Según el estándar NIST 800-207, Zero Trust se refiere a un conjunto en evolución de paradigmas de ciberseguridad que cambian el enfoque de defendernos desde los perímetros estáticos basados en redes para centrarse en los componentes de la organización, los cuales son: usuarios, activos, aplicaciones, servicios y datos.
En el libro Project Zero Trust de George Finney se pueden encontrar los cuatros principios de diseño de este modelo de arquitectura referencial:
Definir los “Business Outcomes”: en esencia es preguntarse ¿Qué está tratando de lograr el negocio? Por ejemplo, si el negocio tiene como objetivo desarrollar un producto para captar un nuevo grupo de clientes, desde el área de ciberseguridad se deben diseñar e implementar los controles necesarios para proteger la propiedad intelectual del producto en cuestión.
Diseñar desde adentro hacia afuera: esto es identificar primero cuales son los recursos a proteger, determinar la superficie que necesita protección y diseñar controles lo más cercano a ese elemento. En esencia, el enfoqué no es solo pensar que los ataques provienen de internet, sino que pueden originarse desde la misma red (asumir que ya tenemos el enemigo en casa).
Determinar quién o que necesita acceso: esto es determinar quién o que necesita acceder a un recurso especifico para realizar su trabajo. La idea es pensar en el concepto de menor privilegio posible.
Inspeccionar y capturar logs de todo el tráfico: todo el tráfico ida y vuelta hacia la superficie protegida debe ser inspeccionado y “logeado”, para detectar contenido malicioso o actividades no autorizadas.
Esto en esencia es Zero Trust, pero no quiero hablarles del modelo aquí, solo coloco los cuatro principios como contexto para poder entrar en detalle del 2do principio: “Diseñar desde adentro hacia afuera”, por lo que se hace necesario realizar un inventario de los componentes de la organización.
Pero antes de continuar, recordemos qué, según el marco de trabajo de NIST 800-53, en la función de “identificar” se establece que debe haber un inventario de activos y aplicaciones, y que en el marco de trabajo ISO27002 en su punto 5.9 se establece igualmente que debe haber un inventario de activos, dandonós a entender que es crítico contar con esa información antes de pensar en controles de seguridad. Es por esto que nos enfocaremos en dos de los componentes: activos y aplicaciones.
El reto que surge esta asociado a la falta de herramientas que te permiten obtener esa información de forma centralizada y automatizada, y es común encontrar silos de información. En algunos casos, encontramos que los clientes cuentan con tablas de Excel para inventariar los activos físicos, y en el caso de las aplicaciones tenemos un mundo diferente, el inventario de estas lo encontramos en plataformas que entregan algunos fabricantes como Microsoft u Oracle. También encontramos que en algunos casos son diferentes grupos que manejan el inventario, unos manejan activos físicos y otros manejan los activos intangibles como el software.
Esta práctica no ayuda de mucho para seguir el 2do principio de diseño de Zero Trust. ¿Pero qué pasa si les digo que existe una solución agnóstica que tiene la capacidad de conectarse a diferentes fuentes de información y extraer un inventario en vivo de activos y aplicaciones? Pues los milagros existen 😊, esta plataforma que ofrecemos tiene las siguientes capacidades:
Inventariar los dispositivos y usuarios de nuestro entorno empresarial, utilizando mas de 700 adaptadores para optener información de fuentes como: AD, EDR, NGFW, NACs, Vulnerability Managers, Vmware, CMDB, Switches, etc. Esto nos entrega un inventario consolidado con información de cada elemento rico en datos.
Con el inventario de dispositivos y usuarios, comienza la mejor parte de la solución que es detectar gaps o falencias de seguridad en los activos detectados. Existen diferentes casos de uso, y aquí les dejo algunos de ellos:
Detectar que PC o Servidor conectado a la red, no tiene instalado el elemento de protección del Endpoint: AV o EDR.
Detectar que los elementos de protección del Endpoint: AV o EDR esten funcionando adecuadamente. Nadie quiere llevarse la sorpresa que un ramsonware fue exitoso porque uno de los controles no estaba en funcionamiento.
Detectar cuales cuentas de usuario del dominio con perfil de administrador no ha cambiado su contraseña los últimos 180 días.
Detectar cuales cuentas de usuario dominio tienen configurado no cambiar la contraseña nunca.
Detectar cuales cuentas de usuario con perfil administrador están involucradas en brechas de seguridad de algún sitio en internet a través de la integración con “have i been pwned?”. Sabes, hay algo que se llama re-uso de contraseñas y es algo que es muy común que los usuarios con falta de conocimiento de seguridad lo realicen.
Detectar PC o Servidores con instancias de bases de datos de las cuales no teníamos conocimiento.
Detección de dispositivos con vulnerabilidades conocidas y no parcheadas por 30 días.
Esta plataforma se integra con herramientas de generación de tickets como Jira o Service Now para alertar a los departamentos de IT o Ciberseguridad de los gaps o falencias detectadas.
Por último la plataforma tiene la función de ejecutar acciones para corregir o informar al personal de soporte de estas falencias de seguridad, de forma que se cierren estas brechas a la par que se vayan descubriendo.
