Seis conclusiones para los CISO de la guía de confianza cero de la NSA

Seis conclusiones para los CISO de la guía de confianza cero de la NSA

Marca de tiempo: 15 de marzo de 2024 8:25 a. M.

La realidad de la ciberseguridad para las empresas es que los adversarios comprometen sistemas y redes todo el tiempo, e incluso los programas de prevención de infracciones bien administrados a menudo tienen que lidiar con atacantes dentro de sus perímetros.

El 5 de marzo, la Agencia de Seguridad Nacional continuó su recomendación de mejores prácticas a las agencias federales, publicando su última Hoja de información sobre ciberseguridad (CIS) sobre el pilar Red y Medio ambiente de su marco de confianza cero. El documento de la NSA recomienda que las organizaciones segmenten sus redes para limitar el acceso de usuarios no autorizados a información confidencial mediante la segmentación. Esto se debe a que medidas estrictas de ciberseguridad pueden evitar que los compromisos se conviertan en violaciones en toda regla al limitar el acceso de todos los usuarios a áreas de la red en las que no tienen ningún papel legítimo. 

El proyecto orientación de la NSA También permite a los equipos de seguridad presentar argumentos comerciales más sólidos a la administración sobre protecciones de seguridad, pero los CISO deben establecer expectativas porque la implementación es un proceso complejo y por niveles.

Si bien el documento se dirige a organizaciones e industrias gubernamentales relacionadas con la defensa, el mundo empresarial en general puede beneficiarse de la guía de confianza cero, dice Steve Winterfeld, CISO asesor del gigante de servicios de Internet Akamai.

"La realidad no es [si] se producen incidentes de acceso no autorizado, sino si se pueden detectar antes de que se conviertan en infracciones", afirma. "La clave es la 'visibilidad con contexto' que puede proporcionar la microsegmentación, respaldada por la capacidad de aislar rápidamente el comportamiento malicioso".

Las empresas tienen se embarcó en iniciativas de confianza cero para hacer que sus datos, sistemas y redes sean más difíciles de comprometer y, cuando se ven comprometidos, ralentizar a los atacantes. El marco es un conjunto sólido de pautas sobre cómo proceder, pero implementarlo no es fácil, dice Mike Mestrovich, CISO de Rubrik, un proveedor de seguridad de datos y confianza cero.

"La mayoría de las redes han evolucionado con el tiempo y es muy difícil volver atrás y rediseñarlas mientras se mantiene el negocio en funcionamiento", afirma. "Es factible, pero puede resultar costoso en términos de tiempo y dinero".

Aquí hay seis conclusiones de la guía de la NSA.

1. Conozca los siete pilares de la confianza cero

El último documento de la Agencia de Seguridad Nacional profundiza en el quinto pilar de los siete pilares de confianza cero: la red y el medio ambiente. Sin embargo, los otros seis pilares son igualmente importantes y muestran "cuán amplia y transformadora debe ser una estrategia de confianza cero para tener éxito", dice Ashley Leonard, directora ejecutiva de Syxsense, una empresa de gestión automatizada de vulnerabilidades y terminales.

Los siete pilares de confianza cero de la NSA

“Red y entorno” es el quinto pilar de los Siete Pilares de Confianza Cero de la Agencia de Seguridad Nacional. Fuente: NSA

"Para las empresas que quieran empezar con la confianza cero, les recomiendo encarecidamente que revisen las hojas de información de la NSA sobre los pilares del usuario y del dispositivo: el primer y segundo pilar de la confianza cero, respectivamente", afirma. "Si una empresa recién está comenzando, observar este pilar de redes y entorno es como poner el carro delante del caballo".

2. Espere que los atacantes traspasen su perímetro

El pilar de red y entorno del plan de confianza cero de la NSA consiste en intentar impedir que los atacantes amplíen una brecha después de haber comprometido un sistema. Las directrices de la NSA señalan la Incumplimiento de objetivo de 2013 (sin nombrar explícitamente a la empresa) porque los atacantes ingresaron a través de una vulnerabilidad en el sistema HVAC de terceros de la empresa, pero luego pudieron moverse a través de la red e infectar dispositivos de punto de venta con malware.

