Cybersecurity Mesh Architecture (CSMA)

CSMA es un enfoque emergente para la arquitectura de controles de ciberseguridad distribuidos y componibles, que pretenden mejorar la eficacia general de la ciberseguridad. Es un enfoque arquitectónico propuesto por Gartner que promueve la interoperabilidad entre distintos productos de ciberseguridad para lograr una postura de ciberseguridad más consolidada. Dicho de otra manera, CSMA es esencialmente un conjunto de recomendaciones emitidas bajo la filosofía rectora de que las herramientas de ciberseguridad deben funcionar bien juntas.

Según Gartner, han identificado una brecha de interoperabilidad cada vez mayor entre herramientas de ciberseguridad, así como superposiciones significativas y derrochadoras en esas múltiples herramientas, las cuales se pagan cada una a través de su propia licencia.

En el marco de una malla de ciberseguridad, cada herramienta se introducirá en la infraestructura de TI como una parte integrada y cuidadosamente planificada de un todo mayor. Así explicado, CSMA busca que sin importar el número de diferentes tecnologías que se dispongan, todas deben conectarse de manera sinérgica, propulsando la ciberseguridad orquestada y eficiente de la organización. Este modelo comienza a alinear la hoja de ruta para las tecnologías que se conectan a una malla.

Gartner establece que para 2024, las organizaciones que adopten una arquitectura de malla de ciberseguridad reducirán el impacto financiero de los incidentes de seguridad en un promedio del 90%.

El enfoque de arquitectura de malla de ciberseguridad, componible y escalable; responde a la rápida evolución y sofisticación de los ciberataques y la migración de activos a la multinube híbrida, mismos que crean una tormenta perfecta para que integremos herramientas de seguridad en un ecosistema cooperativo.

Los analistas de Gartner predicen la “tormenta perfecta” para los ciberataques del futuro próximo, instigados en gran medida por tres desafíos principales para el panorama de ciberseguridad actual:

• Los ciberataques y la ciberdefensa son de naturaleza asimétrica. Mientras que los atacantes persiguen vectores fuera de un silo, la ciberseguridad a menudo está aislada. Las herramientas de ciberseguridad a menudo no se ejecutan orquestadamente, lo que deja puntos débiles abiertos a la explotación.
• El perímetro se ha fragmentado sustancialmente. Esto debido al aumento del trabajo remoto y la geodistribución de dispositivos. Los datos están ubicados de forma menos centralizada, abandonando la idea preestablecida del perímetro tradicional. Muy similar a la línea de Maginot Francesa, misma que siendo una poderosa fortificación, era eludida fácilmente por los invasores alemanes.
• Los entornos multinube exigen un enfoque de seguridad más consolidado. A menudo, diferentes proveedores de nube establecerán sus propias políticas de seguridad, lo que resultará en una aplicación inconsistente de los estándares.

El informe de Gartner, en su evaluación del panorama digital moderno, critica la naturaleza excesivamente fragmentada de las arquitecturas de ciberseguridad seguridad existentes. Es decir; la existencia de múltiples herramientas mal orquestadas, mal implementadas, aisladas o desconectadas de sus contrapartes, superpone responsabilidades a través de múltiples y a veces redundantes tableros, puntos de administración e integraciones ad hoc; lo que ha impuesto una carga cada vez mayor a los recursos informáticos y a quienes los gestionan.

El modelo CSMA está orientado a entornos híbridos y multinube a los que accede una amplia gama de dispositivos y aplicaciones. En resumen, visualizan la implementación de herramientas de seguridad con altos grados de interoperabilidad, que se ejecutan a través de cuatro capas de apoyo que facilitan la colaboración entre los controles de seguridad en:

