Hola a todos!
Traemos un artículo del blog de seguridad de Microsoft.
El ataque Nobelium de 2020 conmocionó tanto al gobierno como al sector privado. 2021 ya ha visto ataques a gran escala de estados nacionales como Hafnium1 junto con importantes ataques de ransomware2 en infraestructura crítica. La amplitud y la audacia de estos ataques muestran que, lejos de ser disuadidos, los malos actores se están volviendo más descarados y sofisticados. Para ayudar a proteger la seguridad nacional de EE. UU., el 12 de mayo de 2021, la Casa Blanca emitió la Orden Ejecutiva Presidencial (EO) 14028 sobre la mejora de la seguridad cibernética de la nación3. Esta EO exige «inversiones significativas» para ayudar a proteger contra amenazas cibernéticas maliciosas:
“El Gobierno Federal debe aplicar todo el alcance de sus autoridades y recursos para proteger y asegurar sus sistemas informáticos, ya sea que estén basados en la nube, locales o híbridos… la seguridad debe incluir sistemas que procesen datos (tecnología de la información (TI) )) y aquellos que hacen funcionar la maquinaria vital que garantiza nuestra seguridad (tecnología operativa (OT))”.
La Orden Ejecutiva 14028 también establece que “el sector privado debe adaptarse al entorno de amenazas en constante cambio, garantizar que sus productos se construyan y operen de manera segura, y asociarse con el Gobierno Federal para fomentar un ciberespacio más seguro”.
La Sección 3 de la EO requería que las agencias federales desarrollaran un plan para adoptar una arquitectura Zero Trust. Esta publicación de blog analizará cómo Microsoft continúa ayudando con la implementación de Zero Trust para cumplir con estas directivas.
¿Cómo ayuda Microsoft a implementar EO 14028?
El Instituto Nacional de Estándares y Tecnología (NIST) es una de las agencias encargadas de crear los estándares y requisitos de seguridad cibernética descritos en la Orden Ejecutiva 14028. Microsoft está trabajando con el Centro Nacional de Excelencia en Seguridad Cibernética (NCCoE) del NIST en la implementación de un proyecto de arquitectura Zero Trust. desarrollar enfoques prácticos e interoperables para diseñar y construir arquitecturas Zero Trust que se alineen con los principios documentados en NIST SP 800-207, Zero Trust Architecture. La asociación público-privada NCCoE aplica estándares y mejores prácticas para desarrollar ejemplos modulares y fácilmente adaptables de soluciones de ciberseguridad mediante el uso de tecnología disponible comercialmente.
Gran parte de la tecnología requerida para ejecutar la hoja de ruta ya está en funcionamiento en muchas agencias; simplemente necesitan activar y ajustar las capacidades existentes. Con este fin, Microsoft identificó cinco de los escenarios más impactantes que las agencias deben crear para EO 14028. Estas arquitecturas de referencia se asignan a los requisitos clave de NIST para Zero Trust, al tiempo que incluyen otras prioridades de EO, como la detección y respuesta de punto final (EDR), la autenticación multifactor. y monitoreo continuo.
- Escenario 1: aplicaciones de autenticación listas para la nube: muchas agencias ya están en camino hacia líneas de base seguras para software como servicio (SaaS) utilizando enfoques de mejores prácticas en torno a la configuración de ID para Office 365, implementando una autenticación multifactor fuerte y haciendo cumplir los requisitos con acceso condicional políticas Este trabajo se puede extender fácilmente a otras aplicaciones SaaS y aplicaciones personalizadas basadas en notificaciones.
- Escenario 2: aplicaciones web con autenticación heredada: para las aplicaciones que no se pueden reescribir fácilmente para la autenticación moderna, las agencias pueden usar el proxy de aplicación de Azure Active Directory (Azure AD). Esta arquitectura se basa en la base de Azure AD para extender Zero Trust a los sistemas heredados. Application Proxy también proporciona conectividad de solo salida y un acceso mucho más restrictivo que una solución VPN.
- Escenario 3: administración remota del servidor: simplifique la administración remota segura mediante la combinación de una cuenta de administrador fuertemente autenticada y una estación de trabajo con acceso privilegiado. Esto reduce el área de superficie de ataque, evitando la administración no autorizada de servidor a servidor al requerir autenticación multifactor y dispositivos de administración incluidos en la lista de permitidos para la administración del servidor a través del acceso condicional de Azure AD. El resultado es un alto nivel de seguridad para la administración de servidores híbridos y de múltiples nubes.
- Escenario 4: administración de nube segmentada: este patrón de diseño permite a las agencias administrar cargas de trabajo de Microsoft y que no son de Microsoft desde cuentas de administrador aisladas, dedicadas y segmentadas. Una vez que se implemente este patrón, también se deben introducir controles de auditoría para garantizar que la segmentación de privilegios permanezca en vigor.