Las empresas deben asumir que se verán comprometidas y encontrar formas de limitar o ralentizar a los atacantes. Rob Joyce, director de ciberseguridad de la NSA, dijo en un comunicado anunciando la publicación del documento de la NSA.

"Las organizaciones deben operar con la mentalidad de que las amenazas existen dentro de los límites de sus sistemas", dijo. "Esta guía tiene como objetivo brindar a los propietarios y operadores de redes los procesos que necesitan para resistir, detectar y responder atentamente a las amenazas que explotan las debilidades o brechas en su arquitectura empresarial".

3. Mapear flujos de datos para comenzar

La guía de la NSA es un modelo escalonado, donde las empresas deben comenzar con lo básico: mapear los flujos de datos en sus redes para comprender quién accede a qué. Si bien se han documentado otros enfoques de confianza cero, como Arquitectura de confianza cero SP 800-207 del NIST, los pilares de la NSA proporcionan una manera para que las organizaciones piensen en sus controles de seguridad, afirma Winterfeld de Akamai.

"Comprender el flujo de datos proporciona principalmente conciencia situacional de dónde y cuáles están los riesgos potenciales", afirma. "Recuerda, no puedes proteger lo que no sabes".

4. Pasar a la macrosegmentación

Después de abordar otros pilares fundamentales, las empresas deberían iniciar su incursión en el pilar Red y Medio Ambiente segmentando sus redes, tal vez de manera amplia al principio, pero con una granularidad cada vez mayor. Las principales áreas funcionales incluyen segmentos de empresa a empresa (B2B), segmentos de cara al consumidor (B2C), tecnología operativa como IoT, redes de puntos de venta y redes de desarrollo.

Después de segmentar la red a un alto nivel, las empresas deberían intentar refinar aún más los segmentos, afirma Mestrovich de Rubrik.

"Si se pueden definir estas áreas funcionales de operación, entonces se puede comenzar a segmentar la red para que las entidades autenticadas en cualquiera de estas áreas no tengan acceso sin realizar ejercicios de autenticación adicionales en otras áreas", afirma. "En muchos aspectos, encontrará que es muy probable que los usuarios, dispositivos y cargas de trabajo que operan en un área en realidad no necesiten ningún derecho para operar o recursos en otras áreas".

5. Madurar hacia las redes definidas por software

Las redes de confianza cero requieren que las empresas tengan la capacidad de reaccionar rápidamente ante posibles ataques, lo que hace que las redes definidas por software (SDN) sean un enfoque clave no sólo para lograr la microsegmentación sino también para bloquear la red durante un posible compromiso.

Sin embargo, SDN no es el único enfoque, afirma Winterfeld de Akamai.

"SDN gira más en torno a la gobernanza de las operaciones, pero dependiendo de su infraestructura puede que no sea la solución óptima", afirma. "Dicho esto, usted necesita los tipos de beneficios que proporciona SDN independientemente de cómo diseñe su entorno".

6. Tenga en cuenta que el progreso será iterativo

Por último, cualquier iniciativa de confianza cero no es un proyecto aislado sino una iniciativa continua. Las organizaciones no solo deben tener paciencia y perseverancia en la implementación de la tecnología, sino que los equipos de seguridad deben revisar el plan y modificarlo a medida que enfrentan (y superan) desafíos.

"Cuando se piensa en comenzar el camino hacia la confianza cero, su orientación sobre comenzar con el mapeo de los flujos de datos y luego segmentarlos es acertada", dice Winterfeld, "pero agregaría que a menudo es iterativo, ya que habrá un período de descubrimiento que requerirá actualizando el plan”.

Sello de tiempo:

Mas de Lectura oscura