5 mitos de confianza cero desvelados por John Kindervag y Michael Farnum

En 2010, John Kindervag publicó No más centros masticados: presentación del modelo de confianza cero de la seguridad de la información, un informe que detalla el nuevo concepto de Confianza Cero que había creado.

En los casi 15 años transcurridos desde que introdujo el concepto, ha sido ampliamente adoptado en la industria de la ciberseguridad. Pero su definición también se ha malinterpretado a lo largo del tiempo. Han salido varios mitos de confianza cero que llevan a las organizaciones por mal camino a medida que trabajan hacia la resiliencia cibernética.

Kindervag, ahora evangelista jefe de Illumio, está listo para dejar las cosas claras. Por eso se unió a Michael Farnum, CISO asesor de Trace3, para una charla junto a la chimenea para discutir los mitos más comunes de Zero Trust que están viendo en la industria y las verdades detrás de ellos.

Ver sus discusión completa bajo demanda, y siga leyendo para obtener la verdad del creador de Zero Trust y un experto líder en seguridad.

La definición de John Kindervag de Zero Trust

El título único del informe de Kindervag, No más centros masticados, viene de lo que dice es un viejo dicho en seguridad de la información: “Queremos que nuestra red sea como un M&M, con un exterior duro crujiente y un centro suave y masticable”. El lema se basa en el tradicional modelo Trust de ciberseguridad. Asume que los atacantes no pueden pasar el “duro y crujiente exterior” del perímetro de la red segura.

Pero como explica Kindervag, “en el nuevo panorama de amenazas actual, esta ya no es una forma efectiva de hacer cumplir la seguridad. Una vez que un atacante pasa el shell, tiene acceso a todos los recursos de nuestra red”.

El Modelo Zero Trust es la respuesta de Kindervag a este viejo modelo de seguridad.

“Cero Confianza es una estrategia. No es un producto. No se puede comprar”, dijo.

Zero Trust está diseñado para hacer dos cosas:

• Detenga las brechas de datos (Kindervag define las violaciones de datos como incidentes cuando datos confidenciales o regulados han sido exfiltrados de una red o sistema a manos de un actor malintencionado)

• Detener el éxito de los ciberataques

Zero Trust proporciona una hoja de ruta para lograr que esas dos cosas se hagan a un nivel estratégico. Te ayuda a guiarte hacia las tácticas y tecnologías adecuadas.

“La ciberseguridad es un viaje, no un destino. Creo que lo mismo es cierto con Zero Trust”, anotó.

Los 5 pasos de Kindervag para Cero Confianza

1. Defina su superficie de protección: No puede controlar la superficie de ataque porque siempre está evolucionando, pero puede reducir la superficie de protección de su organización en partes pequeñas y fácilmente conocidas. La superficie de protección generalmente incluye un único elemento de datos, servicio o activo.

2. Mapear la comunicación y los flujos de tráfico: No se puede proteger el sistema sin entender cómo funciona. Obtener visibilidad en sus entornos muestra dónde se necesitan los controles.

3. Cree el entorno de confianza cero: Una vez que obtenga una visibilidad completa de la red, puede comenzar a implementar controles personalizados para cada superficie de protección.

4. Crear políticas de seguridad Zero Trust: Cree políticas que proporcionen reglas granulares que permitan que solo el tráfico permitido acceda al recurso en la superficie de protección.

5. Monitorear y mantener la red: Vuelva a inyectar telemetría en la red, creando un bucle de retroalimentación que mejora continuamente la seguridad y construye un sistema resistente y antifrágil.

Mito de confianza cero #1: Hay estándares definidos para la ciberseguridad y la confianza cero

“No hay estándares de ciberseguridad en el mundo”, dijo Kindervag. A pesar de sus informes publicados sobre Zero Trust, organizaciones como NIST y CISA no establecen estándares de ciberseguridad, solo brindan orientación.

“Si lees Modelo de Madurez de Confianza Cero de CISA (ZTMM), dicen que es una forma en que podrías elegir hacerlo. No están siendo prescriptivos en absoluto, y yo tampoco”, explicó.

Esto también significa que no hay un estándar para Zero Trust. Cada organización es única y debe adoptar un enfoque único para construir Zero Trust. La orientación de seguridad puede ser muy útil, pero no es necesariamente la mejor manera de hacerlo.

Mito de confianza cero #2: Puede obtener Zero Trust siguiendo una lista de verificación

En verdad, el viaje Zero Trust de cada organización será diferente. Depende de su tamaño, crecimiento, presupuesto y recursos.

“Se trata de averiguar el punto en el modelo de madurez en el que quieres enfocarte y qué necesitas hacer para alcanzarlo”, explicó Kindervag.