• Análisis e inteligencia de seguridad: Procesa datos de ciberataques anteriores para informar acciones futuras y desencadenar respuestas anticipadas. La administración centralizada significa que se pueden recopilar, consolidar y analizar grandes cantidades de datos en tiempo real en una ubicación central. Esto mejora sus capacidades de análisis de riesgos, el tiempo de respuesta a amenazas y la mitigación de ataques. CSMA combina los datos y las lecciones de los recursos de inteligencia de amenazas para proporcionar un análisis de amenazas mejorado y desencadenar las respuestas apropiadas.
• Distributed Identity Fabric: Servicios de directorio y gestión de identidad descentralizados. Esta capa proporciona capacidades como acceso adaptable, gestión de identidad descentralizada, servicios de directorio, gestión de accesos y pruebas de identidad.
• Gestión consolidada de políticas y posturas: Integra políticas de herramientas de seguridad individuales en un todo unificado. CSMA puede traducir una política central de ciberseguridad en la configuración nativa de cada herramienta de seguridad, lo que garantiza que los equipos de TI puedan identificar de manera más efectiva los riesgos de cumplimiento y los problemas de configuración incorrecta. Puede parecernos una capa más banal, pero el cumplimiento y el endurecimiento de nuestros sistemas es un punto prioritario en nuestra estrategia de ciberseguridad, tan importante como la debida gestión de la identidad.
• Tableros consolidados: Administración desde un panel único en el ecosistema de seguridad. CSMA ofrece una visibilidad clara del ecosistema de ciberseguridad, lo que permite a los equipos de seguridad detectar eventos de una forma más eficientemente y desplegar las respuestas apropiadas de la forma más rápida posible.

Algunas recomendaciones para integrar mejor los marcos de seguridad:

• Seleccionar herramientas de ciberseguridad sobre la base de la interoperabilidad e invertir en el desarrollo de un marco común.
• Seleccionar proveedores con marcos de políticas abiertos para se puedan delegar desde fuera de la herramienta.
• Seleccionar proveedores agresivos y con visión de futuro.
• Adoptar la autenticación multifactor y la arquitectura de confianza cero.
• Alejarse de las VPN y adoptar una gestión de acceso basada en la nube y de confianza cero (Zero Trust).

Los líderes en ciberseguridad deben aprender cómo combatir el aumento de la complejidad de la seguridad, posicionar a la organización de cara a un futuro seguro, cerrar las brechas de interoperabilidad e implementar capas de apoyo para una estrategia CSMA a largo plazo.

Si las herramientas de seguridad no funcionan en conjunto, entonces puede ser el momento de buscar la consolidación en una pila de seguridad de un proveedor importante, aunque seguirá existiendo la necesidad de adoptar herramientas específicas de otros proveedores, pero esas herramientas deben integrarse cuidadosamente en la pila de seguridad existente utilizando estándares abiertos o API’s.

La implementación de una malla de ciberseguridad implica identificar nuestra superficie de ataque y luego usar un sistema unificado, centralizado y multifacético que proteja todos nuestros activos digitales, donde el gran vencedor es la identidad y aspectos que giran en torno a ella.

Un último aporte es que debemos empezar a familiarizarnos con los estándares actuales y emergentes, entre ellos los proyectos de código abierto como una alternativa potencial para complementar las brechas de interoperabilidad de los proveedores.

Podemos enumerar multitud de estándares de código libre sobre los que podemos apoyarnos:

• Detección de Amenazas (Threat Hunting): STIX/TAXII, o las reglas Sigma.
• IAM (Identity and Acces Management): SAML, OIDC, OAuth, SCIM, XACML, OPA, JWT
• Network format: IPfix
• Estándares: reglas YARA , Snort o ZEEK
• Marcos de ciberseguridad: OWASP, MITRE (ATT&CK / D3FEND), CVSS, Cyber Kill Chain, CVE, CWE, NVD, etc.

Hablando de código abierto, no olvidar las bondades de Blockchain. Adoptar un enfoque descentralizado que aproveche un modelo de malla de ciberseguridad y la última tecnología blockchain puede garantizar una mejor privacidad. Esto permitirá a las personas validar las solicitudes de información proporcionando solo la cantidad mínima de información requerida.