¿Es viable el modelo Zero Trust para las redes OT/IoT? ¿Es un viaje o un destino?

El 26 de enero de 2022, el director en funciones de la Oficina de Gestión y Presupuesto (OMB) de la administración Biden emitió un memorando sobre el avance del Gobierno de Estados Unidos hacia los principios de ciberseguridad Zero Trust. El memorando establecía los requisitos para una Arquitectura Federal Zero Trust (ZTA) como marco de seguridad de próxima generación para apuntalar las ciberdefensas de Estados Unidos contra amenazas cada vez más sofisticadas y persistentes.

Esta guía es la mayor validación de que la ZTA debe considerarse como un componente importante de cualquier estrategia de ciberseguridad y redes y requerirá que las infraestructuras críticas de las organizaciones reconsideren las partes clave de su infraestructura informática y sus procesos de seguridad de cara al futuro.

Aunque la ZTA se considera, en general, un avance significativo en materia de seguridad con respecto a los enfoques y arquitecturas de seguridad tradicionales, hay todavía muchas preguntas sin respuesta como las distintas definiciones y requisitos de la ZTA para los sectores, los expertos y los proveedores. Actualmente, el modelo Zero Trust parece ser una mentalidad o un enfoque más que un conjunto explícito de características o capacidades de seguridad.

Víctor Manuel Aguilar, Regional Director, Iberia & Turkey de Nozomi.

El modelo Zero Trust representa un cambio significativo en las arquitecturas de red y seguridad para implementar las políticas necesarias y su aplicación en toda la organización. En general, una mentalidad Zero Trust asume que todos los dispositivos y usuarios de la red están potencialmente comprometidos o son una amenaza potencial y, en general, sólo deben permitirse los usuarios, dispositivos, comunicaciones y tráfico explícitamente permitidos. Aunque esto servirá para ralentizar o bloquear la propagación de malware, el acceso no autorizado y una amplia variedad de ciberamenazas, la aplicación de este diseño requiere cambios fundamentales en la infraestructura y las políticas que podrían resultar costosos y, muy probablemente, perturbar las operaciones y aplicaciones existentes.

Y aunque el modelo Zero Trust se está abriendo paso en las organizaciones de TI para una amplia variedad de casos de uso y entornos de seguridad específicos, los requisitos exclusivos de OT y el IoT, combinados con los procesos industriales y la infraestructura crítica, pueden obstaculizar las implementaciones de ZTA con soluciones Zero Trust de uso general. Muchos dispositivos de OT e IoT no son fáciles de colocar en una ZTA con microsegmentación (un objetivo común Zero Trust). Cuando se adopta el modelo Zero Trust en las redes OT actuales, a menudo se limita a escenarios de acceso remoto seguro, sustituyendo las soluciones de acceso VPN cada vez más sospechosas, pero no en toda la red interna entre todos los dispositivos.

De hecho, el nivel de adopción de los principios Zero Trust es muy dispar. Así lo confirman los datos del estudio de IDG Research, que revela que solo el 5% de las empresas ha implementado una estrategia Zero Trust en toda la organización, aunque gran parte de las compañías consultadas está en proceso de implementación (24%) o ya la ha desplegado en determinados entornos (19%), mientras que un 38% está en fase de evaluación y el 14% no lo considera necesario.

Si nos fijamos en las prioridades en el despliegue, el mismo informe indica que las empresas apuestan por implementar medidas Zero Trust en la red (71%), el usuario (67%) y en los datos, aplicaciones y privacidad (62%).

En general, las organizaciones deben asumir que el modelo Zero Trust no es una solución llave en mano. Es probable que requiera actualizaciones significativas o cambios de políticas y aplicaciones en toda la infraestructura. Las numerosas definiciones y escenarios de uso deben hacer que las organizaciones prioricen cómo y por qué debe desplegarse una ZTA, en función de los requisitos actuales de acceso y aplicación, y no mirar ninguna orientación o mandato específico como el memorando anterior del gobierno de Estados Unidos. Por cierto, ese memorándum exige la implementación del cifrado para el tráfico HTTP y DNS para 2024, pero no para otros servicios como el correo electrónico. Estos detalles específicos pueden ser completamente irrelevantes para otras industrias y organizaciones con otras necesidades de seguridad de las aplicaciones.

Desde IDG también señalan los retos que las empresas están afrontando para aplicar este modelo. La principal barrera son las limitaciones que imponen las infraestructuras heredadas (57%), seguido del conflicto entre seguridad y rendimiento (38%) y la resistencia de los usuarios (35%). También mencionan que los factores más relevantes para las organizaciones en la implementación del Zero Trust son los referidos al gobierno y la política de acceso y uso (65%), los escenarios de operación (56%) y la experiencia del empleado (54%).

Desde Nozomi Networks no creemos que haya una solución de talla única para Zero Trust válida para todos, pero estamos convencidos de que se convertirá en una piedra angular de los objetivos de seguridad de muchas organizaciones en los próximos años.

Creemos que las compañías deben optar por soluciones que no sean intrusivas ni disruptivas para las redes existentes, un requisito clave para los sistemas y procesos críticos de OT. Y se debe extender este mismo enfoque a los servicios Zero Trust al monitorizar el tráfico de la red y comparar el comportamiento observado con las políticas específicas permitidas. En lugar de bloquear el tráfico legítimo que no se anticipó, se puede alertar sobre las infracciones de la política ZTA identificadas para una revisión adicional o integrarnos con socios que pueden poner en cuarentena o bloquear puntos finales y usuarios sospechosos, según sea necesario. El monitoring de Zero Trust, que compara los patrones de tráfico con las políticas establecidas, será un paso inicial clave para la mayoría de las implementaciones de ZTA para identificar todos los flujos de red y el tráfico de aplicaciones requerido, de modo que cuando se apliquen las políticas de Zero Trust, los servicios críticos no se interrumpan.

El Grupo Gartner describe Zero Trust como una arquitectura que “nunca confía, siempre verifica” las conexiones y asume que un mal actor está activo en todo momento, lo que conduce a un entorno altamente resistente y flexible contra los ataques modernos. Del mismo modo, el enfoque de Nozomi Networks en la identificación de activos, la evaluación de vulnerabilidades de los dispositivos y la monitorización continua de anomalías y amenazas junto con el conocimiento de la actividad operativa, sirven como una plataforma de verificación inteligente automatizada para cada dispositivo en su organización 24x7.

La ZTA no tiene por qué ser disruptiva y no existe una solución de fácil aplicación para convertir todos los entornos en Zero Trust de la noche a la mañana. En su organización, su enfoque hacia el modelo Zero Trust puede ser muy diferente a cualquier directriz del sector o solución de un proveedor. Necesita una plataforma que proporcione los servicios básicos para una mentalidad Zero Trust y que pueda adaptarse para definir e implementar sus políticas requeridas en el futuro.

Busque un partner de confianza que pueda ayudarle en un camino que tenga sentido para sus despliegues existentes de OT e IoT, sin un enfoque de quitar y reemplazar, instalando agentes en cada punto final o encriptando y bloqueando repentinamente la mayor parte de su tráfico de red de la noche a la mañana. Zero Trust es claramente un viaje y no un destino específico.