Según el analista de Gartner, Felix Gaehtgens, la malla de seguridad ( CyberSecurity Mesh) sigue siendo una estrategia en lugar de una arquitectura definida, pero lo que si esta claro es que el concepto alinea mejor las organizaciones con las amenazas, y por ello, no debemos perder de vista el concepto:
Los atacantes no piensan en silos. Las organizaciones sí
En 2024, Garthner predice que la tecnología de malla de seguridad ( CyberSecurity Mesh ) , "lo voy poniendo para que os quedéis con un concepto del que se hablara tanto como ZNTA" generará grandes ahorros en el coste de las infracciones e incidentes.
Las organizaciones que adopten una arquitectura de malla de ciberseguridad para integrar herramientas de seguridad para trabajar como un ecosistema cooperativo reducirán el impacto financiero de los incidentes de seguridad individuales en un promedio del 90 %.
En lugar de que SIEM o SOAR integren herramientas de seguridad, la malla de seguridad utilizará análisis e inteligencia de ciberseguridad. Pero cual es la diferencia de este concepto de los que hemos visto anteriormente, pues que CyberSecurity Mesh Architecture, incluirá capas de identidad, política, postura y dashboards ... y más. Algo que en el resto de conceptos no se tenían en cuenta.
Mis inicios en la ciberseguridad estuvieron ligados al mundo de Identidad y los usuarios privilegiados, y por ello, a diferencia de quien no trató con ello, veo la necesidad de los mismos y como siempre, no se si por "feos" o complejos (para mi los proyectos de identidad son los más complejos) , se dejan de lado, muchas veces centrándonos en "conceptos" que nos darán menos dolores de cabeza. Sea cual fuere, la conjunción de una forma transversal como plantea la arquitectura mesh , es imprescindible de cara a las organizaciones.
La arquitectura de malla de ciberseguridad, o CSMA, y como explica Gaehtgens, es mucho más que un XDR.
El XDR, o detección y respuesta extendidas , surgió como una nueva forma para que los proveedores de seguridad vinculen sus productos en una plataforma unificada. El XDR es una "base potencial" para el análisis de seguridad y la inteligencia que requiere CSMA ( CyberSecurity Mesh Architecture ), al igual que lo son el SIEM o el SOAR, que "pueden agregar valor" a la capa de análisis/inteligencia de seguridad en una malla de ciberseguridad.
Si mencionamos a la tecnología de "borde de servicio de acceso seguro" (SASE) , podría ser una aproximación al enfoque de malla dado que ofrece distintas funciones de manera integrada, pero la estrategia en malla de ciberseguridad tiene un alcance mucho más amplio.
Si observamos el Top de empresas de ciberseguridad, muchas de ellas tienen enfoques similares a CSMA en la actualidad, entre ellos Fortinet, IBM, McAfee, Microsoft, Palo Alto Networks y Broadcom-Symantec. Esas plataformas pueden proporcionar beneficios, escalar en costes en el mediano plazo, pero tienen el potencial de depender del proveedor y la falta de interoperabilidad.
Según Gaehtgens, y de una forma a mi parecer muy sensata, se debe recomendar a las organizaciones que comiencen a construir las capas de apoyo para una estrategia de malla de ciberseguridad (Sin nunca olvida la palabra clave de todo ello "estrategia" ), incluidos análisis de seguridad, estructura de identidad, gestión de políticas y dashboards, como podemos observar en la imagen anterior. Las tecnologías de ciberseguridad distribuida que ofrecen interoperabilidad serán claves para la estrategia de malla de ciberseguridad, por lo que los usuarios deben evaluar funciones como la inversión de las API de control, el soporte de estándares y el análisis extensible.
Debemos forzar el esperanto de ciberseguridad. Que las tecnologías se hablen, independientemente del proveedor, y trasladarlo a una visión única. - Esta es mia, no de Gaehtgens ;)
Debemos empezar a familiarizarnos con los estándares actuales y emergentes, y los proyectos de código fuente abierto como una alternativa potencial para complementar las brechas de interoperabilidad de los proveedores. Que no es una brecha en si, si no que ellos mismos son los que pretenden realizar una Arquitectura de Ciberseguridad en Malla , pero solo de sus productos.
Podemos enumerar multitud de estándares de código libre sobre los que podemos apoyarnos :
- Detección de Amenazas (Threat Hunting) : STIX/TAXII, o las ya vistas reglas Sigma
- IAM (Identity and Acces Management) :SAML, OIDC, OAuth, SCIM, XACML, OPA, JWT
- Network format: IPfix
- Estandares: reglas YARA , Snort o ZEEK
- Frameworks de ciberseguridad : OWASP, MITRE [ATT&CK / D3FEND (Actualizado hace unos días )], CVSS, Cyber Kill Chain, CVE
Las 4 capas de la estrategia de ciberseguridad en malla
Adoptar una estrategia de malla en ciberseguridad hoy, tiene claras ventajas, específicamente escalabilidad e interoperabilidad. Para nuevos desarrollos de negocio, esta estrategia cambia el enfoque para diseñar y construir la infraestructura de la red. Para las redes existentes, la evolución hacia una nueva estrategia puede significar ajustes significativos a la infraestructura inicial, pero los beneficios justifican el costo. CSMA proporciona cuatro capas fundamentales que permiten una respuesta ágil y adaptable a los desafíos modernos de integración de ciberseguridad. Y que cuanto antes la adoptemos o intentemos virar hacia ella, mejor, y menos costoso nos resultará al final.
