Por qué ZTNA deja brechas de seguridad y cómo ZTS las llena

Por mucho que a muchos proveedores de Zero Trust les gustaría que creyera, Zero Trust no es un solo producto o tecnología, sino una estrategia general para todo el entorno de TI.

Zero Trust, como su nombre indica, es un modelo que niega el acceso a los recursos digitales de una compañía de forma predeterminada y otorga licencias solo según sea necesario, según la identidad y el tipo de recurso.

Para proteger las cargas de trabajo críticas de una organización, los tres elementos esenciales de Zero Trust son:

• Gobernanza de identidades
• Segmentación de confianza cero (ZTS)
• Acceso a la red de confianza cero (ZTNA)

Si bien la mayoría de las organizaciones ya adoptaron la gobernanza de identidad, los últimos 2 componentes de Zero Trust van de la mano y juegan un papel importante en la seguridad de la infraestructura de una organización.

¿Qué es ZTNA y por qué es importante?

ZTNA vio una adopción generalizada en los últimos años, para cerciorar el perímetro de una organización y el tráfico norte-sur. ZTNA proporciona un mecanismo simple pero robusto para que los usuarios accedan a aplicaciones en la nube o en el centro de datos mediante la autenticación de los usuarios en función de sus identidades y roles.

Además, cuando se concede acceso a los usuarios, a diferencia de una VPN tradicional, los usuarios solo tienen acceso a la aplicación que el usuario necesita y se les niega el acceso a la propia red corporativa. Esto reduce la superficie de ataque de la red expuesta en el perímetro.

Las 3 áreas principales en las que ZTNA falla

Aunque ZTNA demostró tener muchos beneficios, no es una solución a prueba de balas para su red.

En realidad, las infracciones siguen ocurriendo.

A medida que aumenta la complejidad de los ataques, se vuelve inminente adoptar una mentalidad de "asumir infracción" donde el objetivo de la organización debe ser reducir la superficie de ataque interna y contener las infracciones a la menor cantidad de recursos posible.

ZTNA hace un gran trabajo cerciorando el acceso externo a las aplicaciones de los usuarios remotos, pero hay múltiples escenarios en los que ZTNA no puede proporcionar beneficios. Es por eso que un enfoque de defensa en profundidad es esencial.

Hay 3 áreas principales en las que ZTNA no ofrece protección:

• movimiento lateral entre puntos finales: las soluciones ZTNA proporcionan acceso a recursos de usuarios remotos a aplicaciones. Sin embargo, cuando un usuario está en la oficina, no impide ni regula el acceso desde varios dispositivos de usuario final. Un endpoint infectado dentro del entorno corporativo puede mover lateralmente a través de muchos endpoints y servidores, obteniendo acceso a datos confidenciales de los usuarios y, al mismo tiempo, es propenso a ataques de ransomware a gran escala.
• Movimiento lateral entre servidores: ZTNA no tiene la capacidad de proteger contra los vectores de ataque que se originan dentro del centro de datos. Un gran ejemplo sería el ataque a la cadena de suministro de SolarWinds de 2020 en el que los atacantes obtuvieron acceso a las redes y sistemas donde se implementó SolarWinds.
• Fracaso de los proveedores de servicios de identidad: las soluciones de ZTNA depositan su confianza para autenticar a los usuarios en su entorno en proveedores de servicios de identidad (IDP). Los atacantes se aprovecharon de esto suplantando IDP y eludiendo MFA. Una vez dentro, los atacantes son libres de causar estragos, filtrar datos e infectar los activos críticos de una organización.

¿Cómo ayuda ZTS cuando ZTNA falla?

ZTS y ZTNA son componentes fundamentales en cualquier viaje de Zero Trust. Está claro que una organización no puede confiar únicamente en ZTNA para proteger contra actores maliciosos.

ZTS llena el vacío al cerciorar el tráfico este-oeste que ZTNA deja abierto de par en par y proporciona la visibilidad que tanto necesita el tráfico de red para continuar su viaje de Zero Trust.

Es de conocimiento común que solo puede proteger lo que puede ver. Además de proteger el tráfico este-oeste, ZTS proporciona visibilidad de extremo a extremo desde los puntos finales (remotos y de oficina) hasta las aplicaciones en el centro de datos o la nube. Las organizaciones pueden aprovechar esta visibilidad al implementar otras soluciones de Confianza cero.

Con ZTS, se aplica un enfoque de "asumir infracción" en todo el entorno para que los nodos no puedan comunicar entre sí a menos que se permita explícitamente. Esto garantiza que las infracciones estén contenidas y no se puedan propagar a toda la red.

El cambio de una mentalidad de prevención de brechas a una mentalidad de contención de brechas fue validado por la Orden Ejecutiva 14028 de la Casa Blanca emitida en 2021. La OE hace un llamado a las agencias federales, y a todas las organizaciones, para que avancen hacia una estrategia de seguridad de Zero Trust que destaque específicamente la segmentación de Zero Trust (también llamada microsegmentación) como uno de sus principales pilares.

Obtenga más información sobre los aspectos más destacados de la Orden Ejecutiva 14028 en este artículo.

ZTS aborda las 3 principales deficiencias planteadas por ZTNA

Los puntos de conexión a los que se les permite comunicar con otros puntos de conexión son un regalo para cualquier atacante para que se propague rápidamente. Por lo tanto, los puntos finales dentro o fuera de la red corporativa deben proteger mediante ZTS. Cuando los puertos se dejan abiertos, los endpoints se convierten en un vector de ataque atractivo y una fuente importante de propagación de ransomware dentro de la red. Una vez que los endpoints están infectados, los atacantes pueden mover a activos críticos dentro del centro de datos.

Con la visibilidad obtenida de ZTS, puede crear simplemente reglas de segmentación en las que se pueden aplicar políticas granulares en los servidores de aplicaciones, lo que permite que solo ciertos servidores se comuniquen entre sí a través de protocolos específicos. Por ejemplo, es posible que deseemos permitir la comunicación entre un servidor sitio web y un servidor de base de datos en el puerto 3306 (MySQL), pero queramos restringir el acceso de la base de datos al servidor sitio web.

ZTS demuestra ser un valioso mecanismo de seguridad en caso de que los atacantes eludan el mecanismo de autenticación del IDP. Incluso si un atacante entra, no podrá mover lateralmente por todo el entorno, lo que reducirá el radio de explosión de un ataque.

La gran mayoría de los ciberataques dependen del descubrimiento de la red y del movimiento lateral. Sin ZTS además de ZTNA, una organización es vulnerable a que estas tácticas sean explotadas repetidamente.

Illumio + Appgate: Alcanza el nirvana cibernético implementando tanto ZTS como ZTNA

ZTS y ZTNA desempeñan un papel importante en la seguridad de una infraestructura moderna. ¡Combinarlos es la forma de hacer que sus redes vuelvan a ser excelentes y alcance el nirvana cibernético!

Illumio y Appgate están liderando el camino para ayudar a las organizaciones a implementar una protección de seguridad Zero Trust eficaz y eficiente. Illumio y Appgate fueron clasificados como líderes en Forrester Wave'Ñ¢: Zero Trust eXtendeD Ecosystem Platform Providers.

Con Illumio y Appgate, puede crear rápidamente seguridad Zero Trust para proteger el tráfico perimetral e interior en sus entornos informáticos híbridos.

Obtenga más información sobre Illumio + Appgate en este artículo. Y obtenga el enfoque de mejores prácticas de tres pasos para implementar la seguridad Zero Trust con Illumio y Appgate en la guía de soluciones.