Zero Trust Cyber Security - Ciberseguridad de defensa en profundidad

¿Qué es Zero Trust?

April 15, 2023

En la vida real, la confianza es una parte importante de las relaciones humanas. En el mundo de la informática, también es real, pero los programas no son lo suficientemente inteligentes como para comprender que están manipulados con intenciones malévolas. Es por eso que en un momento, los proveedores de AV decidieron no confiar en nadie en absoluto.

Confianza cero es la política del programa de seguridad que regula la calificación de confianza de ciertas aplicaciones. Como puede adivinar por su nombre, zero-trust supone que no se confía en ningún programa. Tal medida es dura, pero extremadamente efectiva cuando se trata de prevenir la inyección de malware. En ese modo, un programa anti-malware considera que cualquier aplicación que se ejecuta en el sistema es potencialmente peligrosa y revisa los comandos ejecutados/archivos DLL y carpetas accedidos.

Al verificar la actividad de todas las aplicaciones, la herramienta de seguridad (podría ser la solución EDR así como el antivirus regular) puede filtrar fácilmente cosas dudosas. A continuación, el especialista en seguridad que gestiona el sistema de protección recibe el informe con todos estos casos y elige qué medidas quiere aplicar.

¿Cuál es la necesidad de una política de confianza cero?

Anteriormente, en los albores de la difusión del software antimalware, todos los programas de este tipo dividían las aplicaciones de terceros en confiables y no confiables. La tercera categoría, aplicaciones del sistema, también se agrupó más tarde como confiable. Entonces, las aplicaciones de la lista confiable podían hacer lo que quisieran: los programas antivirus ignoraban sus actividades. Los que se consideraron no confiables fueron revisados ​​diligentemente. Esta clasificación fue genial a menos que recordemos que fue bastante fácil llegar a la "confiabilidad". Por lo tanto, solo algunas aplicaciones dudosas de los sitios de distribución de software, los subprogramas de Java hechos a mano y los scripts se consideraron inseguros.

El modelo general parece bastante bueno porque todavía tiene control manual, la posibilidad de editar y otras cosas que brindan flexibilidad. A menos que recordemos las vulnerabilidades, estas últimas pueden aparecer en todo tipo de aplicaciones, y las que se consideran seguras no son una exclusión. Las vulnerabilidades pueden permitir que los piratas informáticos ejecuten código arbitrario, aumenten los privilegios, modifiquen la configuración del sistema y hagan todas las demás cosas desagradables. Tal situación clava por completo la eficiencia del sistema de fideicomiso dividido.

Al principio, el problema simplemente se ignoró, ya que la explotación de vulnerabilidades no estaba tan extendida. No había soluciones de seguridad especiales disponibles en el mercado general: solo podía pedirlas por un precio más alto. Y las empresas no estaban preocupadas por eso: la eficiencia de los programas antivirus era suficiente por el momento. Cuando los ciberdelincuentes cambiaron las formas de propagación de los trucos clásicos a los exploits, las soluciones clásicas se volvieron mucho menos efectivas. Se puede decir - inútil.

Principios de la Confianza Cero

Ya hemos descrito el trabajo antivirus con la política Zero Trust anterior. Es una descripción bastante primitiva ya que tiene una lista de acciones mucho más extensa. Zero Trust se extiende no solo a las aplicaciones que se están ejecutando actualmente sino también a los archivos que están presentes en el disco pero que no se utilizan en ese momento. Controlar esto requiere que se apliquen simultáneamente varias soluciones típicas y nuevos enfoques.

Los procesos se verifican obligatoriamente con varios mecanismos de detección. En las primeras variantes, se verificaban en ejecución, lo que permitía que el programa se ejecutara en el sistema. Este enfoque tiene sus ventajas, pero expone el sistema a riesgos. Los antivirus más modernos con una política de confianza cero ejecutan cada aplicación en la zona de pruebas antes de permitir que se ejecute en un sistema. En el caso de un sitio web o un servidor remoto, puede iniciarse simultáneamente en la zona de pruebas y en el navegador, para minimizar el retraso. Lo mismo se realiza a las conexiones entrantes: incluso cuando no están realizando ninguna acción, el programa lo vigila y registra todas sus acciones cuando se activa

En realidad, esas comprobaciones no son nuevas para el software antimalware. Todas las aplicaciones que tienen un mecanismo de verificación avanzado realizan las operaciones descritas. Pero con una política de confianza cero, se aplican precauciones de seguridad a todas las aplicaciones y archivos. Todos estos controles deben estar respaldados con los mejores sistemas de detección para proporcionar la máxima eficiencia. Los motores heurísticos y mecanismos de detección de redes neuronales deben tener un alto rendimiento con un consumo moderado de recursos. Las bases de datos de detección deben mantenerse en consecuencia, con actualizaciones hora a hora y monitoreo continuo de posibles nuevas amenazas.

