¿Qué le depara el futuro a la Confianza Cero?
Recientemente, leí un artículo sobre uno de los últimos ataques de ransomware, en este caso con el proveedor de atención médica Lehigh Valley Health Network (LVHN). Por muy preocupante que sea siempre ver a cibercriminales tomar como rehenes los sistemas y datos de una organización, este ciberataque fue especialmente preocupante. Como describe el incidente el medio de comunicación The Register :
“[El ciberataque] BlackCat (también conocido como ALPHV) irrumpió en una de las redes de médicos de Lehigh Valley Health Network (LVHN) en EE. UU., robó imágenes de pacientes sometidos a tratamiento de oncología radioterápica junto con otros registros médicos confidenciales… LVHN se negó a pagar el rescate y, a principios de este mes, BlackCat comenzó a filtrar información de los pacientes, incluidas imágenes de al menos dos pacientes con cáncer de mama, desnudas de cintura para arriba”.
Si bien cada intento de extorsión puede crear un renovado sentido de propósito en la mejora de la seguridad de las redes y los datos confidenciales, el hecho de que el ransomware y todas las formas de ciberataques puedan causar daños duraderos y traumas psicológicos a las personas debería ser una importante llamada de atención para cualquier organización que aún no se haya embarcado en un viaje de seguridad de confianza cero. Cualquier sector u organización de infraestructura crítica a la que se le confíe información personal confidencial debería integrar los principios básicos de un modelo de confianza cero.
Probablemente no hace falta decir que, si no pensamos ya unos pasos por delante de donde estamos hoy en materia de seguridad de las aplicaciones, nos quedaremos rápidamente atrás en la carrera contra los cibercriminales y sus tácticas de amenazas emergentes. Por lo tanto, nunca es demasiado pronto para preguntarnos: ¿qué nos depara el futuro con la confianza cero? ¿Cómo evolucionará para abordar no sólo un panorama de amenazas cambiante sino también la naturaleza continuamente cambiante de nuestro mundo digital y de las propias aplicaciones?
Para ayudar a responder estas preguntas, me senté con dos expertos en seguridad aquí en F5: el destacado ingeniero Ken Arora y el director sénior de desarrollo de productos, Mudit Tyagi.
Esta violación de LVHN realmente me hizo pensar en cómo las organizaciones están implementando los principios de ZT. Es casi como un momento de ajuste de cuentas, donde un año de monitoreo de crédito gratuito ya no será suficiente para los consumidores afectados por una filtración de datos. ¿Diría usted que hoy en día hay mucho más en juego para las empresas?
Mudit: Es evidente que hay mucho más en juego. Especialmente con hackers patrocinados por estados que tienen los fondos y los recursos técnicos, así como el tiempo, para investigar y lanzar ataques muy específicos contra corporaciones y otras naciones. Sin mencionar que perturba el estado general de estabilidad social. Recordamos el incidente de Aurora de 2010, cuando se robó propiedad intelectual de Google y otras corporaciones estadounidenses. Una década después, en 2020, el ataque a la cadena de suministro de SolarWinds se utilizó como mecanismo para ingresar a muchas redes sensibles. El potencial impacto de “alto riesgo” ha llevado a la Casa Blanca a emitir una Orden Presidencial que requiere que todas las agencias gubernamentales sigan los principios de confianza cero.
Conocido: Estoy de acuerdo en que el alcance de la exposición sólo aumentará con el tiempo. Y eso no se debe solo a que habrá más datos disponibles en línea, sino también a que se expondrán nuevos tipos de vulnerabilidades a medida que avanzamos hacia la adopción de IA a gran escala. Notaré que la gobernanza social en torno a la gestión de los riesgos de cualquier nueva tecnología siempre lleva tiempo. Por ejemplo, hasta hace unos años las empresas, especialmente en sectores regulados, no tenían responsabilidad legal. Hemos visto esto con Experian y T-Mobile por un total colectivo de más de mil millones de dólares. Más recientemente, vemos cómo individuos como el CSO de Uber están siendo considerados personalmente responsables de mala praxis en casos en los que hubo negligencia significativa. Este ejemplo también es paralelo al de la atención sanitaria. Creo que estos avances hacen que sea aún más necesario que los profesionales de la seguridad sigan las mejores prácticas y que el sistema legal establezca directrices de puerto seguro.
Considerando el panorama actual, ¿qué cree que nos depara el futuro con la confianza cero?
Mudit: Históricamente, Google presentó Beyond Corp después de los ataques de Aurora como una de las primeras encarnaciones de confianza cero, aunque la idea es aún más antigua. Hoy en día, han surgido ofertas como ZTNA y SASE, que aplican principios de confianza cero al acceso de usuarios y dispositivos. Sin embargo, se debe hacer un mayor esfuerzo para aplicar los principios de confianza cero dentro de la propia red, donde las cargas de trabajo interactúan entre sí para posibilitar los procesos de negocio y las experiencias de los usuarios. Consideramos que esta carga de trabajo es de confianza cero. En pocas palabras, los enfoques relacionados con el acceso intentan evitar que se produzca una infracción, mientras que la confianza cero a nivel de carga de trabajo se centra en minimizar el impacto de una infracción en curso.
La industria lucha por implementar controles que sigan el principio de confianza cero de “asumir la violación”. Para hacer frente a escenarios posteriores a una violación, las cargas de trabajo requieren “identidades”, al igual que los usuarios y los dispositivos. Y esas cargas de trabajo deben ser monitoreadas continuamente para evitar que el malware que ya está dentro de la red cause daño. Esto es especialmente crítico considerando la fuerza laboral móvil actual y los entornos de infraestructura donde las aplicaciones están distribuidas en nubes privadas y públicas, además de sistemas heredados.
Dado que la confianza cero exige una mentalidad de “asumir que habrá una violación”, requerirá medidas de seguridad que vayan mucho más allá del simple control de acceso.
Conocido: Exactamente. También debemos incluir inteligencia sobre amenazas, información de seguridad y gestión de eventos, diagnóstico y mitigación continuos, etc. La naturaleza cambiante de las aplicaciones y el tráfico cada vez mayor impulsado por IA requieren que no solo tengamos un enfoque holístico de la confianza cero, sino que apliquemos estos principios a nuevas áreas de la infraestructura, como las propias cargas de trabajo.
Como señaló Mudit, los principios que fundamentan la confianza cero son conocidos e internalizados por los profesionales de seguridad desde hace mucho tiempo (y me refiero a la seguridad en general, no solo a la ciberseguridad). La encarnación más reciente, ZTNA, trata fundamentalmente de aplicar los principios de “verificar siempre” y “monitorear y evaluar continuamente” la identidad de los usuarios y dispositivos que desean acceder a una red.
Creo que los próximos pasos lógicos en la evolución de la confianza cero aplicada a la ciberseguridad serán: 1) elevar el nivel del acceso a la red al acceso a la aplicação , lo que significa utilizar abstracciones y protecciones de la capa de aplicación, no de la capa de red; y 2) extender la aplicação de los principios de confianza cero más allá de los usuarios y dispositivos a las cargas de trabajo.
¿Por qué es tan crítica la carga de trabajo? Y si profundizamos tanto, ¿aplicamos también los principios de confianza cero a las propias prácticas de desarrollo (pensando en repositorios de código y similares)?
Conocido: La respuesta corta es: las cargas de trabajo son críticas porque son la nueva amenaza interna.
Tenga en cuenta que la mayoría del código en aplicações nativas de la nube se desarrolla fuera del control de la organización propietaria de la aplicação , en un entorno de código abierto. La madurez de las prácticas de software utilizadas para desarrollar ese código generalmente está regulada de manera laxa y mal documentada. Las pruebas que se realizan para ese código, después de importarlo, son principalmente funcionales y están relacionadas con el rendimiento, y se da poca importancia a las evaluaciones de seguridad. Como resultado, la mayor parte del código de aplicação es “implícitamente confiable”, que es exactamente el comportamiento que la confianza cero intenta disuadir. Y eso supone que los proveedores de código tengan buenas intenciones. Si además consideramos que hay adversarios activos que intentan usar el código fuente abierto como puerta trasera, esto surge como una superficie de amenaza de primera clase. Por cierto, muchos de los ataques más recientes que acaparan titulares: log4j, SolarWinds y 3CX son todos ejemplos de ataques a la cadena de suministro, que están fuera del alcance de ZTNA y de las soluciones de seguridad basadas en la identidad del usuario.
Centrémonos en ese último punto por un momento: cómo el código fuente abierto puede usarse como puerta trasera. Esto nos lleva de nuevo a su punto anterior sobre que la confianza cero requiere medidas como inteligencia de amenazas, gestión de eventos e información de seguridad, diagnósticos continuos, etc.
