BLOG | OFICINA DEL CTO

Lo que Hollywood me enseñó sobre la Confianza Cero

Miniatura de Ken Arora
Ken Arora
Publicado el 5 de mayo de 2022


Si alguna vez, en alguna realidad alternativa o futuro fantástico, tuviera la oportunidad de diseñar los sistemas informáticos de la Flota Estelar, algo que sin duda me aseguraría es que los sistemas de armas no estuvieran conectados a subrutinas de soporte vital. O bien, si yo fuera el comandante de una fuerza de invasión extraterrestre destinada a apoderarse de la Tierra (un planeta con una especie completamente diferente, claro está), insistiría en una autenticación biométrica, en lugar de un código de acceso o un token. Y, por último, si alguno de mis oficiales o nave espacial, contra todo pronóstico, milagrosamente “escapara” de sus captores, sin duda primero comprobaría que no llevaran ningún caballo de Troya.

Entonces, ¿qué tiene esto que ver con la confianza cero? Como probablemente ya habrás adivinado, a Hollywood le encantan las historias que muestran las consecuencias épicas que resultan de renunciar a unas cuantas onzas de paranoia saludable desde el principio. Y, desde mi perspectiva como profesional de la ciberseguridad, esa misma mentalidad (mantener una paranoia sana) es la base de lo que realmente significa la confianza cero.

Entonces, ¿por qué elijo centrarme específicamente en la confianza cero? Mi motivación se basa en una tendencia en cómo se utiliza hoy en día el término “confianza cero”. Volviendo a otra anécdota de producción cinematográfica, esta vez de finales de los años 80, ésta fue la época en la que Hollywood estaba haciendo la transición de las antiguas tecnologías analógicas a los estándares digitales para la edición de audio, vídeo y posprocesamiento. En ese momento y lugar, muchos de los miembros menos técnicos de la comunidad cinematográfica no entendían realmente qué significaba “digital”, ni tampoco les importaba; en cambio, el término “digital” era, para ellos, efectivamente sinónimo de “lo mejor en su clase”. Como resultado, y para gran disgusto de mis amigos expertos en tecnología que trabajaban con ellos, los productores y directores empezaron a preguntar si la iluminación o la construcción del set eran “digitales”, cuando lo que realmente querían decir era: “¿Es este el mejor diseño de iluminación o la mejor construcción de escenario?” Ahora bien, volviendo a la actualidad, con demasiada frecuencia escucho que se utiliza el término “confianza cero” dentro de la comunidad de las OSC de la misma manera que los productores de películas utilizaron el término “digital” en 1990.  

Por otra parte, recientemente me presentaron el marco “Starts with Why” de Simon Sinek. Ese marco, elaborado junto con recuerdos de cómo Hollywood pensaba sobre los primeros días de lo “digital” y cómo las películas creaban historias basadas en (malas) prácticas de seguridad, ayudó a destilar una serie de pensamientos que tenía sobre la confianza cero. En el centro de la confianza cero se encuentra la moraleja de las historias de Hollywood con las que comencé: renunciar a unas pocas onzas de ciberprevención meditada en el diseño y la operación de la seguridad de un sistema crítico dará como resultado kilos de compromiso y dolor posteriores. De manera análoga, en el nivel central del “por qué” del marco, la confianza cero puede articularse como el siguiente conjunto de creencias:

A.     Verifique siempre explícitamente ' quién': Eso es el actor que está intentando interactuar con su sistema.

B.     Valor predeterminado: el mínimo privilegio requerido: Una vez establecida la identidad, permita a ese actor sólo los privilegios necesarios para interactuar con el sistema para la transacción comercial específica que se esté realizando, con los privilegios necesarios enumerados por el diseño.

C. Monitorear y (re) evaluar continuamente : La verificación de la identidad y los derechos de privilegio no deberían ser algo estático y de una sola vez; por el contrario, esas decisiones deben evaluarse y reevaluarse continuamente.

D. Y, aún así, supongamos que ha sido comprometido: Finalmente, a pesar de realizar los tres pasos anteriores, supongamos que un adversario sofisticado ha logrado superar las defensas. Por lo tanto, el sistema también debe considerar cómo identificar y aislar cualquier elemento o identidad comprometida y una estrategia para contener y/o remediar su impacto en el sistema.

Simplemente: No confíes implícitamente, más bien verifica siempre. Y confía sólo lo necesario. Y evaluar continuamente. Y no asumas que podrás atraparlos a todos. Ése es el “por qué” de la confianza cero.

Zero Trust

Por supuesto, el “por qué” es sólo una parte de la historia. El “cómo”, es decir, las técnicas y herramientas utilizadas para encarnar la mentalidad que genera el “por qué”, es otra lente relevante para el practicante; surge como consecuencia de las creencias antes mencionadas. Nuevamente, seré específico y lo expresaré en el contexto del conjunto actual de herramientas que los profesionales de la ciberseguridad tienen disponibles:

  1. Autenticación : Cualquier actor que interactúe con el sistema protegido debe certificar que tiene alguna identidad o, en algunos casos, una tupla de identidades (como una identidad para el ser humano o el sistema automatizado, junto con una identidad para el dispositivo o la plataforma en la que se encuentra el ser humano o el sistema, y tal vez incluso una identidad para el navegador o la herramienta utilizada para facilitar el acceso). La mentalidad de confianza cero implica que cualquier atestación de este tipo debe ser verificada o “autenticada” por uno o más medios: un secreto compartido, un token o certificado y, en sistemas más modernos, también observando y verificando el patrón de comportamiento de ese actor.
     