Análisis e inteligencia de ciberseguridad
La administración centralizada significa que se pueden recopilar, consolidar y analizar grandes cantidades de datos en tiempo real en una ubicación central. Esto mejora sus capacidades de análisis de riesgos, el tiempo de respuesta a amenazas y la mitigación de ataques. CSMA combina los datos y las lecciones de los recursos de inteligencia de amenazas para proporcionar un análisis de amenazas mejorado y desencadenar las respuestas apropiadas.
Tejido de identidad distribuido
Esta capa proporciona capacidades como acceso adaptable, gestión de identidad descentralizada, servicios de directorio, gestión de accesos y pruebas de identidad.
Gestión consolidada de políticas y posturas
CSMA puede traducir una política central de ciberseguridad en la configuración nativa de cada herramienta de seguridad, lo que garantiza que los equipos de TI puedan identificar de manera más efectiva los riesgos de cumplimiento y los problemas de configuración incorrecta.
Puede parecernos una capa más banal, pero el compliance y hardening de nuestros sistemas, es un punto prioritario en nuestra estrategia de ciberseguridad, tan importante como la identidad a mi entender.
Dashboards consolidados
CSMA ofrece una visibilidad clara del ecosistema de ciberseguridad, lo que permite a los equipos de seguridad detectar eventos de una forma más eficientemente y desplegar las respuestas apropiadas de la forma más rápida posible.
Conclusiones
Ahora mismo estaréis pensando ... muy Rubén, pero como aterrizo esto a la realidad de mi negocio o empresa. Palabras que en un blog son fáciles de trasladar, pero que generaran, y no os voy a engañar, mucho trabajo inicial.
Con el tiempo, cuanto antes tomemos una estrategia de este tipo, antes empezaremos a ver los grandes beneficios de adoptarla , y antes empezaremos a ver los resultados de la inversión. Por que cualquier estrategia bien pensada y ejecutada, se traducirá en eficiencias económicas para el negocio.
La implementación de una malla de ciberseguridad implica identificar nuestras superficies de ataque (Si ya te has puesto a identificarlo, veras que no son pocos) y luego usar un sistema unificado, centralizado y multifacético que proteja todos nuestros activos digitales, donde el gran vencedor es la identidad y aspectos que giran en torno a ella:
- La red de ciberseguridad admitirá la mayoría de las solicitudes de gestión de acceso e identidad (IAM) :
Teniendo en cuenta el hecho de que existen varios activos, identidades y dispositivos digitales fuera de las instalaciones de la empresa, los modelos de seguridad tradicionales dificultan la protección sólida de los sistemas de la empresa. Según Gartner, la estrategia en malla de ciberseguridad ayudará a gestionar la mayoría de las solicitudes de IAM, lo que garantizará una gestión de acceso más adaptativa, móvil y unificada. El modelo de malla ofrece un enfoque confiable de acceso y control de activos digitales para las empresas.
- Aumento de los proveedores de servicios de seguridad gestionados (MSSP)
Según Gartner, para el año 2023, el 40 % de la fusión de las aplicaciones de gestión de acceso e identidad estará impulsada principalmente por los MSSP. La tendencia muestra que las empresas MSSP pueden proporcionar a las empresas recursos de primer nivel y las capacidades necesarias para planificar, desarrollar, adquirir e implementar soluciones integrales de IAM.
- Herramientas de prueba de identidad en el ciclo de vida de identidad
Con un aumento significativo en la cantidad de interacciones remotas, será más difícil para las personas identificar entre usuarios válidos genuinos y atacantes maliciosos. Existe una necesidad apremiante de implementar procedimientos sólidos de inscripción y recuperación. Según Gartner, para el año 2024, el 30% de las grandes empresas implementarán nuevas herramientas de testeo de identidad. Esto debería ayudar a abordar algunas de las debilidades comunes en los procesos del ciclo de vida de identidad en la actualidad.
- Aparición de estándares de identidad descentralizados
A las empresas les resulta difícil garantizar la privacidad y la seguridad, principalmente porque la mayoría de ellas siguen un enfoque centralizado para administrar los datos de identidad. Un enfoque descentralizado que aprovecha un modelo de malla y la última tecnología blockchain puede garantizar una mejor privacidad, lo que permite a las personas validar las solicitudes de información proporcionando solo la cantidad mínima de información requerida.
- Reducción del sesgo demográfico en la prueba de identidad
Varias empresas de todo el mundo están interesadas en enfoques centrados en documentos para la prueba de identidad. Con el escenario pandémico y la mayor adopción del modelo de trabajo remoto, surgen muchas formas de sesgo con respecto a la raza, el género y otras características en los casos de uso online. Gartner predice que, para 2022, el 95 % de las empresas requerirá que las empresas de verificación de identidad demuestren que están minimizando el sesgo demográfico.