Crédito: CC0 Public Domain
Presidente Joe Biden orden ejecutiva de ciberseguridad, firmado el 12 de mayo de 2021, pide al gobierno federal que adopte una “arquitectura de confianza cero”.
Esto plantea algunas preguntas. ¿Qué es la protección de confianza cero? Y si la confianza daña la ciberseguridad, ¿por qué la mayoría de las organizaciones gubernamentales y del sector privado lo hacen?
Una consecuencia de demasiada confianza en Internet es la epidemia de ransomware, y un problema global creciente que afecta a organizaciones grandes y pequeñas. Violaciones fuertes como las que ha experimentado Oleoducto colonial Esto es sólo la punta del iceberg.
Ellos eran al menos 2.354 ataques de ransomware sobre los gobiernos locales, centros de salud y escuelas en los Estados Unidos el año pasado. Si bien las estimaciones varían, parecen estar sufriendo pérdidas relacionadas con el ransomware. triplicado en 2020 hasta más de USD 300.000 por evento. Y los ataques de ransomware son se vuelve más sofisticado.
Un tema recurrente para muchas de estas violaciones es la confianza indebida en proveedores, empleados, software y hardware. Cómo becario de política de ciberseguridad con lo reciente informe sobre esto, Estaba interesado en cuestiones de confianza. También soy director ejecutivo Taller de ostrom. Talleres de trabajo Programa de ciberseguridad y gobernanza de Internet se centra en múltiples supuestos de seguridad de confianza cero, analizando analogías, incluida la salud pública y el desarrollo sostenible, para generar resiliencia en los sistemas distribuidos.
Seguridad sin confianza
La confianza en el contexto de las redes de computadoras se refiere a los sistemas que permiten que las personas u otras computadoras accedan con poca o ninguna verificación de quiénes son y si están autorizados para hacerlo. Sin confianza es un modelo de seguridad que asume que las amenazas son omnipresentes tanto en línea como fuera de línea. En cambio, la confianza cero se basa en la verificación continua con información de múltiples fuentes. Por lo tanto, este enfoque presupone una violación inevitable de la protección de datos. En lugar de centrarse únicamente en prevenir infracciones, Zero Trust Security garantiza que los daños sean limitados y que el sistema sea resistente y se pueda recuperar rápidamente.
Utilizando analogía de salud pública, el enfoque de confianza cero para la ciberseguridad asume que la infección es solo una tos – o, en este caso, un clic – y se enfoca en construir el sistema inmunológico capaz de lidiar con cada nuevo virus. En otras palabras, en lugar de defender el castillo, este modelo asume que los invasores ya están dentro de los muros.
Las ventajas del modelo Zero Trust no son difíciles de ver. Por ejemplo, si Colonial Pipeline lo hubiera adoptado, el ataque de ransomware probablemente habría fallado y la gente no estaría compra de pánico gasolina en los últimos días. Y si la confianza cero estuviera generalizada, la epidemia de ransomware sería mucho menos grave.
Cuatro obstáculos para perder la confianza
Pero hay al menos las cuatro barreras principales para lograr la confianza cero en sistemas informáticos gubernamentales y privados.
En primer lugar, los sistemas y la infraestructura heredados a menudo son imposibles de actualizar para que no sean confiables. Lograr cero seguridad requiere defensa en capasque implica la construcción de múltiples capas de seguridad, similar a una pila de queso suizo. Sin embargo, esto es difícil en sistemas que no fueron construidos con este propósito en mente, ya que lo requieren. verificación independiente en cada capa.
En segundo lugar, incluso si es posible, le costará. Rediseñar y redesplegar sistemas es costoso, lento y potencialmente oneroso, especialmente si se hacen por encargo. Departamento de Defensa de EE. UU. Únicamente admite más de 15.000 redes en 4.000 instalaciones en 88 países.
Tercero, tecnologías peer-to-peeral igual que las computadoras con Windows 10 en una red local, hacen lo contrario de cero, ya que dependen principalmente de contraseñas en lugar de la autenticación multifactor en tiempo real. Las computadoras pueden descifrar las contraseñas al verificar rápidamente muchas contraseñas posibles:ataques de fuerza bruta– en tiempo real, autenticación multifactor requiere contraseñas y al menos una forma adicional de verificación, generalmente un código enviado por correo electrónico o SMS. Google anunció recientemente su decisión de autorizar la autenticación multifactor para todos sus usuarios.
En cuarto lugar, la migración de los sistemas de información de una organización desde las computadoras internas a los servicios en la nube puede aumentar la confianza cero, pero solo si se hace correctamente. Esto requiere la creación de nuevas aplicaciones en la nube en lugar de simplemente trasladar las aplicaciones existentes a la nube. Sin embargo, las organizaciones necesitan saber planificar la seguridad sin confianza cuando se trasladan a la nube. 2018 Estrategia de nube de DoDpor ejemplo, ni siquiera se refiere a “confianza cero”.
Ingrese a la administración de Biden
Administración de Biden orden ejecutiva intenta apoyar la defensa de múltiples capas para resolver los problemas de ciberseguridad de la nación. El decreto siguió varias recomendaciones de la Comisión del Solarium del Ciberespacio 2020, una comisión designada por el Congreso para desarrollar un enfoque estratégico de la defensa estadounidense en el ciberespacio.
Entre otras cosas, se basa en las estructuras de confianza cero propuestas por el Instituto Nacional de Estándares y Tecnología. También está pidiendo al Departamento de Seguridad Nacional que tome la iniciativa en la implementación de estas técnicas de confianza cero, incluso en programas basados en la nube.
Junto con otras iniciativas establecidas en la orden ejecutiva, creo, como la creación de la Consejo de seguridad cibernética e imponer nuevos requisitos a seguridad de la cadena de suministro de software para proveedores federales: la seguridad Zero Trust lleva a EE. UU. en la dirección correcta.
Sin embargo, el decreto solo se aplica a los sistemas gubernamentales. Esto no detendría el ataque de ransomware Colonial Pipeline, por ejemplo. Proporcionar una base más segura para todo el país requiere ayudar al sector privado a adoptarlos. seguridad práctica, y eso requerirá Acción del Congreso.
Entregado por
Conversacion
Este artículo se volvió a publicar con Conversacion bajo una licencia Creative Commons. Leer artículo original.