Evaluación de la ciberseguridad y modelo de confianza cero

 Principios de ciberseguridad de confianza cero

En los últimos años, el concepto de arquitectura de "confianza cero" ha pasado por una serie de fases evolutivas. Ha pasado de ser la nueva moda, a ser trivial (en gran parte debido a una avalancha de marketing de aquellos que buscan sacar provecho de la tendencia), a pasar de moda, y ahora finalmente se ha asentado en lo que probablemente siempre debería haber sido todo. Along: una opción de seguridad sólida y funcional con ventajas y desventajas discretas y observables que se pueden incorporar al enfoque de seguridad de nuestra organización.

La confianza cero, como su nombre lo indica, es un modelo de seguridad en el que todos los activos, incluso los puntos finales administrados, de aprovisionamiento y redes locales configuradas por usted: se consideran hostiles, poco confiables y potencialmente ya comprometidas por los atacantes. En lugar de modelos de seguridad heredados que diferencian un interior "de confianza" de uno externo que no es de confianza, la confianza cero supone que todas las redes y hosts son igualmente poco fiables.

Una vez que se realiza este cambio fundamental en las suposiciones, se empieza a tomar decisiones diferentes sobre en qué, en quién y cuándo confiar, y métodos de validación aceptables para confirmar una solicitud o transacción.

Como mentalidad de seguridad, esto tiene ventajas y desventajas.

Una ventaja es que le permite aplicar estratégicamente los recursos de seguridad. donde más los necesita; y aumenta la resistencia al movimiento lateral del atacante (ya que cada recurso debe romperse de nuevo si establecen una cabeza de playa).

También hay desventajas. Por ejemplo, se requiere la aplicación de políticas en todos los sistemas y aplicaciones, y es posible que los componentes heredados más antiguos creados con diferentes supuestos de seguridad no encajen bien, p. Ej. que la red interna es confiable.

Una de las desventajas más potencialmente problemáticas tiene que ver con la validación de la postura de seguridad, es decir, en situaciones en las que el modelo de seguridad requiere revisión por parte de organizaciones más antiguas y más centradas en el legado. La dinámica es desafortunada: las mismas organizaciones que probablemente encontrarán el modelo más convincente son las mismas organizaciones que, al adoptarlo, probablemente se preparen para superar los desafíos.

Validación y minimización de la exposición

Para comprender la dinámica a la que nos referimos aquí, es útil considerar cuál es el siguiente paso lógico una vez que se ha adoptado la confianza cero. Específicamente, si asume que todos los terminales están potencialmente comprometidos y que todas las redes son probablemente hostiles, una consecuencia natural y lógica de esa suposición es minimizar el lugar al que pueden ir los datos confidenciales.

Por ejemplo, podría decidir que ciertos entornos no lo son. t suficientemente protegido para almacenar, procesar o transmitir datos confidenciales que no sean a través de canales muy estrictamente definidos, como el acceso HTTPS autenticado a una aplicación web.

En el caso de que se haga un uso intensivo de los servicios en la nube, es bastante lógico Decidir que los datos confidenciales se pueden almacenar en la nube, sujeto por supuesto a los mecanismos de control de acceso que se construyen explícitamente para este propósito y que tienen medidas de seguridad y personal operativo que no puede permitirse implementar o mantener solo para su propio uso.

Como ejemplo, digamos que tiene una organización hipotética más joven en el mercado medio. Por "más joven" queremos decir que quizás solo hayan pasado unos pocos años desde que se estableció la organización. Digamos que esta organización es "nativa de la nube", es decir, 100% externalizada para todas las aplicaciones comerciales y diseñada en torno al uso de la nube.

Para una organización como esta, la confianza cero es convincente. Dado que está 100% externalizado, no tiene centros de datos ni servidores internos, y mantiene solo la huella de tecnología local más mínima. Esta organización podría requerir explícitamente que ningún dato sensible pueda "vivir" en los terminales o dentro de la red de su oficina. En cambio, todos esos datos deben residir en el subconjunto de servicios en la nube definidos y conocidos que están explícitamente aprobados para ese propósito.

Hacer esto significa que la entidad puede concentrar todos sus recursos en fortalecer la infraestructura en la nube, servicios de puerta de enlace de tal manera que todo el acceso (independientemente de la fuente) está protegido de manera robusta y desprioriza cosas como la seguridad física, el endurecimiento de la red interna (suponiendo que haya uno), la implementación de controles de monitoreo interno, etc. Suponiendo un proceso diligente y profesional es seguido para asegurar el uso de los componentes de la nube, este enfoque puede ayudar a concentrarse en recursos limitados.

Sin embargo, la organización del ejemplo anterior no opera en el vacío, ninguna organización lo hace. Trabaja con clientes, clientes potenciales en el proceso de ventas, socios comerciales y muchos otros. Dado que la organización es más pequeña, muchos de sus clientes pueden ser organizaciones más grandes, potencialmente clientes con requisitos estrictos sobre la protección de los proveedores de servicios externos y la validación de su seguridad. Quizás tenga una obligación regulatoria de hacerlo dependiendo de la industria en la que se encuentre. Ahora, algunos de estos clientes pueden estar completamente externalizados, pero la mayoría no lo estará: tendrán aplicaciones heredadas, restricciones únicas, requisitos especializados y otros negocios. razones por las que no pueden respaldar un modelo completamente externo.

