Zero Trust Cyber Security - Ciberseguridad de defensa en profundidad

Zero Trust es un tipo de polĂ­tica de confianza antivirus que considera cualquier archivo y cualquier programa potencialmente peligroso, a menos que se establezcan exclusiones manuales. Uno puede decir, Zero Trust es su escudo contra el dĂ­a cero.

QuizĂĄs le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner.

¿Qué es Zero Trust Security? Principios del Modelo Zero Trust | Gridinsoft

¿Qué es Zero Trust?

November 01, 2022

En la vida real, la confianza es una parte importante de las relaciones humanas. En el mundo de la informåtica, también es real, pero los programas no son lo suficientemente inteligentes como para comprender que estån manipulados con intenciones malévolas. Es por eso que en un momento, los proveedores de AV decidieron no confiar en nadie en absoluto.

Confianza cero es la polĂ­tica del programa de seguridad que regula la calificaciĂłn de confianza de ciertas aplicaciones. Como puede adivinar por su nombre, zero-trust supone que no se confĂ­a en ningĂșn programa. Tal medida es dura, pero extremadamente efectiva cuando se trata de prevenir la inyecciĂłn de malware. En ese modo, un programa anti-malware considera que cualquier aplicaciĂłn que se ejecuta en el sistema es potencialmente peligrosa y revisa los comandos ejecutados/archivos DLL y carpetas accedidos.

Al verificar la actividad de todas las aplicaciones, la herramienta de seguridad (podría ser la solución EDR así como el antivirus regular) puede filtrar fåcilmente cosas dudosas. A continuación, el especialista en seguridad que gestiona el sistema de protección recibe el informe con todos estos casos y elige qué medidas quiere aplicar.

ÂżCuĂĄl es la necesidad de una polĂ­tica de confianza cero?

Anteriormente, en los albores de la difusiĂłn del software antimalware, todos los programas de este tipo dividĂ­an las aplicaciones de terceros en confiables y no confiables. La tercera categorĂ­a, aplicaciones del sistema, tambiĂ©n se agrupĂł mĂĄs tarde como confiable. Entonces, las aplicaciones de la lista confiable podĂ­an hacer lo que quisieran: los programas antivirus ignoraban sus actividades. Los que se consideraron no confiables fueron revisados ​​diligentemente. Esta clasificaciĂłn fue genial a menos que recordemos que fue bastante fĂĄcil llegar a la "confiabilidad". Por lo tanto, solo algunas aplicaciones dudosas de los sitios de distribuciĂłn de software, los subprogramas de Java hechos a mano y los scripts se consideraron inseguros.

CaracterĂ­sticas clave de Zero Trust
Vectores clave de una seguridad Zero Trust

El modelo general parece bastante bueno porque todavĂ­a tiene control manual, la posibilidad de editar y otras cosas que brindan flexibilidad. A menos que recordemos las vulnerabilidades, estas Ășltimas pueden aparecer en todo tipo de aplicaciones, y las que se consideran seguras no son una exclusiĂłn. Las vulnerabilidades pueden permitir que los piratas informĂĄticos ejecuten cĂłdigo arbitrario, aumenten los privilegios, modifiquen la configuraciĂłn del sistema y hagan todas las demĂĄs cosas desagradables. Tal situaciĂłn clava por completo la eficiencia del sistema de fideicomiso dividido.

Al principio, el problema simplemente se ignorĂł, ya que la explotaciĂłn de vulnerabilidades no estaba tan extendida. No habĂ­a soluciones de seguridad especiales disponibles en el mercado general: solo podĂ­a pedirlas por un precio mĂĄs alto. Y las empresas no estaban preocupadas por eso: la eficiencia de los programas antivirus era suficiente por el momento. Cuando los ciberdelincuentes cambiaron las formas de propagaciĂłn de los trucos clĂĄsicos a los exploits, las soluciones clĂĄsicas se volvieron mucho menos efectivas. Se puede decir - inĂștil.

Principios de la Confianza Cero

Ya hemos descrito el trabajo antivirus con la política Zero Trust anterior. Es una descripción bastante primitiva ya que tiene una lista de acciones mucho mås extensa. Zero Trust se extiende no solo a las aplicaciones que se estån ejecutando actualmente sino también a los archivos que estån presentes en el disco pero que no se utilizan en ese momento. Controlar esto requiere que se apliquen simultåneamente varias soluciones típicas y nuevos enfoques.

Los procesos se verifican obligatoriamente con varios mecanismos de detecciĂłn. En las primeras variantes, se verificaban en ejecuciĂłn, lo que permitĂ­a que el programa se ejecutara en el sistema. Este enfoque tiene sus ventajas, pero expone el sistema a riesgos. Los antivirus mĂĄs modernos con una polĂ­tica de confianza cero ejecutan cada aplicaciĂłn en la zona de pruebas antes de permitir que se ejecute en un sistema. En el caso de un sitio web o un servidor remoto, puede iniciarse simultĂĄneamente en la zona de pruebas y en el navegador, para minimizar el retraso. Lo mismo se realiza a las conexiones entrantes: incluso cuando no estĂĄn realizando ninguna acciĂłn, el programa lo vigila y registra todas sus acciones cuando se activa

trabajo de confianza cero
Zero Trust work

En realidad, esas comprobaciones no son nuevas para el software antimalware. Todas las aplicaciones que tienen un mecanismo de verificaciĂłn avanzado realizan las operaciones descritas. Pero con una polĂ­tica de confianza cero, se aplican precauciones de seguridad a todas las aplicaciones y archivos. Todos estos controles deben estar respaldados con los mejores sistemas de detecciĂłn para proporcionar la mĂĄxima eficiencia. Los motores heurĂ­sticos y mecanismos de detecciĂłn de redes neuronales deben tener un alto rendimiento con un consumo moderado de recursos. Las bases de datos de detecciĂłn deben mantenerse en consecuencia, con actualizaciones hora a hora y monitoreo continuo de posibles nuevas amenazas.

