La vulnerabilidad más débil de su organización no es un sistema sin parches, una contraseña fácil de adivinar o un equipo de seguridad asediado.
En cambio, la vulnerabilidad más importante es algo mucho más amplio y difícil de gestionar: la confianza.
En las últimas semanas hemos asistido a una avalancha de ciberataques que utilizan una mezcla de exploits y se dirigen a diversos sectores que utilizan la confianza para quebrantar la seguridad de las organizaciones:
- En Ataque de SolarWinds utilizó un sistema de actualización de confianza para instalar código malicioso en hasta 18.000 organizaciones, entre ellas el Pentágono, el Departamento de Seguridad Nacional, la Administración Nacional de Seguridad Nuclear, hospitales e importantes medios de comunicación.
- La semana pasada, una nueva campaña orquestada por el mismo grupo que está detrás de SolarWinds (Nobelium) hackeó el proveedor de correo electrónico de U.S. AID, Constant Contact, para enviar correos electrónicos con URL maliciosas a aproximadamente 3.000 cuentas en más de 150 grupos internacionales de desarrollo y derechos humanos.
- Los hackers están aprovechando cambiando COVID-19 restricciones para enviar correos electrónicos falsos "de" directores de información para robar las credenciales de los empleados.
(No sabemos con certeza si el grupo que obligó a JBS Foods cerrará sus operaciones en EE.UU. y Australia recurrieron a tácticas similares, pero seguiremos la historia para ver qué papel desempeñó la confianza).
En todos estos exploits, los delincuentes envían enlaces o instalaciones desde un sitio supuestamente infectado. fuente de confianza. Adaptarse a esto puede ser todo un reto: en una sociedad compleja, remota y que trabaja desde cualquier lugar, tenemos que confiar en nuestros colegas, proveedores y sistemas para hacer nuestro trabajo, hacer pedidos, realizar y recibir pagos.
Los usuarios necesitan confianza. Pero las organizaciones no pueden permitírselo. En Internet, la confianza puede ser un gran lastre.
Hemos hablado de confianza cero antes: no es un número de pieza ni un producto. No hay SKU para ello ni formulario de pedido rápido para comprarlo.
Por el contrario, la confianza cero es un principio. mentalidad que los equipos de seguridad deberían empezar a desarrollar. En términos generales, la confianza cero es la mentalidad clásica del "menor privilegio", pero ampliada a una escala mayor. Es una forma de hacer las compensaciones adecuadas de coste/beneficio para proteger lo que más importa sin ralentizar a los usuarios ni quebrar el negocio.
Una de las formas más eficaces de avanzar hacia confianza cero es dar prioridad a la identidad y recuerde que la gestión del acceso a la identidad (IAM) y la administración del gobierno de la identidad (IGA) son amplias. Se aplican a sus usuarios, recursos, aplicaciones y tus proveedores: para aplicar el modelo "nunca confíes, siempre verifica" de zero trust, tienes que empezar por establecer políticas de gobernanza para conceder el acceso correcto a los usuarios adecuados y mantener tu lista de sus funciones y privilegios. Las empresas necesitan una forma mejor, más rápida e inteligente de rastrear y controlar esa información.
De nuevo, IAM e IGA son expansivos: los recientes hackeos de Nobelium subrayan la necesidad de inventariar todos los sistemas y accesos y proporcionar una autenticación sólida. Los sistemas basados en la nube para toda la empresa, como Office 365, Salesforce, Slack y Constant Contact, necesitan una autenticación más sólida, autenticación basada en el riesgo para garantizar seguridad en la nube y proteger tanto las identidades personales como el material sensible de las organizaciones. Además, los ataques demuestran también la necesidad de que las empresas eliminen su vulnerabilidad al robo de contraseñas y credenciales de acceso (y obtengan ahorros significativos) mediante la adopción de medidas como las siguientes sin contraseña.
Al identificar, gestionar y reducir el grado de confianza que otorgamos a usuarios y recursos, podemos beneficiarnos de nuestras conexiones y limitar el daño que pueden hacernos a nosotros, a nuestros colegas y a nuestras empresas. En última instancia, la confianza cero no es un destino: es un viaje que emprendemos, en el que aprendemos y reaprendemos constantemente las compensaciones que tenemos que hacer en un mundo en línea. Cada vez más, se está convirtiendo en un viaje que merece la pena emprender.