Los resultados suelen ser una discusión perfectamente comprensible, pero contraproducente, con propósitos cruzados entre la organización que realiza la evaluación (el cliente potencial) y la que está siendo evaluada (el servicio proveedor). Un proveedor de servicios, por ejemplo, podría argumentar de manera muy razonable que los controles de seguridad física (para elegir solo un ejemplo) están fuera del alcance para los propósitos de la evaluación. Podrían argumentar esto sobre la base de que los únicos controles de seguridad físicos que importan son los de los proveedores de nube que emplean, ya que, después de todo, este es el único lugar donde se permite que residan los datos.

El cliente, por otro lado, También podría, razonablemente, preocuparse por aspectos de la seguridad física que se relacionan con el entorno del proveedor de servicios. Por ejemplo, el acceso de visitantes a instalaciones donde los datos del cliente pueden verse en la pantalla, incluso si los datos no están almacenados allí. Podrían imaginar un escenario, por ejemplo, en el que un visitante no autorizado de la oficina podría "navegar por el hombro" los datos cuando un usuario legítimo los ingresa en la pantalla.

Una conversación como la anterior, incluso cuando no se convierte en contencioso, sigue siendo subóptimo para ambas partes involucradas. Desde el punto de vista del proveedor de servicios, ralentiza el proceso de ventas y ahorra tiempo a los ingenieros que, de otro modo, se centrarían en el desarrollo de productos. Sin embargo, desde el punto de vista del cliente potencial, esto los pone nerviosos por las posibles fuentes de riesgo no contabilizado, al mismo tiempo que genera malestar con los socios comerciales internos ansiosos por incorporar el servicio y a quienes les gustaría que la investigación de antecedentes se lleve a cabo rápidamente.

Estrategias principales

Entonces, la pregunta es: ¿Cómo comunicamos eficazmente un modelo de confianza cero si deseamos emplear uno de esta manera? Si estamos validando este enfoque, ¿cómo respondemos las preguntas correctas para que podamos llegar a una determinación rápidamente y (idealmente) habilitar el uso comercial del servicio? Resulta que hay algunos enfoques que podemos aprovechar. Ninguno de ellos es ciencia espacial, pero requieren tener empatía, y hacer un poco de trabajo preliminar, para brindar apoyo.

Desde el punto de vista del proveedor de servicios, hay tres principios útiles a tener en cuenta: 1) ser comunicativo, 2) demuestre la validación de sus suposiciones y 3) respalde sus afirmaciones con documentación.

Con "próxima publicación" me refiero a la voluntad de compartir información más allá de lo que un cliente pueda pedir. Si proporciona un SaaS en la nube como en el ejemplo anterior, esto podría significar que está dispuesto a compartir información más allá del conjunto específico de elementos solicitados por el cliente. Esto le permite "genéricaizar" la información incluso hasta el punto de aprovechar los entregables estándar. Por ejemplo, podría considerar participar en el registro CSA STAR preparar artefactos de recopilación de información estándar como CSA CAIQ Evaluación de control estandarizado de evaluaciones compartidas SIG o el Programa de Evaluación de Terceros HITRUST en el espacio de la salud.

El segundo principio, que demuestra la validación, significa que ha validado las suposiciones que se han incluido en su modelo de seguridad. En el ejemplo anterior, esto significa que podríamos respaldar la suposición de "no hay datos almacenados internamente" con la validación. Es mucho más probable que un evaluador de un cliente crea la declaración si se usa un control como DLP para validarla.

El último punto de tener documentación significa documentar el modelo que defiende. Por ejemplo, si puede proporcionar un documento arquitectónico que describa su enfoque: por qué lo emplea, el análisis de riesgo que realizó de antemano, los controles establecidos para validar, etc. Respaldelo con una política definida que establezca principios y expectativas de seguridad. .

Desde el punto de vista del evaluador, en realidad solo hay un principio, que es adoptar la flexibilidad donde sea posible. Si comprende la intención y el rigor de los controles que esperaría y un proveedor de servicios cumple con la misma intención con el mismo nivel de rigor pero de una manera diferente a la que espera, brindando opciones para el proveedor de servicios (además de requerir que compren e instalen controles que no necesitan) es útil.

Nuevamente, ninguno de estos consejos es ciencia espacial, por supuesto. Pero el hecho de que sea obvio no significa que todos lo hagan. Al hacer un trabajo preliminar con anticipación y mirar a través de una lente empática, puede agilizar el proceso de evaluación en una situación como esta.


Leave a Reply

Your email address will not be published. Required fields are marked *

CLip art of Flip Day 2 CLip art of Flip Day 1 CLip art of Flip Day 1