahora impulsan nuestro mundo. No debe confundirse con la confianza cero, que a menudo se malinterpreta. El ‘cero’ implica que no existe confianza en absoluto. La confianza es dinámica y necesita ser mantenida constantemente. La forma en que las empresas abordan el establecimiento de la confianza digital es importante para garantizar el funcionamiento del negocio, pero específicamente la seguridad de las identidades tanto de las personas como de las máquinas.
Si bien muchas organizaciones se centraron en iniciativas de confianza cero en los últimos años, muchas reconocieron que la confianza en los humanos y las máquinas es la capa fundamental. En la empresa moderna, los líderes de seguridad deben diseñar marcos de seguridad sólidos que prioricen la identidad profundamente arraigados en la criptografía para que se establezca la confianza digital. Este marco debe comenzar con una mentalidad de confianza cero, es decir, primero verificar la identidad de la entidad, validar su estado y determinar, si en ese momento actual, se le debe otorgar acceso.
La criptografía en el corazón de la seguridad de identidad primero
Los certificados digitales con tecnología de infraestructura de clave pública ( PKI ) son el estándar de oro para proteger y autenticar las identidades de personas y máquinas y ayudan a establecer y mantener la confianza digital. Los certificados proporcionan el nivel más sólido de autenticación de usuarios y dispositivos. Emitidos por autoridades de certificación (CA), respaldan la seguridad del mundo digital y cuentan con la confianza de todas las tecnologías, desde las más antiguas hasta las más nuevas, como blockchain y Web3 . Idealmente, cada usuario y máquina que intente acceder a una red o recurso ( híbrido / nube múltiple)) debe comenzar con una fuerte identidad digital criptográfica para que una empresa pueda verificar con quién o con qué está interactuando. Esto es fundamental ya que la mayoría de los atacantes tienden a centrarse en robar credenciales para acceder a recursos confidenciales. En otras palabras, explotan la identidad como principal superficie de ataque; en realidad, son “violaciones de identidad” per se.
Independientemente de la línea de negocio en la que se encuentre, es fundamental asegurarse de que está protegiendo todas las identidades, humanas, no humanas/máquinas en todo su entorno. Y cuando se trata de no humanos o máquinas, un informe reciente de CyberArk encontró que estas identidades superan en número a las identidades humanas por 45 veces . Gracias a la transformación digital y los casos de uso nuevos y emergentes que requieren certificados que respalden resultados comerciales críticos (es decir, aprovechar las firmas digitales y la automatización robótica de procesos ( RPA ), asegurar DevOps, habilitación segura de entornos en la nube y muchos otros), ha habido una explosión en la cantidad de identidades digitales que requieren certificados. Más allá de requerir certificados, muchos casos de uso estarían mejor aprovechándolos para ayudar a mitigar los ataques relacionados con la identidad.
Por críticos que sean, los certificados digitales en sí mismos requieren cuidado y gestión. Administrar los volúmenes masivos de certificados digitales puede resultar un desafío para las empresas porque los certificados pueden provenir de diferentes CA, todos deben renovarse en diferentes momentos y fechas, su vida útil varía enormemente y muchos incluso están enterrados en la sombra . Esto presenta un problema enorme porque un solo certificado que no se administra puede significar interrupciones, interrupciones operativas o dejar una puerta abierta para intrusos hostiles.
Hoy en día, muchas organizaciones aún administran los certificados digitales de forma manual o utilizan enfoques obsoletos, como hojas de cálculo, para administrar una cantidad abrumadora de certificados digitales. Esto hace que las empresas sean susceptibles a interrupciones o ataques cibernéticos. La estrategia de seguridad de identidad primero de una empresa debe incluir una solución única y centralizada para administrar la explosión de identidades que requieren confianza digital para acceder a redes y recursos. Un nuevo enfoque automatizado, que incluye la gestión del ciclo de vida de los certificados (CLM), garantiza que los certificados se renueven o revoquen cuando sea necesario, evitando la pérdida de ingresos y reputación.
Por supuesto, debemos tener en cuenta la explosión de consolas y productos de seguridad que las empresas pueden experimentar. Hay demasiados productos de seguridad y consolas para administrar. Un Gartner recienteEl informe Top Security and Risk encontró que el 80 % de los CISO tienen una estrategia para consolidar proveedores y productos de seguridad. Las soluciones de administración de certificados y PKI ciertamente han estado sujetas a esta expansión y complejidad de soluciones. Y quizás lo que también ha afectado a muchas organizaciones es la cantidad de dinero gastado en lo que debería ser una solución única. En la búsqueda de simplificar los productos de seguridad, ahorrar dinero y tiempo, los líderes de seguridad ahora tienen la oportunidad de consolidar sus operaciones de certificados y PKI con soluciones modernas de gestión del ciclo de vida de certificados (CLM) que priorizan la identidad de máquinas y personas.
La solución CLM más moderna debería:
- Habilitar la consolidación de la pila de seguridad; a modo de proporcionar múltiples funciones, que incluyen:
- Capacidades de PKI privada;
- capacidades públicas de SSL/TLS;
- Gestión del ciclo de vida completo de CA Agnostic;
- Habilitación de casos de uso, como correo electrónico seguro, administración de identidades de máquinas, seguridad web, firma de documentos y autenticación de usuarios de dispositivos/sin contraseña.
- Aproveche los estándares abiertos, como ACME, para evitar el bloqueo de proveedores.
- Sea interoperable con otras CA, CLM y otras herramientas empresariales comunes.
- Aproveche los principios de la nube primero.
- Ser rentable; ya que las PKI y CLM heredadas eran y siguen siendo bastante costosas de adquirir, administrar y mantener.
Concéntrese en la confianza digital para habilitar su mundo digital
La confianza digital es ahora el objetivo principal de la ciberseguridad. Recuerde, como discutimos, cuando la seguridad cibernética se hace bien, la empresa puede disfrutar de una sólida postura de confianza. Esto será cada vez más importante a medida que el mundo avance hacia la Web3 y el metaverso y, además, a medida que el advenimiento de la computación cuántica se acerque a la realidad.
Las identidades digitales para humanos, no humanos y máquinas, en el futuro previsible seguirán utilizándose como superficie de ataque, y la forma más segura para que los CISO y sus equipos mitiguen el riesgo es priorizar la seguridad de la identidad en todas sus organizaciones. Envuelva ese enfoque con un marco de confianza cero, y los líderes de seguridad navegarán por el mundo digital con mucha más confianza en que sus redes y las personas y máquinas que interactúan con ellas están seguras. Finalmente, los directores ejecutivos y las juntas también pueden proceder con la confianza de que su negocio mantendrá y aumentará la confianza en la marca, asegurándose de que se toman en serio la confianza digital.
Fuente:
Editor’s Choice. (2022x, junio 1). Considering digital trust: why zero trust needs a rethink. Information Age. Recuperado 3 de junio de 2022, de https://www.information-age.com/considering-digital-trust-why-zero-trust-needs-rethink-123499500/