Ampliación de la confianza cero al endpoint

Confianza cero en la red - Una melodía familiar

Zero Trust es un modelo de seguridad de arquitectura de red cada vez más aceptado y celebrado. La frase "nunca confíes, siempre verifica" suena familiar para aquellos que se centran en la seguridad de las redes. La confianza cero se centra en el principio de que una organización no debe confiar en nada que se encuentre dentro o fuera de su perímetro y que todo lo que intente conectarse a la red debe ser verificado antes de conceder el acceso.

Lograr una Arquitectura Zero Trust requiere una segmentación de la red y una aplicación granular basada en el usuario, los datos y la ubicación. Todo el tráfico debe registrarse e inspeccionarse en varios puntos de inspección que identifican y permiten el tráfico en función de las normas establecidas. Esto mantiene el acceso con privilegios mínimos

y un estricto control de acceso que le proporciona la visibilidad de la red y el contexto necesarios para limitar los movimientos laterales e identificar los ataques desde dentro de su red.

A medida que las tecnologías de seguridad han ido avanzando, el volumen de datos que hay que proteger ha crecido enormemente. Los datos se mueven con los endpoints en el mundo altamente móvil de hoy en día, lo que convierte a los endpoints en objetivos atractivos para los cy- berataques. En consecuencia, la política de seguridad debe moverse con los usuarios y los datos y no debe estar atada a una ubicación concreta. Con el acceso a los datos y las aplicaciones desde dispositivos de todo el mundo, la confianza cero y su enfoque basado en la prevención deben expandirse más allá de su red y llegar a los endpoints.

Confianza cero en el endpoint - Una historia de "confianza cero" holística

Los productos de seguridad de endpoint protegen y recopilan datos sobre la actividad que se produce en los endpoints, mientras que los productos de seguridad de red hacen lo mismo con las redes. Para combatir eficazmente las amenazas avanzadas, ambos deben trabajar juntos. Un enfoque de plataforma integrada que combine la seguridad de endpoint y de red es la única forma de lograr una protección holística e implementar el modelo Zero Trust en toda su arquitectura de seguridad. Este enfoque debe formar parte de todo lo que hacemos para que la prevención se produzca allí donde se produzca el tráfico, allí donde vivan los datos.

Deben cumplirse cuatro criterios para extender la Confianza Cero al endpoint:

1. Proteja los endpoints con varias capas de seguridad

Las medidas de seguridad tradicionales fracasan si un atacante encuentra la forma de burlar el eslabón más débil, por ejemplo, distribuyendo malware o explotando las vulnerabilidades de las aplicaciones. Resulta más eficaz agrupar las protecciones de la red y de los endpoints de forma que, si un atacante consigue eludir una medida, se enfrente a otra, lo que dificultará progresivamente su éxito.

La función de la seguridad de red es impedir que el mayor número posible de ataques -ya sean malware, ataques de phishing o exploits- lleguen a un endpoint a través de la red. Si un ataque llega al endpoint a través de una unidad USB u otro medio ajeno a la red, el tráfico está cifrado o el usuario está oThine o fuera de la red, la función de la seguridad de red es neutralizar la capacidad del atacante para causar daños.

La combinación de estas disciplinas para una arquitectura Zero Trust hace que la integración entre endpoint y la seguridad de red sea aún más eficaz.

2. Integración con la seguridad de red

La extensión de Zero Trust al endpoint entrelaza la seguridad del endpoint con la seguridad de red para obtener una arquitectura de seguridad única e integral. La información obtenida en el endpoint debe introducirse en el cortafuegos y viceversa. Deben establecerse políticas en el cortafuegos de forma que, si el endpoint experimenta un evento, dicho endpoint pueda ponerse en cuarentena hasta que pueda ser escaneado y limpiado por completo.

Además, la ingesta de datos de usuarios y de tráfico de los cortafuegos en una herramienta de gestión de la seguridad de red proporciona un contexto de lo que está ocurriendo en toda la red. Esto le permite escribir una política de seguridad que refleje adecuadamente dicha actividad y que se aplique en el endpoint.

El modelo Zero Trust también incluye la asociación de la seguridad de los endpoints con la seguridad de las redes privadas virtuales, o VPN, para que la política global se mueva con el usuario y el endpoint. Para garantizar que los endpoints estén siempre protegidos, las funciones de la VPN deben ser transparentes para los usuarios y no requerir ninguna intervención manual para iniciar sesión o conectarse. Cuando la seguridad de los endpoints y las VPN trabajan conjuntamente, los endpoints están protegidos independientemente de su ubicación, impidiendo que el tráfico malicioso llegue a la VPN y al cortafuegos. Para mejorar aún más esta integración, las VPN colocadas en un cortafuegos de nueva generación extienden la aplicación de políticas al túnel. Si el tráfico está cifrado y entra en la red a través de un endpoint comprometido, la política sigue aplicándose.

La visibilidad granular que ofrece la integración de la seguridad de red y endpoint debe aumentarse con la automatización para una toma de decisiones multivariable, rápida, informada y precisa. Esta integración también debe ser fluida y ligera para que no afecte negativamente al usuario.