  2. Control de acceso : Una vez establecida la identidad, a esa identidad se le debe asignar un nivel de confianza, encarnado en los derechos de control de acceso otorgados a esa identidad. La política de control de acceso debe seguir el principio del mínimo privilegio, donde los únicos derechos concedidos son el conjunto mínimo requerido para que el actor desempeñe su función dentro del sistema. Las implementaciones ideales de control de acceso deberían permitir una especificación detallada de los derechos otorgados, como por ejemplo: El rol permite el acceso a las API <1>, <3> y <4>, y privilegios de lectura para objetos de clase y . Una práctica recomendada a tener en cuenta es que los escenarios complejos de control de acceso dirigidos a recursos de aplicação deben abstraerse detrás de API, en lugar de otorgar acceso directo a objetos, archivos y recursos de red.
     
  3. Visibilidad : Pasando a la parte de “monitoreo” de la mentalidad —un prerrequisito para la “reevaluación continua”— el sistema debe ser capaz de brindar visibilidad continua y en tiempo real de los comportamientos del sistema de cada actor. En este contexto, la afirmación “si no lo viste, no sucedió” es axiomática. Además, la “telemetría” recopilada no sólo debe ser visible, sino también consumible, en el sentido de que debe existir dentro de un marco que permita compartir y contextualizar lo que se informa. Esto permite combinar y correlacionar de forma significativa datos de múltiples fuentes, lo que posibilita una evaluación de riesgos más sólida y de mayor eficacia.
     
  4. Análisis contextual asistido por aprendizaje automático : La motivación de la mencionada visibilidad es poder ejecutar el principio de “reevaluación continua”. En su implementación, este precepto requiere no solo visibilidad, sino también análisis, generalmente en múltiples fuentes de datos (lo que requiere el marco que facilita compartir mencionado anteriormente) casi en tiempo real. Para lograrlo, la evaluación continua a menudo requerirá asistencia de sistemas de aprendizaje automático de IA para detectar actores que actúan de manera anómala, a fin de identificar cualquier posible compromiso del sistema. Por último, un motor de análisis sólido debería ser capaz de proporcionar una respuesta más matizada que un simple sí/no binario: idealmente, una evaluación de riesgos junto con un puntaje de confianza asociado.
     
  5. Remediación automatizada consciente del riesgo : Por último, dado que parte del sistema de creencias es que algunos adversarios sofisticados aún lograrán infiltrarse en el sistema, el sistema debe ser capaz de actuar para monitorear más profundamente y, cuando sea necesario, contener y/o bloquear tales acciones o actores. La respuesta del sistema (que va desde el mero registro hasta una inspección más profunda, pasando por el bloqueo de la acción intentada o incluso el engaño al presunto actor malicioso) debe considerarse en el contexto empresarial de nivel superior. La probabilidad y el impacto de falsos positivos o negativos, y el riesgo comercial de la acción son parte de esas consideraciones. Por ejemplo, bloquear la exploración de un catálogo de productos puede ser apropiado solo si hay una confianza muy alta de que el actor sea un raspador de sitios malicioso, pero requerir autenticación adicional puede ser apropiado para una transacción bancaria con un grado de confianza menor. Por último, debido a la sofisticación y velocidad de los ciberataques modernos, la acción de remediación operativa debe ser automatizable, y la política especificada por el ser humano debe describirse en términos de objetivos impulsados por la intención.

El aspecto final del marco “por qué, cómo, qué” es el “qué”, es decir, los objetivos se pueden lograr y las clases de ataques se pueden prevenir o mitigar utilizando las herramientas y técnicas mencionadas anteriormente. Una taxonomía completa del conjunto de ciberataques será tema para un próximo artículo; sin embargo, como adelanto de las próximas atracciones, el “por qué” y el “cómo” descritos aquí abordan el espectro de “amenazas avanzadas” sofisticadas. Por ejemplo, la mentalidad de confianza cero puede abordar las amenazas de ransomware, incluso si son iniciadas por componentes de software “confiables” (también conocidos como “ataques a la cadena de suministro”). En concreto, la aplicação del principio de mínimo privilegio, incorporado en la política de control de acceso, debería utilizarse para limitar los permisos de lectura y escritura de archivos únicamente a aquellos actores que requieran ese privilegio, impidiendo así el cifrado de los recursos de archivos. Además, si algún actor (quizás un componente de software existente con permisos de escritura en archivos) se ve comprometido (usando el vector de ataque de la cadena de suministro mencionado anteriormente) intenta cifrar datos de alta velocidad en muchos archivos, la reevaluación y el análisis continuos deberían detectar el comportamiento anómalo en poco tiempo, como se descubre al observar la cantidad de archivos a los que se accede y la velocidad a la que se accede a ellos. La detección, combinada con la mitigación automatizada, se puede utilizar para bloquear rápidamente dicha actividad. 

Entonces, volviendo a los mundos alternativos con los que comencé... Si todos los subsistemas informáticos de la Flota Estelar funcionaran según el principio del mínimo privilegio, la API que lanza torpedos de fotones no debería ser invocable por el subsistema de control de gravedad. Y los controles de la nave nodriza alienígena no solo realizarían MFA basada en biometría, sino que los controles de seguridad de la nave nodriza también asumirían que ocurrirán brechas y, por lo tanto, monitorearían y reevaluarían continuamente, detectarían la anomalía de un dron de combate que vuele a través de la nave y mitigarían la amenaza si ese dron anómalo se dirige hacia el núcleo del motor. Esas pocas medidas clave de prevención evitarían mucho drama consecuente, algo malo para Hollywood, pero bueno para los profesionales de la ciberseguridad.

Para obtener más información sobre el marco que abarca los conceptos generales en torno a la confianza cero, en relación con el contexto empresarial actual y la mentalidad de seguridad que los líderes empresariales de aplicação deben adoptar, lea nuestro informe técnico Seguridad de confianza cero: Por qué es importante la Confianza Cero (y para algo más que el acceso)