Mo Cashman, Principal Engineer   Angel Ortiz, Regional Director Spain

La Transformación Digital (adopción de la nube, la revolución de DevOps y la explosión en el volumen de los datos) ya suponía un reto para los arquitectos de seguridad antes de la COVID-19. La necesidad sobrevenida de trabajar desde casa ha impuesto una presión adicional sobre los equipos de seguridad, que han tenido que adaptar su arquitectura y sus procesos aún más rápido ¿Podrán mantener las organizaciones ese esfuerzo con todo lo que se avecina?

Y, ¿qué se avecina? Parece claro que el mandato de trabajar desde casa evolucionará para satisfacer el deseo de poder trabajar desde cualquier lugar.La protección, incluida la visibilidad y el control, se puede ver fácilmente mermada cuando los usuarios, los dispositivos y los datos se crean y se guardan prácticamente en cualquier sitio. Sin embargo, el nuevo paradigma es también una oportunidad para replantear el diseño de la seguridad. Veamos algunos de los diseños de arquitectura de seguridad y principios de gestión de riesgos más modernos que se necesitan para tener la flexibilidad que requiere este nuevo tipo de empresa.

SASE: seguridad dinámica para la empresa de próxima generación

Indudablemente, cada vez son más los datos, usuarios, dispositivos, aplicaciones y servicios que se utilizan y se consumen fuera del perímetro de la empresa tradicional. En términos de arquitectura de seguridad, Secure Access Service Edge o SASE, es el modelo de adopción principal. Según Gartner, SASE es un marco de trabajo que combina de un modo inteligente funciones de trabajo en red avanzadas, como SD-WAN, con servicios de seguridad en red inteligentes, como CASB, para dotar a los usuarios y dispositivos de un acceso rápido y seguro a las aplicaciones, los datos y los servicios de la nube desde cualquier lugar y en cualquier momento.

Este marco de trabajo pretende reducir la complejidad de las arquitecturas tradicionales para así ofrecer un acceso más flexible, rentable y seguro a los servicios y aplicaciones necesarios para la transformación hacia la nube. No es simplemente de una nueva versión del perímetro empresarial, sino de un conjunto de capacidades dinámicas e innovadoras que se ofrecen de modo continuo como servicio desde la nube.

Desde el punto de vista de la seguridad, el marco de trabajo SASE combina los principios de Confianza Cero y Análisis de Riesgos Dinámico con puntos de control a nivel de usuario, dispositivo, red, nube y aplicación. Detengámonos en estos dos conceptos clave para proteger la seguridad de la empresa digital de próxima generación.

Modelo de confianza cero: verificación continua

El modelo de confianza cero para la ciberseguridad es un concepto muy sencillo. Se realiza una verificación continua y nunca se confía en nada. En este contexto, el modelo de confianza cero suele estar conectado con el modelo CARTA de Gartner.

Modelo CARTA: evaluación continua del riesgo

En 2014, Gartner presentó la Arquitectura de Seguridad Adaptativa. Este modelo amplía los tradicionales pilares de la seguridad para incluir una capacidad continua de respuesta y gestión de las amenazas.  Mientras que la Arquitectura de Seguridad Adaptativa se centra en los controles de seguridad operativos y en el análisis de las amenazas, CARTA (siglas en inglés de Continuous Adaptive Risk and Trust Analysis - Análisis adaptativo y continuo de riesgos y confianza) lleva esa misma filosofía de evaluación continua al Riesgo.

Por lo tanto, se trata de analizar a continuación cómo implementan en la práctica estos principios de Confianza Cero y CARTA (Análisis Dinámico de Riesgos), los componentes de seguridad del marco de trabajo SASE.

Seguridad adaptativa en la nube: CASB+SWG

Un agente de seguridad de acceso a la nube o CASB es un componente fundamental de una arquitectura de seguridad “Cloud First”. Si combinamos CASB con un Secure Web Gateway (SWG), obtenemos visibilidad y control continuo de la actividad web y del servicio en la nube simultáneamente (análisis de riesgos en la nube, análisis de comportamiento de usuarios en la nube y conocimiento de su ubicación..).

Seguridad adaptativa de aplicaciones: de DevOps a DevSecOps

Gartner calcula que, en 2022, el 75 % de las organizaciones de todo el mundo utilizarán aplicaciones en contenedores y se beneficiarán de ciclos de lanzamiento más rápidos. Para mantener la velocidad de entrega y hacerlo con seguridad, la evaluación de riesgos se ha desplazado la izquierda (shift left) para estar presente desde los primeros ciclos de desarrollo y continuar con el lanzamiento y el uso (evaluación continua de la seguridad de la nube, evaluación continua de la vulnerabilidad, análisis continuos de comportamiento en el tráfico y el uso de la red) .

Seguridad de DNS adaptativa

El sistema de nombres de dominio o DNS es un componente esencial de Internet, pero también es uno de los sistemas en el que parece que confiamos inherentemente, lo cual es un enfoque arriesgado. Por lo tanto, para proteger el acceso a la nube es necesario realizar inspecciones y aplicar inteligencia de análisis de amenazas en DNS

Confianza Cero con aislamiento remoto del navegador

El navegador es una de las aplicaciones que más utilizan los usuarios finales de cualquier organización en todos sus dispositivos móviles. Lamentablemente, también es un componente clave para atacar el dispositivo del usuario final. Es en este punto donde el aislamiento remoto del navegador, o RBI (siglas en inglés de Remote Browser Isolation), entra en acción. El aislamiento remoto del navegador aplica un principio de «confianza cero» aislando todas las actividades de acceso a la web y las ejecuciones de código desde el navegador del dispositivo del usuario.

Conclusión

Una arquitectura basada en el enfoque SASE, equipada con capacidades de confianza cero y CARTA, es un excelente ejemplo de un marco de seguridad para las empresas de nueva generación. No obstante, para garantizar su éxito, debemos también reforzar también los valores de Cultura y Liderazgo. Es hora de que los programas de ciberseguridad incluyan verdaderamente a los usuarios como parte de la solución, formándolos en sus funciones y responsabilidades respecto a la cultura de la ciberresiliencia empresarial. Esta evolución cultural se lidera desde los niveles más altos, pero deben a su vez adoptarla y promoverla responsables de todos los niveles.

Bibliografía

Forrester - NIST Paper: Developing a Framework to Improve Critical Infrastructure Cybersecurity, 2013

Webinario sobre CARTA 2018 de Gartner

SANS 2019 Top Attacks Report

SANS 2020 Buyers Guide on Remote Browser Isolation

SANS 2020 Top Attacks Report