3. Gestión de múltiples tipos de endpoints

Todas las organizaciones tienen múltiples tipos de endpoints que deben gestionarse, como servidores, estaciones de trabajo, ordenadores de sobremesa, portátiles, tabletas y dispositivos móviles. Para reforzar la postura de seguridad e implementar la Confianza Cero, la protección de los endpoints debe integrarse con un cortafuegos para que la política de seguridad siga a los endpoints, estén donde estén. La autenticación multifactor, o MFA, debería aplicarse en un cortafuegos de nueva generación por motivos de escalabilidad y para alejar la línea de exposición de las aplicaciones críticas. Esta integración no debe afectar negativamente al rendimiento del sistema, de modo que los usuarios no noten que la seguridad se ejecuta en segundo plano y potencialmente intenten eliminar o cerrar las herramientas de seguridad.

4. Control de acceso de capa 2-7

Cuando implemente Zero Trust en toda su arquitectura de seguridad, asegúrese de que el tráfico está siendo inspeccionado en busca de comportamientos maliciosos tanto cuando entra como cuando sale del endpoint. Es habitual que los endpoints evalúen el tráfico en busca de amenazas potenciales cuando entra en la red. Es menos habitual que el tráfico se evalúe a medida que abandona la red, bajo el supuesto de que el usuario y su actividad son válidos. Sin embargo, si un usuario se ve comprometido, un atacante podría estar exfiltrando datos o propiedad intelectual del endpoint o utilizando el dispositivo comprometido para otras actividades nefastas.

Para evitar que los datos o la propiedad intelectual salgan de su red, necesita visibilidad de la actividad en el endpoint, habilitada mediante la integración con un cortafuegos de nueva generación. Basándose en la política establecida en el cortafuegos, si el tráfico de un usuario o de una aplicación queda fuera del ámbito de la política de seguridad definida, el cortafuegos puede intervenir y detener la actividad sospechosa. Esta política debe aplicar las normas de prevención de amenazas, el filtrado de URL y las funciones de sandboxing de malware dentro del túnel VPN cifrado.

El Cortafuegos de nueva generación también debería disponer de capacidades de descifrado SSL para descifrar tráfico cifrado y obtener la visibilidad necesaria para determinar si el tráfico es malicioso o no. Si se identifica tráfico malicioso, la integración entre el cortafuegos y el endpoint debería permitir al cortafuegos bloquear cualquier tráfico de comando y control y aislar el endpoint de su red.

Enfoque de Palo Alto Networks

La cartera de Palo Alto Networks proporciona las herramientas, tecnologías y productos que necesita para convertir su estrategia de confianza cero en una implementación práctica.

Un componente clave de la cartera de Palo Alto Networks es Cortex XDR, la primera plataforma de detección y respuesta ampliada ( (XDR) del sector. El agente Cortex XDR utiliza múltiples métodos de protección en las fases críticas del ciclo de vida de los ataques para prevenir el malware conocido y desconocido, los exploits y el ransomware, así como las amenazas de día cero. Cortex XDR realiza análisis locales para identificar archivos maliciosos y benignos basándose en la clasificación de las propiedades de los archivos y en veredictos previamente conocidos.

Además del análisis local, Cortex XDR se integra con el servicio de análisis de amenazas basado en la nube WildFire^®. Por sí solo, WildFire realiza análisis dinámicos y estáticos, aprendizaje automático y análisis bare metal para identificar incluso las amenazas más evasivas. Como parte de la plataforma, WildFire permite que Cortex XDR y los cortafuegos de nueva generación se conviertan en sensores y puntos de aplicación para su red y endpoints.

Los cortafuegos de nueva generación de Palo Alto Networks inspeccionan todo el tráfico, incluidas aplicaciones, amenazas y contenido -incluso si está cifrado- y vinculan ese tráfico al usuario. La visibilidad y los datos resultantes ayudan a que la política de seguridad se ajuste a las necesidades e iniciativas únicas de su organización. Al igual que Cortex XDR, el cortafuegos de nueva generación funciona con WildFire para proteger contra amenazas conocidas y desconocidas. Cuando WildFire identifica una nueva amenaza en cualquier lugar, crea y difunde automáticamente protecciones actualizadas en toda la plataforma y a otros miembros de la comunidad WildFire para respaldar una infraestructura de seguridad coordinada. Estas actualizaciones incluyen amenazas recientemente identificadas por Cortex XDR para una protección más completa y eficaz en toda la arquitectura.

Vinculando las políticas de su red a sus endpoints está GlobalProtect^™ seguridad de red para endpoints, que extiende su política de seguridad a redes remotas y usuarios móviles. GlobalProtect inspecciona el tráfico mediante cortafuegos de nueva generación para una visibilidad total de todo el tráfico de la red, aplicaciones, puertos y protocolos. Esta visibilidad permite la aplicación sin fisuras de la política de seguridad en los endpoints, independientemente de dónde se encuentre el usuario. GlobalProtect proporciona información del usuario para potenciar la tecnología User-ID^™ y se integra con las protecciones MFA en el cortafuegos para evitar que los atacantes se desplacen lateralmente utilizando credenciales robadas...