BeyondCorp de Google es una manera fundamentalmente mejor de proteger los activos de la empresa, pero requiere un enfoque diferente.
Cómo las empresas pueden identificar las ciberamenazas emergentes La nube es esencial para los negocios, pero también es un vector de amenazas para la ciberseguridad. Brad Arkin, director de seguridad de Adobe, explica las mejores prácticas para gestionar el riesgo cibernético en un entorno de varias nubes.
Tengo malas noticias para ti: Estás a un paso de una brecha al estilo Equifax. Si le sirve de consuelo, también lo hacen sus competidores, socios y clientes. De hecho, casi todas las empresas, además de Google, se sientan en este mismo barco con fugas, habiendo invertido años en seguridad basada en el perímetro que no funciona -no puede funcionar-, especialmente en un mundo de software construido sobre nubes.
Ese mismo Google, sin embargo, ofrece algunas buenas noticias.
Hace años, Google descartó el enfoque perimetral con una iniciativa interna denominada BeyondCorp. El enfoque de seguridad «sin confianza» de BeyondCorp ofrece pistas importantes para proteger los activos de datos de la empresa, y no es sólo para Google, aprendí de Paul Querna, CTO y cofundador de ScaleFT, una empresa de software que ayuda a las empresas a lograr su propia arquitectura de seguridad inspirada en BeyondCorp. BeyondCorp no le dará una escala similar a la de Google, pero puede proporcionarle una seguridad similar a la de Google.
El centro no puede contener
Más información sobre ciberseguridad
La visión fundamental de BeyondCorp es el acceso en tierra en la identidad; hacer que la seguridad esté centrada en las aplicaciones, no en la red. Comenzó en Google como respuesta a la Operación Aurora, un ataque perpetrado en 2009 por China y dirigido contra una serie de grandes empresas estadounidenses. Uno de esos objetivos era Rackspace, donde Querna era miembro del equipo de infraestructura.
«Nuestra respuesta a Aurora fue muy reactiva y motivada por el miedo: comprar más firewalls, comprar más VPNs», dijo Querna. Esto no resultó en un mejor resultado de seguridad y, de hecho, empeoró aún más las cosas porque las medidas de seguridad añadidas sólo hicieron más difícil que los empleados hicieran su trabajo». La gente estaba demasiado frustrada para trabajar, o hacían lo que podían para eludir los controles de seguridad».
¿Te suena familiar?
SEE: Política de notificación de incidentes de seguridad de la información (Tech Pro Research)
Debería, porque las probabilidades son muy buenas de que su compañía opere de la misma manera. Lamentablemente, el enfoque (demasiado común) de reforzar el perímetro apilando VPNs en los cortafuegos nunca funciona realmente. De hecho, todas las demás compañías atacadas por el ataque de Aurora -Yahoo, Symantec, Morgan Stanley, entre otras- se dedicaron a la defensa de la misma manera, sin lograr un mejor resultado en materia de seguridad.
Sólo Google tuvo la previsión en ese momento de reconocer que el perímetro estaba fundamentalmente roto. «Como todavía estábamos apagando incendios, vimos lo que Google estaba haciendo al otro lado del camino y creímos que tenían el modelo correcto», dijo Querna. «Comenzamos ScaleFT más o menos al mismo tiempo que se publicó el primer trabajo de investigación de BeyondCorp, y se alineó casi exactamente con nuestro pensamiento. Nos propusimos crear las capacidades de BeyondCorp para empresas que no sean Google».
Una nueva esperanza
Google ha hecho muchas cosas bien con BeyondCorp, y empieza por replantearse la arquitectura de seguridad desde cero. Donde los métodos tradicionales de seguridad basados en el perímetro se centran en la protección de la red, BeyondCorp trata cada red como no confiable, cambiando los controles de acceso a la capa de aplicación. Aquí, la identidad se redefine como un usuario en su dispositivo, y la confianza sólo se concede una vez que una solicitud ha sido totalmente autenticada y autorizada.
Querna lo explica:
Esto puede parecer obvio a primera vista, pero se necesita un nuevo enfoque en el diseño del sistema para alejar los controles de acceso de la red de esta manera. «Cualquiera puede escribir políticas de seguridad que suenen bien, pero cumplirlas con los controles de acceso adecuados es un desafío», afirmó Querna. ¿Cómo se conoce el estado del usuario y su dispositivo en el momento de la solicitud para tomar una decisión? Una vez tomada esa decisión, ¿cómo se mantiene una sesión segura entre el dispositivo y el recurso?
VER: Secretos internos de un hacker de sombrero blanco sobre la seguridad que realmente funciona (ConsejoTecnologico.com)
Antes de BeyondCorp, estas eran preguntas imposibles de responder, pero ahora la visión de Google ofrece una nueva arquitectura y una nueva definición de identidad a seguir.
«La Confianza Cero es el modelo, y BeyondCorp es la evidencia de que funciona», dijo Querna. Ninguna empresa representa la escala web más que Google, y es una empresa que se preocupa por la velocidad y la productividad. «BeyondCorp no es la seguridad lo que se interpone en el camino, es la seguridad la que ayuda a la gente a hacer su trabajo», agregó.
Cuando una empresa hace esto bien, no sólo libera a los empleados de la tiranía de las desagradables medidas de control de acceso, sino que también hace que la administración de esa seguridad sea más sencilla. Sam Srinivas, director de gestión de productos del equipo de seguridad en la nube y privacidad de Google, lo dejó claro en una entrevista aparte: «La gestión del acceso consiste en asegurarse de que la persona adecuada acceda a la información correcta en el contexto adecuado. Lo ideal es que pueda definir las políticas de acceso con un alto nivel de abstracción, por ejemplo, «Permitir que los contratistas externos que contraté accedan al proyecto 21 en mi sistema de fallos, pero sólo si están tomando precauciones razonables»».
Me das la vuelta
BeyondCorp desbloquea la capacidad de tomar decisiones de confianza más inteligentes fuera de la red. Llevando las cosas aún más lejos, la arquitectura subyacente cambia el modelo de entrega de software. Se trata de resumir las complejidades de las operaciones subyacentes y exponer los resultados deseados como una API consumible. «Lo que Twilio ha hecho por las telecomunicaciones y Stripe por los servicios financieros, ahora se puede hacer por seguridad», dijo Querna.
Esto no ha sido posible hasta ahora, porque los productos de seguridad han estado tan ligados a la red o desplegados como un dispositivo. Incluso las llamadas soluciones definidas por software se equivocan porque siguen estando basadas en la red. Las soluciones de software de capa de aplicación son un juego de pelota diferente. «Todos los productos de seguridad se convertirán en soluciones SaaS, porque así es como se debe entregar todo el software», dijo Querna. «La seguridad es un rezagado en la adopción, pero mira a compañías como Okta y Duo. Está sucediendo.»
Irónicamente, la seguridad puede ser la última ficha de dominó en la era de la transformación digital, a pesar de su importancia primordial. El software se está comiendo el mundo, dice el dicho, y los hackers se están comiendo este mundo construido sobre software. O lo eran. Cuantas más empresas adopten los principios de BeyondCorp, más posibilidades habrá de que sean capaces de asegurar el software del que dependen.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves