¿Por qué Cero Confianza para una Mejor Seguridad de Endpoint?

La confianza cero es rápida ganando popularidad como una filosofía implementada por organizaciones de todos los tamaños. La idea de no confiar en ninguna persona o dispositivo puede sonar algo draconiana, por lo que a menudo se aplica el concepto de 'verificar siempre'. No obstante, inevitablemente habrá momentos en que las fuentes no se puedan verificar, por lo que se aplica el mantra “verificar donde se puede y bloquear donde no se puede”.

Si bien Zero Trust comenzó como un concepto de protección de sus activos más valiosos utilizando el enfoque DAAS (datos, aplicaciones, activos y servicios), la mayoría de los cuales existían en el data center o la nube, recientemente el endpoint se ha incluido cada vez más, ya que contiene datos y aplicaciones, es un activo y utiliza una amplia variedad de servicios.

Dicho esto, el desafío con los endpoints es que no siempre están encerrados de manera segura en un área segura, sino que pueden moverse. En muchos casos, los endpoints se trasladan a entornos que pueden ser potencialmente muy peligrosos, incluida una red doméstica. Generalmente nos sentimos muy seguros en casa, pero no hay sistema de entrada de puerta para rastrear quién entra y sale. Compartimos la red y el espacio de trabajo con consolas de juegos, CCTV, sistemas de música, otras estaciones de trabajo desprotegidas y, como resultado, toda una serie de amenazas potenciales.

Idealmente, un trabajador a domicilio tendría su computadora portátil de trabajo en una habitación cerrada, cableada a su propia red en una conexión de banda ancha separada conectada a través de una VPN segura. Pero como sabemos, esto generalmente no es así como son las cosas, por lo que el concepto de Zero Trust para seguridad de punto final es más relevante de lo que todos creen.

Esto plantea la pregunta: ¿cómo podemos implementar y hacer cumplir Zero Trust para la seguridad de los puntos finales, no solo en el campus, sino para el enorme (y creciente) número de trabajadores remotos?

Primero, debemos entender cuáles son las amenazas potenciales:

1. La red doméstica : esto ha crecido de 2 o 3 PC a una amplia combinación de TI y OT. El número de dispositivos en la red ha crecido a alrededor de 20, cada uno de los cuales tendrá su propia conexión a un servicio remoto. Muy pocos hogares tienen un firewall de alta calidad y casi ningún proveedor de servicios ofrece un servicio de firewall de próxima generación basado en la nube. Del mismo modo, la seguridad de punto final disponible para los usuarios domésticos es heredada, lo que significa que a menudo es pesada, lenta y hace que muchos la apague o no la instalen en primer lugar.
2. WiFi público — casi dondequiera que vayamos, desde hoteles hasta autobuses, ahora ofrece un servicio WiFi. El potencial de puntos de acceso falsos y ataques de hombre en el medio (MiTM) es enorme.
3. Conexión a la red corporativa si bien la red corporativa en sí misma no debería ser una amenaza debido a otros entornos, nosotros nos convertimos en la amenaza. Nuestra computadora portátil podría haberse infectado, y tan pronto como nos conectemos a la red corporativa ya sea de forma directa o remota, podemos lanzar malware a nuestra propia organización.

Entonces, ¿cómo podemos usar verificar o bloquear para cumplir con el enfoque Zero Trust? Aquí hay algunas cosas a tener en cuenta:

1. Asegurar que las máquinas y las personas sean quienes dicen ser. Utilice la autenticación multifactor (MFA) para verificar usuarios y dispositivos. La identidad a menudo se describe como el perímetro último de la red y, hasta cierto punto, esto es cierto. En la mayoría de los sistemas, es mejor desacoplar la seguridad de la red y la identidad no es una excepción, ya que entonces se vuelve completamente portátil a todos los entornos.
2. Mientras sea remoto, conecte a todos los usuarios a través de VDI o VPN.
3. Escritorios virtuales o los escritorios remotos pueden proporcionar una conexión segura y sencilla para la mayoría de los usuarios. Como las aplicaciones nunca existen en el endpoint, es difícil que el malware se propague a la red corporativa. Sin embargo, es importante asegurarse de que el entorno backend esté segmentado correctamente para evitar que las amenazas accedan a los sistemas más amplios.
4. Las VPN son ampliamente utilizadas por las organizaciones para proporcionar una conexión segura que replica la red corporativa. La mayoría verificará que el endpoint tenga parches actualizados y firmas de seguridad antes de permitir que se realice la conexión. Las VPN pueden causar algunos problemas de performance si todo necesita ser backhaulado a la red doméstica. Para resolver esto, ha surgido una nueva clase de sistema llamado Secure Access Service Edge (SASE) que utiliza el acceso local a la nube para proporcionar una conexión remota segura.
7. Asegúrese de que todos los endpoints tengan instaladas plataformas de protección de endpoints (EPP) de próxima generación y soluciones de detección y respuesta de endpoints (EDR). Los sistemas ligeros modernos utilizan una combinación de análisis de amenazas y análisis de comportamiento para identificar y detener malware conocido y desconocido.
8. Aplicar segmentación de punto final. Uno de los principales postulados de Zero Trust es la microsegmentación y esto se aplica por igual a los endpoints. La microsegmentación en el endpoint detiene la propagación de amenazas de igual a igual al permitir únicamente las aplicaciones requeridas.

La combinación de estos sistemas debería proteger tanto al endpoint como a otros usuarios, ya sea en campus o entornos remotos. Si bien las MFA y las VPN tienen que ver con la verificación, la combinación de EPP y microsegmentación detiene la amenaza. Si mientras está en casa un usuario adquiere algún malware, puede sentarse y no hacer nada durante semanas. Si no hace nada, es muy difícil de detectar. Sin embargo, una vez que el dispositivo está conectado al entorno corporativo, el malware puede intentar trasladarse a otros hosts o endpoints en busca de un sistema que esté desprotegido o sin parches.

Una vez que el malware se ha escapado del sistema de origen y está suelto, la contención es clave. Incluso los mejores sistemas de seguridad de punto final pueden tardar unos minutos en detectar una amenaza y, en este momento, el malware puede moverse a lo largo y ancho.

El uso de segmentación de punto final como Illumio Edge evita la propagación a gran escala de malware al aplicar reglas de lista blanca de Zero Trust a la comunicación entre sistemas, permitiendo que solo las aplicaciones y sistemas autorizados se comuniquen. Esto contendrá cualquier amenaza mientras que el resto de la infraestructura de seguridad identifica y remedia el ataque.

Para obtener más información sobre cómo funciona Illumio Edge:

• Conoce más sobre su características clave
• Echa un vistazo a esto visión general de la arquitectura
• Descargar este ficha técnica
• Mira esto video de demostración