El estado actual de la seguridad en la nube de confianza cero
La adopción de la nube sigue creciendo y acelerándose en una amplia gama de entornos. Pero a pesar de esto, o quizás debido a esto, los líderes de TI y seguridad no confían en la capacidad de su organización para garantizar un acceso seguro a la nube. Para complicar aún más esto, está el hecho de que las herramientas tradicionales se están quedando atrás de los riesgos de ciberseguridad cada vez más complejos y en constante evolución.
Una solución a esta confluencia de factores: acceso a la red de confianza cero (ZTNA) . Este enfoque estratégico de la ciberseguridad busca eliminar la confianza implícita mediante la validación continua de cada etapa de la interacción digital.
«Claramente, lo que aparece una y otra vez es que las herramientas de seguridad heredadas tradicionales no funcionan«, dijo Jawahar Sivasankaran, presidente y director de operaciones de Appgate, que hoy publicó los hallazgos de un estudio que examina los puntos débiles relacionados con la seguridad de los entornos en la nube y los beneficios de ZTNA.
“Las herramientas tradicionales ya no son adecuadas para mitigar las amenazas modernas que estamos viendo”, dijo Sivasankaran. “Existe una clara necesidad de avanzar hacia un enfoque de confianza cero”.
Inseguridad en la nube
Un nuevo estudio, «Estudio global sobre seguridad de confianza cero para la nube», realizado por Ponemon Institute en nombre de Appgate, encuestó a casi 1500 responsables de la toma de decisiones de TI y profesionales de la seguridad en todo el mundo. Las organizaciones de los encuestados representaban una combinación diversa de infraestructura local y de nube pública y privada, así como diferentes tasas de adopción de contenedores y procesamiento de datos y TI en la nube.
En particular, la encuesta indica que existen muchos motivadores para la transformación de la nube, pero las organizaciones aún enfrentan numerosas barreras para proteger los entornos de la nube.
Los principales motivadores identificados incluyen el aumento de la eficiencia (65 %), la reducción de costos (53 %), la mejora de la seguridad (48 %) y la reducción de los plazos de implementación (47 %).
Por otro lado, las principales barreras identificadas por los encuestados incluyen:
- Monitoreo/visibilidad de la red (48%).
- Experiencia interna (45%).
- Vectores de ataque aumentados (38%).
- Soluciones de seguridad en silos (36%).
La encuesta también encontró que el 60 % de los líderes de TI y seguridad no confían en la capacidad de su organización para garantizar un acceso seguro a la nube. Además, el 62 % de los encuestados dijo que las soluciones de seguridad tradicionales basadas en el perímetro ya no son adecuadas para mitigar el riesgo de amenazas como ransomware, ataques de denegación de servicio distribuido (DDoS), amenazas internas y ataques de intermediarios.
Y aunque las prácticas de desarrollo nativas de la nube continúan creciendo durante los próximos tres años, el 90 % de los encuestados habrán adoptado devops y el 87 % habrán adoptado contenedores; sin embargo, las prácticas de seguridad modernas no están tan extendidas.
Por ejemplo, solo el 42 % de los encuestados puede segmentar con confianza sus entornos y aplicar el principio de privilegio mínimo, mientras que solo alrededor de un tercio de las organizaciones no tienen colaboración entre la seguridad de TI y los desarrolladores , lo que en última instancia presenta un riesgo significativo, según Sivasankaran.
“Hay una plétora de tecnologías de seguridad para la nube”, dijo. “Lo que esto destaca es el bajo nivel de confianza que las organizaciones tienen en estas tecnologías”.
Además:
- Solo el 33% de los encuestados confía en que su organización de TI conoce todas las aplicaciones, plataformas o servicios de infraestructura de computación en la nube que se utilizan actualmente.
- Más de la mitad de los encuestados mencionan la apropiación de cuentas o el robo de credenciales (59 %) y los riesgos de acceso de terceros (58 %) como las principales amenazas para su infraestructura en la nube.
- Las prácticas de seguridad identificadas como las más importantes para lograr un acceso seguro a la nube son la aplicación del acceso con privilegios mínimos (62 %); evaluar la identidad, la postura del dispositivo y el riesgo contextual como criterios de autenticación (56 %); tener una visión coherente de todo el tráfico de red en los entornos de TI (53 %); y ocultar servidores, cargas de trabajo y datos para evitar la visibilidad y el acceso hasta que se autentique el usuario o el recurso (51 %).
Confiando en la seguridad
Según Markets and Markets, se espera que el tamaño del mercado mundial de seguridad de confianza cero alcance los 60 700 millones de dólares para 2027, lo que representa una tasa de crecimiento anual compuesto (CAGR) de más del 17 % a partir de 2022 (cuando se valoró en 27 400 millones de dólares). También ha habido muchos llamados a la acción de alto perfil en el área, como un mandato de la Casa Blanca de EE. UU. de que las agencias federales cumplan con una serie de requisitos de seguridad de confianza cero para 2024.
