Confianza cero es una de las palabras (o frases) de moda más populares en el ámbito tecnológico actual. Fue nombrada la tercera tecnología más interesante en nuestra investigación sobre el estado de la estrategia de aplicação 2022 y obtiene una participación significativa en todos los niveles de la estructura organizacional.
Una de las verdades que se pasan por alto sobre la confianza cero es que en realidad es una mentalidad , no una tecnología o una solución. Es por eso que sigo volviendo a nuestra creencia central sobre la confianza cero:
Por eso es importante revisar la Regla de Seguridad Cero.
Para aquellos que no están familiarizados con el concepto de “Regla Cero”, proviene de los juegos de rol en los que las reglas juegan un papel importante. Las reglas determinan el orden de interacción, la interpretación de las tiradas de dados y lo que puedes y no puedes hacer. Igual que el mundo real. Pero en los juegos de rol hay una Regla Cero, que reemplaza a todas las demás reglas: "el DM es el árbitro final de todas las cosas en el juego". Esto significa esencialmente que el DM puede cambiar, agregar y eliminar reglas en cualquier momento. Y créeme, a menudo lo hacen.
Puede que a algunas personas les sorprenda saber que la seguridad tiene una Regla Cero y es la siguiente:
“No confiarás en las aportaciones del usuario. Alguna vez."
Esta no es una regla nueva, ya se ha mencionado muchas, muchas veces antes y he escrito varias veces sobre ella como recordatorio de que es fundamental para las mejores prácticas de seguridad. El incumplimiento de esta regla da lugar a vulnerabilidades que pueden dar lugar a una explotación generalizada y peligrosa .
La regla de seguridad cero sigue siendo relevante hoy en día, quizás incluso más que nunca. Con la proliferación de API y la explosión de servicios digitales, hay más bots, scripts y actores maliciosos que nunca. Y aunque el credential stuffing sigue siendo una de las principales técnicas de ataque, no faltan noticias sobre exploits que aprovechan servicios digitales y API que no cumplen con la Regla de seguridad cero.
Confiar en las aportaciones de los usuarios es un anatema para el concepto mismo de confianza cero. No se debe asumir que ninguna entrada del usuario (ya sea un ser humano, un software o un sistema) sea segura para procesar sin inspección. Período. Punto final.
Uno de los principios básicos (las creencias) de la confianza cero es asumir que hay compromisos. Un compromiso puede significar la presencia de malware o el control por parte de un actor malicioso. Ése es el estado del sistema. La consecuencia es que los datos (mensajes) que provienen de ese sistema pueden ser maliciosos.
Por lo tanto, y en consecuencia, nunca debes confiar en ninguna aportación de un usuario. Período.
Como se mencionó anteriormente, esta regla básica conduce a tácticas (inspección) y tecnologías (WAAP, WAF, NGF) que pueden usarse para detectar y neutralizar una amplia variedad de ataques.
La regla de seguridad cero es un componente central de la confianza cero. Su adopción conducirá a tácticas más efectivas y a una mayor seguridad para todos.
Manténgase a salvo ahí fuera.