Zero Trust Cyber Security - Ciberseguridad de defensa en profundidad

Zero Trust es un tipo de política de confianza antivirus que considera cualquier archivo y cualquier programa potencialmente peligroso, a menos que se establezcan exclusiones manuales. Uno puede decir, Zero Trust es su escudo contra el día cero.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner.

¬ŅQu√© es Zero Trust Security? Principios del Modelo Zero Trust | Gridinsoft

¬ŅQu√© es Zero Trust?

November 01, 2022

En la vida real, la confianza es una parte importante de las relaciones humanas. En el mundo de la informática, también es real, pero los programas no son lo suficientemente inteligentes como para comprender que están manipulados con intenciones malévolas. Es por eso que en un momento, los proveedores de AV decidieron no confiar en nadie en absoluto.

Confianza cero es la pol√≠tica del programa de seguridad que regula la calificaci√≥n de confianza de ciertas aplicaciones. Como puede adivinar por su nombre, zero-trust supone que no se conf√≠a en ning√ļn programa. Tal medida es dura, pero extremadamente efectiva cuando se trata de prevenir la inyecci√≥n de malware. En ese modo, un programa anti-malware considera que cualquier aplicaci√≥n que se ejecuta en el sistema es potencialmente peligrosa y revisa los comandos ejecutados/archivos DLL y carpetas accedidos.

Al verificar la actividad de todas las aplicaciones, la herramienta de seguridad (podría ser la solución EDR así como el antivirus regular) puede filtrar fácilmente cosas dudosas. A continuación, el especialista en seguridad que gestiona el sistema de protección recibe el informe con todos estos casos y elige qué medidas quiere aplicar.

¬ŅCu√°l es la necesidad de una pol√≠tica de confianza cero?

Anteriormente, en los albores de la difusi√≥n del software antimalware, todos los programas de este tipo divid√≠an las aplicaciones de terceros en confiables y no confiables. La tercera categor√≠a, aplicaciones del sistema, tambi√©n se agrup√≥ m√°s tarde como confiable. Entonces, las aplicaciones de la lista confiable pod√≠an hacer lo que quisieran: los programas antivirus ignoraban sus actividades. Los que se consideraron no confiables fueron revisados ‚Äč‚Äčdiligentemente. Esta clasificaci√≥n fue genial a menos que recordemos que fue bastante f√°cil llegar a la "confiabilidad". Por lo tanto, solo algunas aplicaciones dudosas de los sitios de distribuci√≥n de software, los subprogramas de Java hechos a mano y los scripts se consideraron inseguros.

Características clave de Zero Trust
Vectores clave de una seguridad Zero Trust

El modelo general parece bastante bueno porque todav√≠a tiene control manual, la posibilidad de editar y otras cosas que brindan flexibilidad. A menos que recordemos las vulnerabilidades, estas √ļltimas pueden aparecer en todo tipo de aplicaciones, y las que se consideran seguras no son una exclusi√≥n. Las vulnerabilidades pueden permitir que los piratas inform√°ticos ejecuten c√≥digo arbitrario, aumenten los privilegios, modifiquen la configuraci√≥n del sistema y hagan todas las dem√°s cosas desagradables. Tal situaci√≥n clava por completo la eficiencia del sistema de fideicomiso dividido.

Al principio, el problema simplemente se ignor√≥, ya que la explotaci√≥n de vulnerabilidades no estaba tan extendida. No hab√≠a soluciones de seguridad especiales disponibles en el mercado general: solo pod√≠a pedirlas por un precio m√°s alto. Y las empresas no estaban preocupadas por eso: la eficiencia de los programas antivirus era suficiente por el momento. Cuando los ciberdelincuentes cambiaron las formas de propagaci√≥n de los trucos cl√°sicos a los exploits, las soluciones cl√°sicas se volvieron mucho menos efectivas. Se puede decir - in√ļtil.

Principios de la Confianza Cero

Ya hemos descrito el trabajo antivirus con la política Zero Trust anterior. Es una descripción bastante primitiva ya que tiene una lista de acciones mucho más extensa. Zero Trust se extiende no solo a las aplicaciones que se están ejecutando actualmente sino también a los archivos que están presentes en el disco pero que no se utilizan en ese momento. Controlar esto requiere que se apliquen simultáneamente varias soluciones típicas y nuevos enfoques.

Los procesos se verifican obligatoriamente con varios mecanismos de detección. En las primeras variantes, se verificaban en ejecución, lo que permitía que el programa se ejecutara en el sistema. Este enfoque tiene sus ventajas, pero expone el sistema a riesgos. Los antivirus más modernos con una política de confianza cero ejecutan cada aplicación en la zona de pruebas antes de permitir que se ejecute en un sistema. En el caso de un sitio web o un servidor remoto, puede iniciarse simultáneamente en la zona de pruebas y en el navegador, para minimizar el retraso. Lo mismo se realiza a las conexiones entrantes: incluso cuando no están realizando ninguna acción, el programa lo vigila y registra todas sus acciones cuando se activa

trabajo de confianza cero
Zero Trust work

En realidad, esas comprobaciones no son nuevas para el software antimalware. Todas las aplicaciones que tienen un mecanismo de verificación avanzado realizan las operaciones descritas. Pero con una política de confianza cero, se aplican precauciones de seguridad a todas las aplicaciones y archivos. Todos estos controles deben estar respaldados con los mejores sistemas de detección para proporcionar la máxima eficiencia. Los motores heurísticos y mecanismos de detección de redes neuronales deben tener un alto rendimiento con un consumo moderado de recursos. Las bases de datos de detección deben mantenerse en consecuencia, con actualizaciones hora a hora y monitoreo continuo de posibles nuevas amenazas.