- Escenario 5: Microsegmentación de la red: las agencias deben establecer varios niveles de segmentación para lograr un control seguro y planos de datos. Las capacidades nativas de Azure permiten a las agencias aplicar una estrategia de microsegmentación uniforme para protegerse contra las amenazas, implementar una defensa en profundidad y lograr una supervisión continua aplicada por políticas a nivel granular.
¿Cuál es el papel de Zero Trust en EO 10428?
Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, describió recientemente el papel fundamental de Zero Trust para proteger nuestro mundo. En su publicación de blog, menciona la Sección 3 de EO 14028 que pide «pasos decisivos» para que el gobierno federal «modernice su enfoque de ciberseguridad» acelerando el movimiento hacia servicios seguros en la nube y la implementación de Zero Trust, incluido un mandato de autenticación multifactor y Cifrado de datos de extremo a extremo.
La Sección 3(b)(ii) de EO 14028 describe que las agencias deben “desarrollar un plan para implementar la arquitectura de confianza cero, que incorporará, según corresponda, los pasos de migración que el Instituto Nacional de Estándares y Tecnología (NIST) dentro del Departamento de El Departamento de Comercio describió los estándares y la guía, describa los pasos que ya se hayan completado, identifique las actividades que tendrán el impacto de seguridad más inmediato e incluya un cronograma para implementarlas”.
Microsoft aplaude este reconocimiento de la estrategia Zero Trust como una mejor práctica de seguridad cibernética, así como el estímulo de la Casa Blanca al sector privado para tomar «medidas ambiciosas» en la misma dirección que las pautas de EO.
¿Qué podemos esperar de NCCoE?
“El maremoto del teletrabajo y el aumento de las infracciones de seguridad cibernética y los ataques de ransomware han hecho que la implementación de una arquitectura Zero Trust sea un mandato federal y un imperativo comercial. Esperamos trabajar con nuestros colaboradores de proyectos, como Microsoft, para brindar orientación técnica oportuna e informada e implementaciones de ejemplo de arquitecturas Zero Trust para ayudar a las agencias federales y otros sectores de la industria con sus viajes Zero Trust”.—Kevin Stine, Jefe de la División de Ciberseguridad Aplicada en el Laboratorio de Tecnología de la Información (ITL) del Instituto Nacional de Estándares y Tecnología
Las soluciones de ejemplo propuestas integrarán productos comerciales y de código abierto para mostrar las sólidas funciones de seguridad de la arquitectura Zero Trust cuando se aplican a casos de uso de TI empresariales comunes.* El objetivo de este proyecto NCCoE es crear varios ejemplos de una arquitectura Zero Trust, aplicada a una infraestructura de TI empresarial convencional de uso general, que se diseñan e implementan utilizando tecnología comercialmente disponible y que se alinean con los conceptos y principios documentados en NIST SP 800-207, Zero Trust Architecture.
Las soluciones de ejemplo se compartirán públicamente en un documento de la serie 1800 de publicación especial (SP) del NIST. Cada publicación de la serie SP 1800 generalmente sirve como una guía práctica para implementar y aplicar tecnologías de ciberseguridad basadas en estándares en el mundo real. Las guías están diseñadas para ayudar a las organizaciones a ganar eficiencia en la implementación de tecnologías de ciberseguridad mientras les ahorran costos de investigación y prueba de concepto.
Esta serie de publicaciones SP 1800 proporcionará:
- Ejemplos detallados de soluciones y capacidades.
- Enfoques prácticos demostrados utilizando múltiples productos para lograr el mismo resultado final.
- Orientación modular sobre la implementación de capacidades para organizaciones de todos los tamaños
- Todos los componentes necesarios, junto con información de instalación, configuración e integración, para que las organizaciones puedan replicar fácilmente las soluciones.
Recursos adicionales:
Como parte de nuestro apoyo continuo a las agencias federales, el director de tecnología de Microsoft, Jason Payne, ha esbozado los siguientes pasos recomendados para las agencias federales. También proporcionamos un PDF descargable de arquitecturas clave de escenarios de confianza cero asignadas a los estándares del NIST, así como un plan de modernización rápida de confianza cero en PDF descargable. Estos recursos brindan pasos concretos para ayudar a las agencias a cumplir con los cronogramas agresivos de EO, así como a mejorar su postura de ciberseguridad básica. Para obtener una descripción general rápida del proyecto de arquitectura Zero Trust de NCCoE, las organizaciones pueden descargar la hoja informativa Implementación de un proyecto de arquitectura Zero Trust.
Seguiremos revisando estos contenidos del blog de seguridad.
Un saludo