¿Qué es Zero Trust? Depende de lo que quieras escuchar

08:23 13/09/2021 | Lượt xem

La confusión sobre el verdadero significado y propósito de la confianza cero dificulta que las personas implementen las ideas en la práctica. Os proponentes estão amplamente de acordo sobre os objetivos gerais e o propósito por trás da frase, mas executivos ocupados ou administradores de TI com outras coisas para se preocupar podem facilmente ser desviados e acabam implementando proteções de segurança que simplesmente reforçam abordagens antigas em vez de introduzir algo nuevo.

“Lo que ha estado haciendo la industria de la seguridad durante los últimos 20 años es simplemente agregar más campanas y silbidos, como inteligencia artificial y aprendizaje automático, a la misma metodología”, dice Paul Walsh, fundador y director ejecutivo de la empresa anti-phishing de confianza cero MetaCert. . “Si no es confianza cero, es solo seguridad tradicional, sin importar lo que agregue”.

Los proveedores de la nube en particular, sin embargo, están en condiciones de incorporar conceptos de confianza cero en sus plataformas, ayudando a los clientes a adoptarlos en sus propias organizaciones. Pero Phil Venables, director de seguridad de la información de Google Cloud, señala que él y su equipo pasan mucho tiempo hablando con los clientes sobre qué es realmente la confianza cero y cómo pueden aplicar los principios a su propio uso de Google Cloud y más allá.

“Hay mucha confusión ahí fuera”, dice. “Los clientes dicen: ‘Pensé que sabía lo que era la confianza cero, y ahora que todos lo describen como confianza cero, entiendo menos’”.

Además de estar de acuerdo en lo que significa la frase, el mayor obstáculo para la proliferación de confianza cero es que la mayor parte de la infraestructura actualmente en uso se diseñó bajo el antiguo modelo de red de foso y castillo. No hay una manera fácil de adaptar este tipo de sistemas para una confianza cero, ya que los dos enfoques son fundamentalmente diferentes. Como resultado, implementar las ideas detrás de la confianza cero en todas partes de una organización implica potencialmente una inversión significativa y un inconveniente para la re-arquitectura de los sistemas heredados. Y estos son precisamente los tipos de proyectos que corren el riesgo de no completarse nunca.

Esto hace que la implementación de la confianza cero en el gobierno federal, que utiliza una mezcolanza de proveedores y sistemas heredados que requerirán inversiones masivas de tiempo y dinero para reformar, es particularmente desalentadora, a pesar de los planes de la administración Biden. Jeanette Manfra, exdirectora asistente de ciberseguridad en CISA que se unió a Google a fines de 2019, vio la diferencia de primera mano cuando pasó de la TI del gobierno a la infraestructura interna de confianza cero del gigante tecnológico.

“Venía de un entorno en el que estábamos invirtiendo grandes cantidades de dinero de los contribuyentes para proteger datos personales muy confidenciales, datos de misión y ver la fricción que estaba experimentando como usuario, especialmente en las agencias más orientadas a la seguridad”, dice. “Que podrías tener más seguridad y una mejor experiencia de usuario fue simplemente alucinante para mí. “

Esto no quiere decir que la confianza cero sea una panacea para la seguridad. Los profesionales de la seguridad a los que se les paga para piratear organizaciones y descubrir sus debilidades digitales, conocidas como equipos rojos, han comenzado a estudiar lo que se necesita para entrar en redes de confianza cero. Y en su mayor parte, sigue siendo fácil apuntar simplemente a las partes de la red de la víctima que no se han actualizado con conceptos de confianza cero en mente.

“Una empresa que traslade su infraestructura fuera de las instalaciones y la coloca en la nube con un proveedor de confianza cero cerraría algunas vías tradicionales de ataque”, dice el veterano técnico Cedric Owens. “Pero, con toda honestidad, nunca he trabajado o trabajado en un entorno de total confianza cero”. Owens también enfatiza que si bien los conceptos de confianza cero pueden usarse para fortalecer materialmente las defensas de una organización, no son a prueba de balas. Señala las configuraciones erróneas de la nube como solo un ejemplo de las debilidades que las empresas pueden introducir sin saberlo cuando hacen la transición a un enfoque de confianza cero.

Manfra dice que a muchas organizaciones les llevará tiempo comprender completamente los beneficios del enfoque de confianza cero sobre aquello en lo que han confiado durante décadas. Sin embargo, agrega que la naturaleza abstracta de la confianza cero tiene sus beneficios. Diseñar a partir de conceptos y principios en lugar de productos específicos ofrece flexibilidad y potencialmente longevidad que las herramientas de software específicas no ofrecen.

“Filosóficamente, me parece duradero”, dice. “Querer saber qué y quién está jugando qué y quién en su sistema son siempre cosas que serán útiles para la comprensión y la defensa”.


Más historias geniales de WIRED

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang