Editor Top
En la era de las empresas distribuidas que priorizan la nube, donde las personas colaboran a través de zonas horarias y tipos de dispositivos, la metodología de seguridad Zero Trust es cada vez más clave.
De acuerdo a investigación de fundiciónmás de la mitad de las organizaciones tienen Zero Trust en producción o lo están probando. Se espera que el mercado de seguridad Zero Trust tenga un valor de 88.800 millones de dólares para 2030, con una tasa de crecimiento anual compuesta de poco más del 16%.
Y esta inversión es urgente: según la investigación, 98% de los CISO Se espera que los ataques cibernéticos aumenten en los próximos tres años. Estos ataques pueden tener enormes consecuencias: la empresa estadounidense de servicios financieros Equifax incurrió 1.400 millones de dólares en acuerdos después de que los piratas informáticos explotaran una única vulnerabilidad en una aplicación web.
Está claro que los líderes de seguridad deben utilizar las tácticas más efectivas disponibles para contrarrestar estas amenazas.
Zero Trust es un enfoque holístico de la seguridad, más que un producto o servicio. Se supone que habrá una brecha y que es posible que ya haya actores hostiles dentro de la red.
Por lo tanto, para contrarrestar las amenazas, la arquitectura se basa en un enfoque de verificación constante. Y la seguridad se proporciona no sólo a nivel de red, sino también a nivel de aplicación.
contraventana/Gorodenkoff
Más allá de las paredes
Este enfoque ofrece una seguridad más efectiva y eficiente. No reemplaza las medidas de seguridad de red o endpoint existentes, sino que superpone las defensas de una manera que hace que la organización sea más resiliente.
Como afirma el Bundesamt für Sicherheit in der Informationstechnik (BSI) de Alemania, «Zero Trust describe un paradigma de diseño arquitectónico desarrollado a partir del enfoque ‘Assume Breach'». confianza cero, el BSI diceproporciona una mejor protección para las aplicaciones y reduce el daño de los ataques cibernéticos.
Pero esto no significa No confianza, significa verificación constante, a través de la red y las aplicaciones.
como el El NCSC del Reino Unido lo expresa: “Como término, ZT [Zero Trust] puede ser engañoso, ya que en realidad se requiere mucha confianza… El principio clave es no inherentemente confiar en cualquier usuario o servicio que solicite acceso a sistemas o datos”.
Las medidas de seguridad convencionales ya no son suficientes
Los grupos hostiles pueden violar o eludir las defensas, a menudo mediante phishing. Una vez dentro, pueden moverse a través de las redes (movimiento lateral) y utilizar acceso privilegiado para atacar otros sistemas.
Estos riesgos son aún mayores a medida que las organizaciones utilizan más IoT y dispositivos personales, más aplicaciones en la nube y emplean más trabajadores remotos.
Restaurar la confianza, generar seguridad
Tanto las empresas como los reguladores están poniendo más énfasis en la resiliencia organizacional. La directiva NIS2 de la UE, por ejemplo, exige Zero Trust.
Para implementar esto con éxito, los líderes de seguridad deben tener una visión clara de su infraestructura.
Esto incluye autenticación multifactor, microsegmentación con controles de acceso granulares, acceso con privilegios mínimos, control de acceso a dispositivos, protección de terminales, cifrado de datos y gestión de identidad y acceso (IAM).
Microsegmentación permite a las organizaciones contener cualquier amenaza que atraviese las defensas perimetrales, aislando el tráfico hostil dentro de la red. Está definido por software, por lo que puede responder rápidamente a las amenazas en evolución.
La detección y respuesta gestionadas (MDR) añade otra capa de defensa. Protege los puntos finales, detectando y bloqueando a los atacantes antes de que puedan ingresar a la organización. Además, MDR se basa en la inteligencia de amenazas y análisis de redes más recientes para detener las infracciones antes de que causen daños. Fundamentalmente, estos controles son dinámicos y conscientes del contexto. Verifican continuamente la identidad del usuario y el estado del dispositivo.
Zero Trust a menudo se describe como un viaje, no un destino
Los líderes de seguridad inteligentes deben mantener su progreso hacia Zero Trust bajo revisión constante, a medida que cambia el panorama de amenazas y evoluciona la tecnología. La clave es establecer una mentalidad de Confianza Cero e implementar una estrategia alineada con los objetivos comerciales.
Descubra cómo T-Systems puede ayudar a los equipos de seguridad en su camino hacia Zero Trust.