Dado que la confianza cero es casi sin√≥nimo de sistemas EDR, la aplicaci√≥n m√°s eficiente para esta pol√≠tica se puede cumplir solo con las caracter√≠sticas de una soluci√≥n de punto final. Este √ļltimo generalmente ofrece dividir la red protegida en partes para que el sistema general sea m√°s f√°cil de controlar. En ese caso, zero-trust te permite configurar algunas comprobaciones adicionales para los programas que se consideran m√°s peligrosos o modificar la lista de verificaciones aplicadas.

Confianza cero en programas antimalware

La mayoría de los programas con un ejemplo de política de confianza cero son soluciones de detección y respuesta de punto final, o EDR. Esas aplicaciones representan una nueva visión de la ciberseguridad corporativa. Mientras que las soluciones anteriores protegían cada PC por separado, las soluciones EDR proporcionaban el escudo que cubre toda la red simultáneamente. Dado que los ciberdelincuentes aplican el uso de amenazas avanzadas con bastante frecuencia, buscar aplicaciones posiblemente comprometidas requiere no tener tolerancia.

Las soluciones antivirus de mercado masivo para sistemas de un solo usuario rara vez aplican una pol√≠tica de confianza cero. El √ļnico que est√° presente en todas las computadoras con Windows 11 es Windows Defender: una herramienta de seguridad infame de Microsoft . Muestra resultados decentes en la protecci√≥n en ejecuci√≥n, pero tiene tantos errores y problemas de seguridad que su usabilidad es cuestionable. Y aunque ejecuta una confianza cero completa, los mecanismos de seguridad antes mencionados est√°n restringidos. Por ejemplo, el sandboxing en el modo de seguridad de la red solo funciona con el navegador Edge; Los mecanismos avanzados de supervisi√≥n de secuencias de comandos solo est√°n disponibles para las secuencias de comandos de PowerShell.

¬ŅPor qu√© los proveedores de antimalware retrasan la aplicaci√≥n de esta pol√≠tica?

"Zero Trust" puede parecer una p√≠ldora m√°gica para la seguridad inform√°tica. La nueva ideolog√≠a de c√≥mo reacciona el software antimalware a los programas en el sistema puede aumentar dr√°sticamente su eficiencia sin ninguna mejora en el mecanismo de detecci√≥n. Sin embargo, algunas trampas lo hacen menos perspectivo o incluso in√ļtil.

  • La confianza cero afecta el rendimiento de la PC. La misma herramienta consumir√° una cantidad mucho mayor de RAM y especialmente de CPU para realizar todas las comprobaciones y ejecutar el sandbox. Imagine que tiene habilitada la protecci√≥n en ejecuci√≥n, pero requiere realizar las operaciones que necesitan tres veces m√°s potencia de c√°lculo. Claro, no sufrir√° ning√ļn problema significativo en los sistemas de gama alta, pero los productos antimalware est√°n orientados al mercado masivo; de lo contrario, no valdr√° la pena. Los EDR con una pol√≠tica de confianza cero sufren mucho menos porque la mayor√≠a de los c√°lculos se realizan en el controlador de dominio.
  • Los usuarios individuales rara vez son atacados con amenazas avanzadas. Mientras que las empresas enfrentan constantemente el riesgo de ser atacadas con el uso de malware complicado, las personas no 't. La cantidad de lugares donde la confianza cero puede ser √ļtil para un solo usuario es escasa, en comparaci√≥n con los efectos negativos que mencionamos en el p√°rrafo anterior. Para replicar el ataque con malware "cl√°sico", el antivirus regular con una lista de confianza es suficiente.
  • Uso complicado. Zero Trust no se trata solo de controlar lo que se ejecuta en su sistema. Para alcanzar la m√°xima eficiencia, la herramienta de seguridad debe configurarse espec√≠ficamente para el sistema en el que se ejecutar√°; de lo contrario, es solo bloatware. Y como puede adivinar, las configuraciones manuales no son algo que agrade al mercado masivo. Al pasar horas en manuales y configuraciones, la aplicaci√≥n est√° bien para los administradores de sistemas que establecieron la protecci√≥n en la corporaci√≥n, pero no es tan buena cuando desea que el programa funcione bien desde el primer momento.

Zero Trust es una política muy prospectiva para el software antimalware. Sin embargo, apenas puede existir en el mercado masivo debido a los problemas anteriores. Parece que será el elemento complementario o incluso obligatorio de las soluciones EDR: muestra la máxima eficiencia allí. Pero apenas podemos imaginar su futuro como parte de una solución antimalware regular, al menos en el mercado masivo.