Dado que la confianza cero es casi sinónimo de sistemas EDR, la aplicación más eficiente para esta política se puede cumplir solo con las características de una solución de punto final. Este último generalmente ofrece dividir la red protegida en partes para que el sistema general sea más fácil de controlar. En ese caso, zero-trust te permite configurar algunas comprobaciones adicionales para los programas que se consideran más peligrosos o modificar la lista de verificaciones aplicadas.

Confianza cero en programas antimalware

La mayoría de los programas con un ejemplo de política de confianza cero son soluciones de detección y respuesta de punto final, o EDR. Esas aplicaciones representan una nueva visión de la ciberseguridad corporativa. Mientras que las soluciones anteriores protegían cada PC por separado, las soluciones EDR proporcionaban el escudo que cubre toda la red simultáneamente. Dado que los ciberdelincuentes aplican el uso de amenazas avanzadas con bastante frecuencia, buscar aplicaciones posiblemente comprometidas requiere no tener tolerancia.

Las soluciones antivirus de mercado masivo para sistemas de un solo usuario rara vez aplican una política de confianza cero. El único que está presente en todas las computadoras con Windows 11 es Windows Defender: una herramienta de seguridad infame de Microsoft . Muestra resultados decentes en la protección en ejecución, pero tiene tantos errores y problemas de seguridad que su usabilidad es cuestionable. Y aunque ejecuta una confianza cero completa, los mecanismos de seguridad antes mencionados están restringidos. Por ejemplo, el sandboxing en el modo de seguridad de la red solo funciona con el navegador Edge; Los mecanismos avanzados de supervisión de secuencias de comandos solo están disponibles para las secuencias de comandos de PowerShell.

¿Por qué los proveedores de antimalware retrasan la aplicación de esta política?

"Zero Trust" puede parecer una píldora mágica para la seguridad informática. La nueva ideología de cómo reacciona el software antimalware a los programas en el sistema puede aumentar drásticamente su eficiencia sin ninguna mejora en el mecanismo de detección. Sin embargo, algunas trampas lo hacen menos perspectivo o incluso inútil.

• La confianza cero afecta el rendimiento de la PC. La misma herramienta consumirá una cantidad mucho mayor de RAM y especialmente de CPU para realizar todas las comprobaciones y ejecutar el sandbox. Imagine que tiene habilitada la protección en ejecución, pero requiere realizar las operaciones que necesitan tres veces más potencia de cálculo. Claro, no sufrirá ningún problema significativo en los sistemas de gama alta, pero los productos antimalware están orientados al mercado masivo; de lo contrario, no valdrá la pena. Los EDR con una política de confianza cero sufren mucho menos porque la mayoría de los cálculos se realizan en el controlador de dominio.
• Los usuarios individuales rara vez son atacados con amenazas avanzadas. Mientras que las empresas enfrentan constantemente el riesgo de ser atacadas con el uso de malware complicado, las personas no 't. La cantidad de lugares donde la confianza cero puede ser útil para un solo usuario es escasa, en comparación con los efectos negativos que mencionamos en el párrafo anterior. Para replicar el ataque con malware "clásico", el antivirus regular con una lista de confianza es suficiente.
• Uso complicado. Zero Trust no se trata solo de controlar lo que se ejecuta en su sistema. Para alcanzar la máxima eficiencia, la herramienta de seguridad debe configurarse específicamente para el sistema en el que se ejecutará; de lo contrario, es solo bloatware. Y como puede adivinar, las configuraciones manuales no son algo que agrade al mercado masivo. Al pasar horas en manuales y configuraciones, la aplicación está bien para los administradores de sistemas que establecieron la protección en la corporación, pero no es tan buena cuando desea que el programa funcione bien desde el primer momento.

Zero Trust es una política muy prospectiva para el software antimalware. Sin embargo, apenas puede existir en el mercado masivo debido a los problemas anteriores. Parece que será el elemento complementario o incluso obligatorio de las soluciones EDR: muestra la máxima eficiencia allí. Pero apenas podemos imaginar su futuro como parte de una solución antimalware regular, al menos en el mercado masivo.