Dado que la confianza cero es casi sinĂłnimo de sistemas EDR, la aplicaciĂłn mĂĄs eficiente para esta polĂ­tica se puede cumplir solo con las caracterĂ­sticas de una soluciĂłn de punto final. Este Ășltimo generalmente ofrece dividir la red protegida en partes para que el sistema general sea mĂĄs fĂĄcil de controlar. En ese caso, zero-trust te permite configurar algunas comprobaciones adicionales para los programas que se consideran mĂĄs peligrosos o modificar la lista de verificaciones aplicadas.

Confianza cero en programas antimalware

La mayorĂ­a de los programas con un ejemplo de polĂ­tica de confianza cero son soluciones de detecciĂłn y respuesta de punto final, o EDR. Esas aplicaciones representan una nueva visiĂłn de la ciberseguridad corporativa. Mientras que las soluciones anteriores protegĂ­an cada PC por separado, las soluciones EDR proporcionaban el escudo que cubre toda la red simultĂĄneamente. Dado que los ciberdelincuentes aplican el uso de amenazas avanzadas con bastante frecuencia, buscar aplicaciones posiblemente comprometidas requiere no tener tolerancia.

Las soluciones antivirus de mercado masivo para sistemas de un solo usuario rara vez aplican una polĂ­tica de confianza cero. El Ășnico que estĂĄ presente en todas las computadoras con Windows 11 es Windows Defender: una herramienta de seguridad infame de Microsoft . Muestra resultados decentes en la protecciĂłn en ejecuciĂłn, pero tiene tantos errores y problemas de seguridad que su usabilidad es cuestionable. Y aunque ejecuta una confianza cero completa, los mecanismos de seguridad antes mencionados estĂĄn restringidos. Por ejemplo, el sandboxing en el modo de seguridad de la red solo funciona con el navegador Edge; Los mecanismos avanzados de supervisiĂłn de secuencias de comandos solo estĂĄn disponibles para las secuencias de comandos de PowerShell.

¿Por qué los proveedores de antimalware retrasan la aplicación de esta política?

"Zero Trust" puede parecer una pĂ­ldora mĂĄgica para la seguridad informĂĄtica. La nueva ideologĂ­a de cĂłmo reacciona el software antimalware a los programas en el sistema puede aumentar drĂĄsticamente su eficiencia sin ninguna mejora en el mecanismo de detecciĂłn. Sin embargo, algunas trampas lo hacen menos perspectivo o incluso inĂștil.

  • La confianza cero afecta el rendimiento de la PC. La misma herramienta consumirĂĄ una cantidad mucho mayor de RAM y especialmente de CPU para realizar todas las comprobaciones y ejecutar el sandbox. Imagine que tiene habilitada la protecciĂłn en ejecuciĂłn, pero requiere realizar las operaciones que necesitan tres veces mĂĄs potencia de cĂĄlculo. Claro, no sufrirĂĄ ningĂșn problema significativo en los sistemas de gama alta, pero los productos antimalware estĂĄn orientados al mercado masivo; de lo contrario, no valdrĂĄ la pena. Los EDR con una polĂ­tica de confianza cero sufren mucho menos porque la mayorĂ­a de los cĂĄlculos se realizan en el controlador de dominio.
  • Los usuarios individuales rara vez son atacados con amenazas avanzadas. Mientras que las empresas enfrentan constantemente el riesgo de ser atacadas con el uso de malware complicado, las personas no 't. La cantidad de lugares donde la confianza cero puede ser Ăștil para un solo usuario es escasa, en comparaciĂłn con los efectos negativos que mencionamos en el pĂĄrrafo anterior. Para replicar el ataque con malware "clĂĄsico", el antivirus regular con una lista de confianza es suficiente.
  • Uso complicado. Zero Trust no se trata solo de controlar lo que se ejecuta en su sistema. Para alcanzar la mĂĄxima eficiencia, la herramienta de seguridad debe configurarse especĂ­ficamente para el sistema en el que se ejecutarĂĄ; de lo contrario, es solo bloatware. Y como puede adivinar, las configuraciones manuales no son algo que agrade al mercado masivo. Al pasar horas en manuales y configuraciones, la aplicaciĂłn estĂĄ bien para los administradores de sistemas que establecieron la protecciĂłn en la corporaciĂłn, pero no es tan buena cuando desea que el programa funcione bien desde el primer momento.

Zero Trust es una polĂ­tica muy prospectiva para el software antimalware. Sin embargo, apenas puede existir en el mercado masivo debido a los problemas anteriores. Parece que serĂĄ el elemento complementario o incluso obligatorio de las soluciones EDR: muestra la mĂĄxima eficiencia allĂ­. Pero apenas podemos imaginar su futuro como parte de una soluciĂłn antimalware regular, al menos en el mercado masivo.