Tres razones por las que adoptar la Confianza Cero mejora la protección contra bots y la seguridad web y de APIs.

Hoy en día, la confianza cero es la nueva tendencia a la que todos quieren adherirse. Es una de las tres tendencias “más interesantes” identificadas por nuestro informe Estado de la estrategia de aplicação 2022 y ha obtenido constantemente un alto nivel de interés según Google Trends durante los últimos doce meses.

El resultado es que la confianza cero es uno de los enfoques de seguridad más comentados —y malinterpretados— desde que el “desplazamiento a la izquierda” entró en escena. Con demasiada frecuencia, la confianza cero se equipara con una tecnología específica, como el perímetro definido por software (SDP), o un segmento de mercado, como la gestión de acceso (IDAM).

Esto no es realmente sorprendente. Vimos la misma prisa por equiparar tecnologías o productos específicos con la “nueva tendencia” cuando se introdujo la computación en la nube. El lavado de nubes era algo que ocurría con regularidad y a menudo se utilizaba como una observación despectiva sobre la verdadera “turbidez” de algún producto nuevo.

Entonces, me conviene comenzar con una definición de confianza cero. Voy a hacerlo citando a mis colegas, Ken Arora y Mudit Tyagi, quienes ya publicaron una excelente guía sobre este tema :

Este es un punto importante, y por eso lo repetiré nuevamente: la seguridad de confianza cero es, en esencia, una mentalidad.

Esa mentalidad abarca un conjunto de suposiciones, y los usos de las tecnologías son consecuencias de esas suposiciones.

Eso significa que implementar una tecnología como SDP o seguridad API no significa que hayas adoptado la confianza cero. No existe ningún producto que se implemente que de repente signifique que uno "cumple con los estándares de confianza cero" y, por lo tanto, es inmune a ataques, infracciones o exploits.

Lo cierto es que la seguridad de SDP y API puede, de hecho, ser una respuesta táctica apropiada para adoptar un enfoque de confianza cero. Pero para llegar allí es necesario empezar con algunas suposiciones básicas y luego decidir cuáles son las mejores herramientas y tecnologías que se derivan lógicamente de ellas.

Para profundizar en esto, veamos algunos ejemplos que, como dice el título, nos llevan a concluir que la protección contra bots y la seguridad web y de API son parte de la caja de herramientas de “confianza cero”.

1. Un enfoque de confianza cero presupone un compromiso . De hecho, los usuarios legítimos con acceso autorizado pueden verse comprometidos y, por lo tanto, constituir una amenaza no intencional y muy costosa. Los atacantes entienden que normalmente es más fácil entrar a través de las ventanas (usuarios) que por la puerta principal (red corporativa). Los usuarios están constantemente bajo la amenaza de verse comprometidos, por lo que asumir que ya están comprometidos es el camino más seguro posible. La gama de acciones potenciales desde una computadora portátil o un teléfono móvil corporativo comprometido es amplia e incluye el lanzamiento de ataques contra sitios web y aplicaciones que intentan compartir software malicioso (que incluye malware, ransomware y cualquier otro software adicional) o explotar vulnerabilidades para obtener acceso. Debido a que las API están aumentando “la forma” en que las aplicaciones móviles y basadas en la web acceden a las aplicaciones y sistemas corporativos, se vuelve importante inspeccionar el contenido que proviene incluso de usuarios legítimos y autenticados para determinar si es malicioso o no. Esto hace que la seguridad web y API sean una opción lógica para implementar protección contra este riesgo.
   
   
2. Una confianza cero Este enfoque presupone que las credenciales no son suficientes . Independientemente de que el usuario sea un ser humano, una máquina o un software, un enfoque de confianza cero supone que incluso si se presentan credenciales legítimas, el usuario real puede no ser legítimo. Después de todo, el credential stuffing es una preocupación constante que se aprovecha de credenciales legítimas pero robadas. Es bien sabido que, en promedio, cada día se denuncian robos o filtraciones de un millón de nombres de usuario y contraseñas. Un análisis de F5 concluye que entre el 0,5 % y el 2 % de cualquier lista de credenciales vulneradas será válida en un sitio web o aplicación móvil objetivo. Por lo tanto, un enfoque de confianza cero debe tomar medidas para verificar no solo las credenciales, sino también la identidad del usuario. Esto incluye descubrir bots que se hacen pasar por usuarios legítimos. Tácticamente, esto lleva a que la protección contra bots (que también puede llamarse detección de bots) juegue un papel importante en un enfoque de confianza cero.
   
   
3. Un enfoque de confianza cero supone que el cambio es constante . La confianza cero rechaza la suposición de que una vez que un usuario está verificado y se le autoriza el acceso a un recurso, no existe ningún riesgo. Toda transacción se considera riesgosa y se evalúa en función del contenido que transporta y del usuario que la envía. El session hijacking es, después de todo, un método de ataque real . La vigilancia constante es (o debería ser) el lema de la confianza cero, lo que implica estar constantemente atento a contenido malicioso. Esto hace que la seguridad web y de API, junto con la detección de bots, sean componentes críticos de un enfoque de confianza cero.

Ahora bien, este enfoque también conduce a otras herramientas y tecnologías, como SDP, control de identidad y acceso, firewalls de red y CASB, y una serie de otras soluciones que mitigan los riesgos conocidos que surgen naturalmente de esas suposiciones. Pero no se puede implementar solo una de ellas y dar por terminada la iniciativa de confianza cero. Eso es como tomar un Tylenol para curar una pierna rota en lugar de visitar a un médico. Sí, alivia el dolor, pero no hace nada para solucionar el resto del problema.

Adoptar la confianza cero como un cambio de mentalidad que conduce a la mitigación no es perfecto (ningún método lo es), pero lo acercará más al camino para ser más adaptable y poder abordar ataques nuevos y emergentes más rápido y con mayor éxito.

Mantente a salvo ahí fuera.

Puede obtener más información sobre cómo modernizar la seguridad con un enfoque de confianza cero en el Capítulo 5 de nuestro libro, Arquitectura empresarial para negocios digitales .