Mudit: Sí. Es importante considerar cómo pensaríamos en la seguridad si comenzamos con “asumir una violación”. Los controles centrados en la red juegan algún papel; pueden buscar comunicaciones para ordenar y controlar. Sin embargo, el objetivo es impedir que el malware que ha logrado introducirse produzca daños. Cuando el malware hace su trabajo, debe revelarse. Cuando observamos todas las cargas de trabajo y comprendemos sus características, tenemos muchas más posibilidades de detectar la carga de trabajo maliciosa relacionada con las actividades del malware.
Los investigadores de MITRE han hecho un gran favor al mundo de la seguridad al crear una taxonomía con la que podemos entender la mayoría de los ataques en términos de una combinación de tácticas, técnicas y procedimientos (TTP) descritos en el marco MITRE ATT&CK. También describen un conjunto de contramedidas que ayudan a detectar los TTP en el marco MITRE D3FEND. Una parte importante de este marco son los análisis de procesos que requieren aplicar principios de confianza cero en ese nivel de carga de trabajo.
Es muy importante que el código que constituye la carga de trabajo sea escaneado en busca de vulnerabilidades mediante herramientas de prueba de seguridad de aplicação estáticas (SAST) y pruebas de seguridad de aplicação dinámicas (DAST) durante el ciclo de desarrollo. Uno también puede prepararse para implementar confianza cero a nivel de carga de trabajo construyendo una línea base de características de carga de trabajo de bajo nivel, como "llamadas del sistema", durante el ciclo de desarrollo. Con esta línea de base, resulta más fácil detectar y analizar anomalías a medida que la carga de trabajo se ejecuta en producción. El marco D3FEND sugiere un conjunto completo de contramedidas centradas en el endurecimiento que debería ocurrir durante el ciclo de desarrollo.
Abordemos el papel de la IA para la seguridad en general y la confianza cero en particular. ¿Qué desafíos y oportunidades de seguridad creará la IA? Además, ChatGPT ha estado en todas partes en las noticias. He visto proyecciones de que el 90% del tráfico de Internet será generado por IA para 2026. ¿Esto cambiará la seguridad? Si es así ¿cómo?
Mudit: Los ataques automatizados ya son muy difíciles de combatir. El atacante puede seguir modificando y modificando el ataque, lo que genera mucho ruido para el SOC. Los defensores ya utilizan la automatización para combatir estos ataques automatizados. Aun cuando conocemos las firmas de los ataques automatizados, los falsos positivos son un gran problema. Con IA, será mucho más fácil imitar a los usuarios normales que con los ataques automatizados de hoy. Esto hará que la detección de anomalías sea más difícil y requerirá un análisis contextual muy sofisticado para minimizar los falsos positivos.
Conocido: Creo que la IA seguirá teniendo un impacto enorme en la seguridad. Para empezar, claramente tiene un gran impacto en cómo los malos ejecutan sus ataques y cómo los defensores detectarán y remediarán esos ataques. En resumen, el juego del gato y el ratón persistirá, y la IA será exponencialmente más rápida y ágil en comparación con lo que los humanos podrían hacer manualmente.
Cuando se trata específicamente de ChatGPT, creo que el mantra de confianza cero de no confiar ciegamente se aplicará aquí. Así como la premisa de ZTNA es “no confiar ciegamente en los usuarios y dispositivos”, y eso debería extenderse a las cargas de trabajo, creo que la generación de contenido de IA nos llevará a no confiar ciegamente en el contenido. En muchos sentidos, esto supone un giro completo respecto del funcionamiento de la sociedad: la confianza que depositamos en un contenido específico depende de su procedencia. Por ejemplo, podría confiar más en una declaración sobre la integridad de un cheque emitido por mi banco que en una declaración similar procedente de una persona al azar en la calle. En resumen, la atribución de datos es importante. Y, a medida que la IA genere más contenido, veremos que esta idea, que ha existido en el mundo real durante mucho tiempo, surgirá como una consideración clave en el mundo digital.
Dado el ritmo acelerado al que surgen nuevas amenazas, el debate sobre el futuro de la confianza cero seguirá siendo relevante, especialmente cuando se trata de minimizar el impacto de las amenazas internas y aplicar los principios de confianza cero a la carga de trabajo. A medida que más material generado por IA inunda Internet, el enfoque de la industria hacia la confianza cero necesariamente evolucionará, y presentaremos más perspectivas en el futuro. Gracias por acompañarnos.
____
Para aquellos interesados en explorar más sobre “asumir una infracción”, lean el último artículo de Ken aquí .