
¿Qué es Zero Trust?
November 01, 2022
Confianza cero es la polĂtica del programa de seguridad que regula la calificaciĂłn de confianza de ciertas aplicaciones. Como puede adivinar por su nombre, zero-trust supone que no se confĂa en ningĂșn programa. Tal medida es dura, pero extremadamente efectiva cuando se trata de prevenir la inyecciĂłn de malware. En ese modo, un programa anti-malware considera que cualquier aplicaciĂłn que se ejecuta en el sistema es potencialmente peligrosa y revisa los comandos ejecutados/archivos DLL y carpetas accedidos.
Al verificar la actividad de todas las aplicaciones, la herramienta de seguridad (podrĂa ser la soluciĂłn EDR asĂ como el antivirus regular) puede filtrar fĂĄcilmente cosas dudosas. A continuaciĂłn, el especialista en seguridad que gestiona el sistema de protecciĂłn recibe el informe con todos estos casos y elige quĂ© medidas quiere aplicar.
ÂżCuĂĄl es la necesidad de una polĂtica de confianza cero?
Anteriormente, en los albores de la difusiĂłn del software antimalware, todos los programas de este tipo dividĂan las aplicaciones de terceros en confiables y no confiables. La tercera categorĂa, aplicaciones del sistema, tambiĂ©n se agrupĂł mĂĄs tarde como confiable. Entonces, las aplicaciones de la lista confiable podĂan hacer lo que quisieran: los programas antivirus ignoraban sus actividades. Los que se consideraron no confiables fueron revisados ââdiligentemente. Esta clasificaciĂłn fue genial a menos que recordemos que fue bastante fĂĄcil llegar a la "confiabilidad". Por lo tanto, solo algunas aplicaciones dudosas de los sitios de distribuciĂłn de software, los subprogramas de Java hechos a mano y los scripts se consideraron inseguros.

El modelo general parece bastante bueno porque todavĂa tiene control manual, la posibilidad de editar y otras cosas que brindan flexibilidad. A menos que recordemos las vulnerabilidades, estas Ășltimas pueden aparecer en todo tipo de aplicaciones, y las que se consideran seguras no son una exclusiĂłn. Las vulnerabilidades pueden permitir que los piratas informĂĄticos ejecuten cĂłdigo arbitrario, aumenten los privilegios, modifiquen la configuraciĂłn del sistema y hagan todas las demĂĄs cosas desagradables. Tal situaciĂłn clava por completo la eficiencia del sistema de fideicomiso dividido.
Al principio, el problema simplemente se ignorĂł, ya que la explotaciĂłn de vulnerabilidades no estaba tan extendida. No habĂa soluciones de seguridad especiales disponibles en el mercado general: solo podĂa pedirlas por un precio mĂĄs alto. Y las empresas no estaban preocupadas por eso: la eficiencia de los programas antivirus era suficiente por el momento. Cuando los ciberdelincuentes cambiaron las formas de propagaciĂłn de los trucos clĂĄsicos a los exploits, las soluciones clĂĄsicas se volvieron mucho menos efectivas. Se puede decir - inĂștil.
Principios de la Confianza Cero
Ya hemos descrito el trabajo antivirus con la polĂtica Zero Trust anterior. Es una descripciĂłn bastante primitiva ya que tiene una lista de acciones mucho mĂĄs extensa. Zero Trust se extiende no solo a las aplicaciones que se estĂĄn ejecutando actualmente sino tambiĂ©n a los archivos que estĂĄn presentes en el disco pero que no se utilizan en ese momento. Controlar esto requiere que se apliquen simultĂĄneamente varias soluciones tĂpicas y nuevos enfoques.
Los procesos se verifican obligatoriamente con varios mecanismos de detecciĂłn. En las primeras variantes, se verificaban en ejecuciĂłn, lo que permitĂa que el programa se ejecutara en el sistema. Este enfoque tiene sus ventajas, pero expone el sistema a riesgos. Los antivirus mĂĄs modernos con una polĂtica de confianza cero ejecutan cada aplicaciĂłn en la zona de pruebas antes de permitir que se ejecute en un sistema. En el caso de un sitio web o un servidor remoto, puede iniciarse simultĂĄneamente en la zona de pruebas y en el navegador, para minimizar el retraso. Lo mismo se realiza a las conexiones entrantes: incluso cuando no estĂĄn realizando ninguna acciĂłn, el programa lo vigila y registra todas sus acciones cuando se activa

En realidad, esas comprobaciones no son nuevas para el software antimalware. Todas las aplicaciones que tienen un mecanismo de verificaciĂłn avanzado realizan las operaciones descritas. Pero con una polĂtica de confianza cero, se aplican precauciones de seguridad a todas las aplicaciones y archivos. Todos estos controles deben estar respaldados con los mejores sistemas de detecciĂłn para proporcionar la mĂĄxima eficiencia. Los motores heurĂsticos y mecanismos de detecciĂłn de redes neuronales deben tener un alto rendimiento con un consumo moderado de recursos. Las bases de datos de detecciĂłn deben mantenerse en consecuencia, con actualizaciones hora a hora y monitoreo continuo de posibles nuevas amenazas.