Aún así, la encuesta parece indicar que algunos pueden descartar la seguridad de confianza cero como una palabra de moda o un concepto moderno.
Por ejemplo, más de la mitad (53 %) de los encuestados que no planean adoptar la confianza cero dijeron que creen que el término se trata “solo de marketing”. Aún así, muchos de esos mismos encuestados destacan las capacidades de ZTNA como esenciales para proteger los recursos de la nube. Esto, señaló Sivasankaran, apunta a la confusión sobre lo que realmente significa «confianza cero».
En su definición más simple, la confianza cero funciona para proteger a las organizaciones al eliminar la confianza implícita y validar continuamente cada etapa de la interacción digital. Esto se aplica a redes, personas, dispositivos, cargas de trabajo y datos, explicó Sivasankaran.
Identificó los conceptos clave de confianza cero como acceso seguro, identidad centralizada y modelos de acceso basados en privilegios mínimos que solo otorgan acceso a lo que los usuarios realmente necesitan.
Desde una perspectiva de red, esto significa:
- Evaluar la identidad en lugar de solo las direcciones IP.
- Ajuste dinámico de derechos y privilegios casi en tiempo real.
- Aislamiento de sistemas críticos con «microsegmentación de grano fino».
Desde la perspectiva de las personas, significa:
- Verificación de la identidad según el contexto del usuario, la postura de seguridad del dispositivo y la exposición al riesgo.
- Solo permitir el acceso a los recursos aprobados para reducir la superficie de ataque.
- Optimización de la incorporación.
- Simplificando la gestión de políticas y reduciendo la complejidad para los administradores.
Desde la perspectiva del dispositivo:
- Usar la postura de seguridad del dispositivo como criterio para el acceso.
- Mantener aislados los dispositivos no tripulados y difíciles de parchear.
- Mejora del acceso seguro con datos de protección de punto final.
- Ajuste dinámico de los derechos en función del nivel de riesgo.
Desde la perspectiva de la carga de trabajo:
- Impedir el movimiento lateral con el principio del mínimo privilegio.
- Automatización de la seguridad para escalar con cargas de trabajo elásticas.
- Implementación de autenticación multifactor en aplicaciones heredadas sin refactorización.
- Uso de metadatos disponibles para otorgar de forma dinámica autorizaciones/aprovisionamiento automático o desaprovisionamiento de acceso.
- Mitigar la pérdida de datos a través de la aplicación de políticas y la delimitación de dispositivos.
- Establecimiento de cortafuegos locales y bidireccionales que segmentan datos críticos en cualquier entorno de TI.
- Establecimiento de políticas granulares para controlar el acceso y el tráfico de entrada y salida.
- Segmentación de datos a través de microperímetros.
En última instancia, dijo Sivasankaran, “la clave para los clientes es centrarse en la confianza cero como marco, como principio; no como un producto.”
Es esencial, agregó, proporcionar acceso remoto, acceso empresarial, acceso a la nube y acceso a IoT. “Desea asegurarse de que los clientes y las organizaciones obtengan acceso a los datos correctos para que puedan tomar decisiones rápidas”.
Confianza cero bien hecha
Como dijo Sivasankaran, la adopción de la confianza cero no solo ayuda a las organizaciones a proteger sus entornos de nube híbrida, sino que también permite, e incluso acelera, las iniciativas de transformación de la nube.
Los encuestados identificaron los principales beneficios de adoptar ZTNA como:
- Aumento de la productividad del equipo de seguridad de TI (65%)
- Autenticación más fuerte usando identidad y postura de riesgo (61%)
- Mayor productividad para DevOps (58 %)
- Mayor visibilidad de la red y capacidades de automatización (58 %)
“Cuando se hace bien, la confianza cero puede impulsar una eficiencia e innovación significativas en todo el ecosistema de TI, tanto para la seguridad como para los aspectos comerciales de una organización”, dijo Sivasankaran, “en lugar de ser solo una herramienta de seguridad adicional”.
El Dr. Larry Ponemon, presidente y fundador del Ponemon Institute, estuvo de acuerdo y describió que las organizaciones se encuentran en una encrucijada: entienden que las soluciones de seguridad heredadas «no son suficientes en la nube», pero también tienen necesidades crecientes cuando se trata de riesgo atenuante.
“La confianza cero puede ayudar a abordar tales desafíos”, dijo, “mientras que también ofrece beneficios más allá de la seguridad en la nube, particularmente en torno a una mayor productividad y eficiencia para los equipos de TI y los usuarios finales por igual”.
Fuente: Venturebeat