El modelo Zero Trust (se abre en una nueva pestaña) se basa en un concepto simple, «no confíes en nada ni en nadie». Forrester señala que Zero Trust «se centra en la creencia de que la confianza es una vulnerabilidad y que la seguridad debe diseñarse con la estrategia ‘nunca confíes, siempre verifica'».
โดยเฉพาะอย่างยิ่ง องค์กรที่ใช้โมเดล Zero Trust ใช้นโยบายเพื่อตรวจสอบทุกอย่างและทุกคน ไม่ว่าจะเป็นภายในหรือภายนอก
Aunque el enfoque Zero Trust ha existido durante más de una década, acuñado por primera vez en 2009 por el analista de Forrester John Kindervag, no fue ampliamente adoptado hasta hace muy poco.
Zero Trust (se abre en una pestaña nueva) ha crecido y modernizado muchos aspectos de la seguridad de TI (se abre en una pestaña nueva). Por ejemplo, mientras que las VPN tradicionales (se abre en una nueva pestaña) aún brindan protecciones fundamentales cuando se conecta de forma remota desde un hogar a una red corporativa, las redes Zero Trust han llevado la seguridad de los teletrabajadores al siguiente nivel, abordando específicamente entornos modernos y en expansión, como la nube. infraestructura, dispositivos móviles e Internet de las Cosas (IoT).
Asimismo, el concepto Zero Trust ha transformado la seguridad del correo electrónico. Las soluciones de seguridad de correo electrónico heredadas se enfocan solo en los tipos de ataques tradicionales, como el correo no deseado o el contenido sospechoso en el cuerpo de un mensaje, un enfoque que ya no resiste a los actores de amenazas avanzadas de hoy. Un enfoque Zero Trust para la seguridad del correo electrónico, por otro lado, brinda a las organizaciones la capa adicional de protección necesaria para defenderse incluso de las amenazas más complejas transmitidas por correo electrónico, como el phishing, la ingeniería social y los ataques de compromiso de correo electrónico comercial (BEC).
Dado que el correo electrónico continúa siendo el vector de ataque número uno y las amenazas basadas en correo electrónico son cada vez más variadas, rápidas y sofisticadas, es esencial que las organizaciones apliquen el modelo Zero Trust a su estrategia de seguridad de correo electrónico.
Ponga la autenticación en el centro de la seguridad del correo electrónico
Las amenazas basadas en correo electrónico han evolucionado más allá de los simples mensajes de spam a ataques de suplantación de identidad altamente sofisticados, que incluyen dominios similares, suplantación de nombres para mostrar, dominios de propiedad no autorizada e ingeniería social.
Estos ataques utilizan técnicas de suplantación de identidad para engañar al usuario final haciéndole creer que el remitente y el mensaje son legítimos, por lo general haciéndose pasar por otro empleado, socio comercial o marca que conoce y en quien confía. El objetivo es engañar a los empleados para que transfieran dinero, descarguen malware o divulguen información confidencial.
Adoptar un enfoque Zero Trust para el correo electrónico puede ayudar a las organizaciones a defenderse de los ataques de suplantación de identidad al enfatizar la autenticación, asegurando que los correos electrónicos que ingresan a la empresa o llegan a las bandejas de entrada de los usuarios finales provienen de personas, marcas y dominios legítimos.
La forma más efectiva de hacer esto es implementar políticas de seguridad que aseguren que ningún correo electrónico sea confiable y se entregue a menos que pase múltiples protocolos de autenticación, que incluyen:
SPF: los registros del marco de políticas del remitente (SPF) permiten al propietario de un dominio especificar qué nombres de host y/o direcciones IP pueden enviar correos electrónicos en nombre del dominio.
DKIM: DomainKeys Identified Mail (DKIM) permite a los propietarios de dominios (se abre en una nueva pestaña) aplicar una firma digital segura a los correos electrónicos.
DMARC: las políticas de cumplimiento, informes y autenticación de mensajes basadas en el dominio (DMARC (opens in a new tab)) pueden evitar que cualquier persona, excepto los remitentes específicamente autorizados, envíen mensajes utilizando el dominio de una organización. Evita que los actores maliciosos envíen correos electrónicos de phishing e intentos de suplantación de dominio que parecen provenir de marcas confiables. Al agregar DMARC a la información de su dominio de Internet, una empresa puede descubrir quién se hace pasar por su marca en los correos electrónicos, evitando que esos mensajes lleguen a los usuarios.
Para usar DMARC, las organizaciones también deben tener protocolos SPF y DKIM. DMARC permite a las empresas establecer políticas que se basan en SPF y DKIM para indicar a los servidores de los destinatarios de correo electrónico qué hacer cuando reciben correos electrónicos falsos que falsifican un dominio. Estas opciones son informar los correos electrónicos pero no hacer nada, moverlos a una carpeta de correo no deseado (cuarentena) o rechazarlos por completo. Finalmente, para las organizaciones que buscan implementar DMARC, hay muchos recursos disponibles para ayudarlos a comenzar.
Además de autenticar a los remitentes de correo electrónico, también es importante aplicar los principios de Zero Trust a los usuarios de correo electrónico. Ellos también deben autenticarse, y la autenticación multifactor (MFA) es una de las formas más comunes y efectivas de lograrlo.
Zero Trust no tiene ninguna posibilidad sin la participación de los empleados
Si bien la adopción de un enfoque Zero Trust para la seguridad del correo electrónico puede reducir significativamente el riesgo de que una organización sea víctima de amenazas de correo electrónico, el modelo por sí solo no es 100 % efectivo. Los empleados también deben hacer su parte.
En última instancia, el tiempo, el esfuerzo y el presupuesto invertidos en el modelo Zero Trust se infravalorarán si los empleados no adoptan también una mentalidad Zero Trust para todo lo que hacen en la oficina y en el hogar (que hoy en día suele ser lo mismo). Es por eso que la capacitación continua en concientización sobre seguridad cibernética es esencial para defenderse contra las amenazas avanzadas de hoy.
Por ejemplo, una investigación reciente de Mimecast detectó que los «clics incorrectos» se triplicaron entre los trabajadores remotos al comienzo de la pandemia de COVID-19, cuando el trabajo remoto (y la ciberhigiene relajada) se convirtió en el estándar. Sin embargo, la misma investigación encontró que solo una de cada cinco organizaciones brinda capacitación continua de concientización sobre seguridad cibernética a los usuarios finales.
Las organizaciones deben tomarse el tiempo para asegurarse de que sus empleados estén capacitados sobre cómo detectar e informar correos electrónicos sospechosos. Infórmeles sobre los signos reveladores de los ataques de suplantación de identidad por correo electrónico, como URL y archivos adjuntos sospechosos, faltas de ortografía y tonos de emergencia fuera de lugar. Y asegúrese de que si cuestionan la legitimidad de un correo electrónico, tengan una manera directa y fácil de denunciarlo.
El concepto de Zero Trust puede ser simple, pero implementarlo puede ser mucho más difícil. Con un enfoque en la autenticación y la capacitación en concientización sobre seguridad cibernética de los empleados, estará bien encaminado para defenderse incluso de los ataques de suplantación de identidad más sofisticados y fortalecer la seguridad general de su organización.
