La definición de Zero Trust moderno

A principios de 2022, Zero Trust se enfrenta a una extraña dicotomía: está a punto de convertirse en el enfoque de ciberseguridad al mismo tiempo que muchos profesionales de la seguridad lo denuncian como «simplemente una estratagema de marketing». ¿Cómo llegamos nosotros, como comunidad de seguridad, a una posición tan precaria?

Parte del problema, según John Kindervag, exanalista de Forrester y autor de la investigación original de Zero Trust, era que la trilogía de documentos de Zero Trust permaneció en gran medida detrás del muro de pago de Forrester. Durante más de una década, solo los clientes de Forrester y cada proveedor de seguridad en el mundo tuvo acceso. El tren de la exageración salió de la estación, con esos proveedores dando forma a la narrativa de Zero Trust desde su perspectiva altamente subjetiva. Los no clientes y la gran comunidad de seguridad cibernética solo vieron Zero Trust a través de las vidrieras del marketing de proveedores.

La investigación de Forrester avanzó el concepto de Zero Trust de centrado en la red a un ecosistema integrado y dinámico de capacidades y tecnologías de seguridad con la introducción de Zero Trust Extended (ZTX). Pero los analistas no son necesariamente especialistas en marketing, y la investigación carecía de un enfoque claro, conciso y compartible definición que nuestros clientes y la comunidad en general podrían usar como una estaca en el suelo.

Hoy, corregimos estos dos problemas con el lanzamiento de un informe titulado «La definición de la confianza cero moderna». Bueno, sí, ese informe está detrás del muro de pago, pero estamos incluyendo su definición aquí, en el exterior, para todos.

Definición de confianza cero

Zero Trust es un modelo de seguridad de la información que niega el acceso a aplicaciones y datos de forma predeterminada. La prevención de amenazas se logra solo otorgando acceso a redes y cargas de trabajo utilizando políticas informadas por verificación continua, contextual y basada en riesgos entre usuarios y sus dispositivos asociados. Zero Trust aboga por estos tres principios básicos: todas las entidades no son de confianza de manera predeterminada, se aplica el acceso con privilegios mínimos y se implementa un monitoreo de seguridad integral.

Tenga en cuenta que la última oración son los tres principios originales de Zero Trust expresados ​​juntos. Estos son los puntos más destacados en forma de viñetas:

  • denegación predeterminada

  • Acceso solo por política

  • Para datos, cargas de trabajo, usuarios, dispositivos

  • Acceso con privilegios mínimos

  • Monitoreo de seguridad

  • Verificación basada en riesgos

La buena noticia para todos es que esta definición no difiere de la definición del NIST en SP 800-207. Las dos definiciones explican el mismo concepto, utilizando los mismos principios y, a menudo, las mismas palabras.

¿Qué pasa con la arquitectura de confianza cero o la estrategia de confianza cero?

El tema general de Zero Trust es la reducción de la confianza implícita. Como modelo para la seguridad de la información, Zero Trust se traduce en arquitectura de red y seguridad. Consulte NIST SP 800-207, Zero Trust Architectures, como el ejemplo más relevante.

Algunos defensores de Zero Trust dicen que también debería ser una estrategia que funcione bien; considere reemplazar la frase «estrategia de confianza cero» con «una estrategia para reducir la confianza implícita en toda nuestra empresa» en su mente.

Entonces, ¿qué no es Zero Trust?

Para ayudar mejor a los líderes y profesionales de seguridad a comunicar los beneficios de la adopción de Zero Trust, nuestro informe proporciona más claridad sobre lo que no es. Un punto clave es que no es una estrategia de concientización y capacitación sobre seguridad. De hecho, no es necesario que la gran mayoría de los usuarios finales de una organización estén familiarizados con este concepto. Impulsar los conceptos de Zero Trust a los usuarios finales probablemente resulte contraproducente desde la perspectiva de la concienciación y la formación, ya que la percepción de tener «zero trust» implica una falta de confianza en los empleados. Las organizaciones que han adoptado el modelo Zero Trust ven la confianza como fundamental para crear una cultura laboral positiva y de baja fricción para los empleados e invierten en iniciativas para empoderar a la empresa en todos los niveles para diferenciarse con confianza.

Avanza y convierte a los negadores

Una vez más para los de atrás: Zero Trust es un modelo de seguridad de la información, uno en el que se puede trabajar pero sin un estado final final.

Esta publicación fue escrita por el analista de investigación senior David Holmes y apareció originalmente aquí.

Amazon Prime Day 2022: Ofertas anticipadas

Deja un comentario