Si alguna vez, en alguna realidad alternativa o futuro fantástico, tuviera la oportunidad de diseñar los sistemas informáticos de la Flota Estelar, algo que sin duda me aseguraría es que los sistemas de armas no estuvieran conectados a subrutinas de soporte vital. O bien, si yo fuera el comandante de una fuerza de invasión extraterrestre destinada a apoderarse de la Tierra (un planeta con una especie completamente diferente, claro está), insistiría en una autenticación biométrica, en lugar de un código de acceso o un token. Y, por último, si alguno de mis oficiales o nave espacial, contra todo pronóstico, milagrosamente “escapara” de sus captores, sin duda primero comprobaría que no llevaran ningún caballo de Troya.
Entonces, ¿qué tiene esto que ver con la confianza cero? Como probablemente ya habrás adivinado, a Hollywood le encantan las historias que muestran las consecuencias épicas que resultan de renunciar a unas cuantas onzas de paranoia saludable desde el principio. Y, desde mi perspectiva como profesional de la ciberseguridad, esa misma mentalidad (mantener una paranoia sana) es la base de lo que realmente significa la confianza cero.
Entonces, ¿por qué elijo centrarme específicamente en la confianza cero? Mi motivación se basa en una tendencia en cómo se utiliza hoy en día el término “confianza cero”. Volviendo a otra anécdota de producción cinematográfica, esta vez de finales de los años 80, ésta fue la época en la que Hollywood estaba haciendo la transición de las antiguas tecnologías analógicas a los estándares digitales para la edición de audio, vídeo y posprocesamiento. En ese momento y lugar, muchos de los miembros menos técnicos de la comunidad cinematográfica no entendían realmente qué significaba “digital”, ni tampoco les importaba; en cambio, el término “digital” era, para ellos, efectivamente sinónimo de “lo mejor en su clase”. Como resultado, y para gran disgusto de mis amigos expertos en tecnología que trabajaban con ellos, los productores y directores empezaron a preguntar si la iluminación o la construcción del set eran “digitales”, cuando lo que realmente querían decir era: “¿Es este el mejor diseño de iluminación o la mejor construcción de escenario?” Ahora bien, volviendo a la actualidad, con demasiada frecuencia escucho que se utiliza el término “confianza cero” dentro de la comunidad de las OSC de la misma manera que los productores de películas utilizaron el término “digital” en 1990.
Por otra parte, recientemente me presentaron el marco “Starts with Why” de Simon Sinek. Ese marco, elaborado junto con recuerdos de cómo Hollywood pensaba sobre los primeros días de lo “digital” y cómo las películas creaban historias basadas en (malas) prácticas de seguridad, ayudó a destilar una serie de pensamientos que tenía sobre la confianza cero. En el centro de la confianza cero se encuentra la moraleja de las historias de Hollywood con las que comencé: renunciar a unas pocas onzas de ciberprevención meditada en el diseño y la operación de la seguridad de un sistema crítico dará como resultado kilos de compromiso y dolor posteriores. De manera análoga, en el nivel central del “por qué” del marco, la confianza cero puede articularse como el siguiente conjunto de creencias:
A. Verifique siempre explícitamente ' quién': Eso es el actor que está intentando interactuar con su sistema.
B. Valor predeterminado: el mínimo privilegio requerido: Una vez establecida la identidad, permita a ese actor sólo los privilegios necesarios para interactuar con el sistema para la transacción comercial específica que se esté realizando, con los privilegios necesarios enumerados por el diseño.
C. Monitorear y (re) evaluar continuamente : La verificación de la identidad y los derechos de privilegio no deberían ser algo estático y de una sola vez; por el contrario, esas decisiones deben evaluarse y reevaluarse continuamente.
D. Y, aún así, supongamos que ha sido comprometido: Finalmente, a pesar de realizar los tres pasos anteriores, supongamos que un adversario sofisticado ha logrado superar las defensas. Por lo tanto, el sistema también debe considerar cómo identificar y aislar cualquier elemento o identidad comprometida y una estrategia para contener y/o remediar su impacto en el sistema.
Simplemente: No confíes implícitamente, más bien verifica siempre. Y confía sólo lo necesario. Y evaluar continuamente. Y no asumas que podrás atraparlos a todos. Ése es el “por qué” de la confianza cero.
Por supuesto, el “por qué” es sólo una parte de la historia. El “cómo”, es decir, las técnicas y herramientas utilizadas para encarnar la mentalidad que genera el “por qué”, es otra lente relevante para el practicante; surge como consecuencia de las creencias antes mencionadas. Nuevamente, seré específico y lo expresaré en el contexto del conjunto actual de herramientas que los profesionales de la ciberseguridad tienen disponibles:
El aspecto final del marco “por qué, cómo, qué” es el “qué”, es decir, los objetivos se pueden lograr y las clases de ataques se pueden prevenir o mitigar utilizando las herramientas y técnicas mencionadas anteriormente. Una taxonomía completa del conjunto de ciberataques será tema para un próximo artículo; sin embargo, como adelanto de las próximas atracciones, el “por qué” y el “cómo” descritos aquí abordan el espectro de “amenazas avanzadas” sofisticadas. Por ejemplo, la mentalidad de confianza cero puede abordar las amenazas de ransomware, incluso si son iniciadas por componentes de software “confiables” (también conocidos como “ataques a la cadena de suministro”). En concreto, la aplicação del principio de mínimo privilegio, incorporado en la política de control de acceso, debería utilizarse para limitar los permisos de lectura y escritura de archivos únicamente a aquellos actores que requieran ese privilegio, impidiendo así el cifrado de los recursos de archivos. Además, si algún actor (quizás un componente de software existente con permisos de escritura en archivos) se ve comprometido (usando el vector de ataque de la cadena de suministro mencionado anteriormente) intenta cifrar datos de alta velocidad en muchos archivos, la reevaluación y el análisis continuos deberían detectar el comportamiento anómalo en poco tiempo, como se descubre al observar la cantidad de archivos a los que se accede y la velocidad a la que se accede a ellos. La detección, combinada con la mitigación automatizada, se puede utilizar para bloquear rápidamente dicha actividad.
Entonces, volviendo a los mundos alternativos con los que comencé... Si todos los subsistemas informáticos de la Flota Estelar funcionaran según el principio del mínimo privilegio, la API que lanza torpedos de fotones no debería ser invocable por el subsistema de control de gravedad. Y los controles de la nave nodriza alienígena no solo realizarían MFA basada en biometría, sino que los controles de seguridad de la nave nodriza también asumirían que ocurrirán brechas y, por lo tanto, monitorearían y reevaluarían continuamente, detectarían la anomalía de un dron de combate que vuele a través de la nave y mitigarían la amenaza si ese dron anómalo se dirige hacia el núcleo del motor. Esas pocas medidas clave de prevención evitarían mucho drama consecuente, algo malo para Hollywood, pero bueno para los profesionales de la ciberseguridad.
Para obtener más información sobre el marco que abarca los conceptos generales en torno a la confianza cero, en relación con el contexto empresarial actual y la mentalidad de seguridad que los líderes empresariales de aplicação deben adoptar, lea nuestro informe técnico Seguridad de confianza cero: Por qué es importante la Confianza Cero (y para algo más que el acceso)