Dado que la confianza cero es casi sinĂłnimo de sistemas EDR, la aplicaciĂłn mĂĄs eficiente para esta polĂtica se puede cumplir solo con las caracterĂsticas de una soluciĂłn de punto final. Este Ășltimo generalmente ofrece dividir la red protegida en partes para que el sistema general sea mĂĄs fĂĄcil de controlar. En ese caso, zero-trust te permite configurar algunas comprobaciones adicionales para los programas que se consideran mĂĄs peligrosos o modificar la lista de verificaciones aplicadas.
Confianza cero en programas antimalware
La mayorĂa de los programas con un ejemplo de polĂtica de confianza cero son soluciones de detecciĂłn y respuesta de punto final, o EDR. Esas aplicaciones representan una nueva visiĂłn de la ciberseguridad corporativa. Mientras que las soluciones anteriores protegĂan cada PC por separado, las soluciones EDR proporcionaban el escudo que cubre toda la red simultĂĄneamente. Dado que los ciberdelincuentes aplican el uso de amenazas avanzadas con bastante frecuencia, buscar aplicaciones posiblemente comprometidas requiere no tener tolerancia.
Las soluciones antivirus de mercado masivo para sistemas de un solo usuario rara vez aplican una polĂtica de confianza cero. El Ășnico que estĂĄ presente en todas las computadoras con Windows 11 es Windows Defender: una herramienta de seguridad infame de Microsoft . Muestra resultados decentes en la protecciĂłn en ejecuciĂłn, pero tiene tantos errores y problemas de seguridad que su usabilidad es cuestionable. Y aunque ejecuta una confianza cero completa, los mecanismos de seguridad antes mencionados estĂĄn restringidos. Por ejemplo, el sandboxing en el modo de seguridad de la red solo funciona con el navegador Edge; Los mecanismos avanzados de supervisiĂłn de secuencias de comandos solo estĂĄn disponibles para las secuencias de comandos de PowerShell.
ÂżPor quĂ© los proveedores de antimalware retrasan la aplicaciĂłn de esta polĂtica?
"Zero Trust" puede parecer una pĂldora mĂĄgica para la seguridad informĂĄtica. La nueva ideologĂa de cĂłmo reacciona el software antimalware a los programas en el sistema puede aumentar drĂĄsticamente su eficiencia sin ninguna mejora en el mecanismo de detecciĂłn. Sin embargo, algunas trampas lo hacen menos perspectivo o incluso inĂștil.
- La confianza cero afecta el rendimiento de la PC. La misma herramienta consumirĂĄ una cantidad mucho mayor de RAM y especialmente de CPU para realizar todas las comprobaciones y ejecutar el sandbox. Imagine que tiene habilitada la protecciĂłn en ejecuciĂłn, pero requiere realizar las operaciones que necesitan tres veces mĂĄs potencia de cĂĄlculo. Claro, no sufrirĂĄ ningĂșn problema significativo en los sistemas de gama alta, pero los productos antimalware estĂĄn orientados al mercado masivo; de lo contrario, no valdrĂĄ la pena. Los EDR con una polĂtica de confianza cero sufren mucho menos porque la mayorĂa de los cĂĄlculos se realizan en el controlador de dominio.
- Los usuarios individuales rara vez son atacados con amenazas avanzadas. Mientras que las empresas enfrentan constantemente el riesgo de ser atacadas con el uso de malware complicado, las personas no 't. La cantidad de lugares donde la confianza cero puede ser Ăștil para un solo usuario es escasa, en comparaciĂłn con los efectos negativos que mencionamos en el pĂĄrrafo anterior. Para replicar el ataque con malware "clĂĄsico", el antivirus regular con una lista de confianza es suficiente.
- Uso complicado. Zero Trust no se trata solo de controlar lo que se ejecuta en su sistema. Para alcanzar la mĂĄxima eficiencia, la herramienta de seguridad debe configurarse especĂficamente para el sistema en el que se ejecutarĂĄ; de lo contrario, es solo bloatware. Y como puede adivinar, las configuraciones manuales no son algo que agrade al mercado masivo. Al pasar horas en manuales y configuraciones, la aplicaciĂłn estĂĄ bien para los administradores de sistemas que establecieron la protecciĂłn en la corporaciĂłn, pero no es tan buena cuando desea que el programa funcione bien desde el primer momento.
Zero Trust es una polĂtica muy prospectiva para el software antimalware. Sin embargo, apenas puede existir en el mercado masivo debido a los problemas anteriores. Parece que serĂĄ el elemento complementario o incluso obligatorio de las soluciones EDR: muestra la mĂĄxima eficiencia allĂ. Pero apenas podemos imaginar su futuro como parte de una soluciĂłn antimalware regular, al menos en el mercado masivo.