Kindervag recomienda comenzar con la superficie de protección de su organización. Los equipos deben preguntar, ¿qué necesitamos proteger? Esto es diferente a un enfoque que comienza con la superficie de ataque que puede iniciar un ciclo interminable e infructuoso de reaccionar a las amenazas en lugar de prepararse proactivamente para proteger los activos más importantes.

Farnum estuvo de acuerdo en que Trace3 a menudo ve organizaciones que han comenzado sus viajes de Zero Trust centrándose en la superficie de ataque, pero se han encontrado con trampas. En su lugar, Trace3 alienta a los clientes a utilizar los cinco pasos de Kindervag para Zero Trust identificando primero su superficie de protección.

Mito de confianza cero #3: La confianza cero es solo seguridad de identidad

Kindervag advirtió contra ser “demasiado literal” con Zero Trust. Para muchos líderes de seguridad, esto puede parecer como seguir el modelo de madurez demasiado estrictamente.

“La gente siente que primero tiene que hacer toda la identidad porque ese es el primer pilar Zero Trust”, dijo Kindervag. En su lugar, alienta a las organizaciones a que observen su superficie de protección única y se centren en cualquier pilar de confianza cero que asegure primero sus recursos más importantes.

“Hay que mirarlo horizontalmente, no solo verticalmente”, explicó Kindervag.

Esto a menudo significa que las organizaciones deben centrarse en la segmentación más que en la identidad. Hace 13 años en su segundo informe escrito en Zero Trust, Construya la seguridad en el ADN de su red: la arquitectura de red Zero Trust, Kindervag coloca la segmentación en el núcleo de Zero Trust. Como dice en el informe, “Se deben crear nuevas formas de segmentar redes porque todas las redes futuras necesitan ser segmentadas por defecto”.

Segmentación, también llamada Segmentación de confianza cero, es una parte esencial de Zero Trust. No se puede lograr Cero Confianza sin fuera.

Mito de confianza cero #4: Comprar una plataforma Zero Trust significa que tiene seguridad Zero Trust

Si estás en la industria de la ciberseguridad, has escuchado el término defensa en profundidad. Pero para muchas organizaciones, este concepto se ha convertido en “gasto en profundidad”, según Kindervag.

¿Por qué las organizaciones siguen sufriendo graves incidentes cibernéticos cuando gastamos más que nunca en soluciones de seguridad?

“Si la seguridad se trata de comprar suficientes cosas o gastar suficiente dinero, entonces lo hemos hecho”, dijo Kindervag.

Farnum dijo que ve que muchas empresas gastan dinero en plataformas de seguridad sin entender primero lo que necesitan proteger. Trace3 alienta a los clientes a cambiar su forma de pensar sobre Zero Trust antes de realizar más compras. Vuelven a obtener visibilidad en su red y a saber qué es lo más importante para asegurar.

Kindervag refrendó este enfoque. “Solo queremos que funcione automáticamente de una manera mágica de polvo de hadas. Pero no es así como funciona. Siempre comienzas con la superficie de protección”.

Mito de confianza cero #5: “Zero Trust” es solo un nuevo empaque para un viejo concepto de seguridad

Algunos en la industria de ciberseguridad han cuestionado la validez de Zero Trust. Lo han condenado como jerga de marketing que es simplemente nueva envolviendo una vieja idea.

Pero para Kindervag, esto solo demuestra que malinterpretan el concepto. “¿Qué era Zero Trust antes de Zero Trust? No había Cero Confianza. Ese era el problema”, dijo.

En el 20^el siglo, la atención se centró en la seguridad basada en el perímetro. Las redes se diseñaron de afuera hacia adentro: el exterior no era de confianza y el interior era de confianza. Esto creó redes planas completamente abiertas en el interior. Con este diseño, los atacantes no solo pueden entrar dentro de la red, sino que pueden permanecer ahí por días, semanas, meses, incluso años.

“Tienes que restablecer tu mentalidad”, coincidió Farnum. “No se debe confiar en todas las interfaces. El hecho de que su red esté en funcionamiento no significa que sea segura”.

Se asocia Illumio + Trace3 para avanzar en su Zero Trust estrategia

Traza3 es una firma líder en consultoría tecnológica que ayuda a los clientes a construir, innovar y administrar toda su esfera de TI, incluida la ciberseguridad. Se han asociado con Illumio para ayudar a los clientes a crear seguridad Zero Trust con Zero Trust Segmentation.

En conjunto, la asociación ofrece un enfoque integral para construir e implementar una arquitectura Zero Trust. Al combinar la experiencia estratégica de Trace3 con la avanzada tecnología de segmentación de Illumio, puede encontrar un enfoque personalizado para Zero Trust que se adapte a las necesidades de seguridad de su organización.

Ver Kindervag's and Farnum's conversación completa bajo demanda. Póngase en contacto con nosotros hoy para saber cómo Illumio + Trace3 puede ayudar a su organización a construir Zero Trust.