Temas técnicos

¿Qué es Trusted Internet Connection (TIC) 3.0?

Ilustración de artículos informáticos centrada en un ordenador portátil

Visión general

Trusted Internet Connection (TIC) es una iniciativa federal lanzada en 2007 para mejorar los puntos de presencia en Internet y las conexiones de red externas de la Administración. TIC 3. 0 es la última iteración de esta iniciativa, que moderniza las TI federales y permite a los organismos gubernamentales acceder a servicios en la nube y trabajar a distancia con seguridad.

¿Qué es una conexión de confianza a Internet? En pocas palabras, una conexión de confianza a Internet forma parte del mandato de la Oficina de Gestión y Presupuesto (Office of Management and Budget, OMB) que pretendía limitar el número de puertas de enlace en la red gubernamental. La TIC exige que todo el tráfico federal de Internet se enrute a través de una agencia aprobada por la TIC.

Tradicionalmente, los organismos han confiado en soluciones de seguridad basadas en el perímetro. Estos métodos funcionaban (hasta cierto punto) cuando la mayoría de los empleados trabajaban dentro del perímetro y accedían a las aplicaciones y los datos a través del centro de datos.

Hay grandes expectativas de que las TIC 3.0 mejoren significativamente la seguridad en el actual entorno informático basado en la nube. Pero para obtener todas las ventajas, los organismos reconocen que también deben adoptar un modelo de seguridad de confianza cero que garantice la protección de los datos de las aplicaciones en red.

Conexión a Internet de confianza

¿Qué es la Confianza Cero y qué relación tiene con las TIC 3.0?

Zero Trust ha sido un objetivo para las organizaciones cada vez más desde su introducción en 2010; TIC 3.0 es un mandato federal. TIC 1.0 y TIC 2.0 se centraban casi exclusivamente en la seguridad de acceso a la red. TIC 3.0 se centra principalmente en los datos y el comportamiento de los usuarios, lo que refleja tanto la evolución de las amenazas modernas como las debilidades inherentes a la seguridad exclusivamente de red.

Según la última guía del NIST publicada en agosto de 2020(Zero Trust Architecture - nist.go), Zero Trust (ZT) es el término para un conjunto de paradigmas de ciberseguridad en evolución que desplazan las defensas de los perímetros estáticos basados en la red para centrarse en los usuarios, activos y recursos como los datos.

Específicamente, Zero Trust asume que no hay confianza implícita concedida a activos (como datos) o cuentas de usuario basadas únicamente en su ubicación física o de red (es decir, redes de área local frente a Internet) o basadas en la propiedad de los activos (propiedad de la empresa o personal). La autenticación y la autorización (tanto del sujeto como del dispositivo) son funciones discretas que se realizan antes de establecer una sesión con un recurso de la empresa. La confianza cero es una respuesta a las tendencias de las redes empresariales que incluyen usuarios remotos, dispositivos personales (BYOD) y activos basados en la nube que no se encuentran dentro de los límites de una red propiedad de la empresa.

Zero Trust se centra en la protección de los recursos (activos, servicios, flujos de trabajo, cuentas de red, etc.), no en los elementos de red, puesto que la red ya no es suficiente para garantizar la postura de seguridad del recurso. A continuación esbozamos las dimensiones de Zero Trust y ofrecemos modelos generales de implantación y casos de uso en los que Zero Trust podría mejorar la postura global de seguridad de las tecnologías de la información de una empresa.

Sara Mosley, arquitecta estratégica del Departamento de Estado, afirmaba en un artículo reciente que las TIC 3.0 y la Confianza Cero son dimensiones de una nueva filosofía de seguridad acelerada y puesta de relieve por la pandemia.

Más información sobre Confianza Cero.


¿Cuál es la diferencia entre TIC 2.0 y TIC 3.0?

Sabemos que el gobierno federal ha actualizado su política de conexiones de confianza a Internet (TIC), pero ¿por qué era necesario un cambio y qué mejoras se han introducido con respecto a la versión 2.0?

Un desafortunado legado de la seguridad perimetral, el único objetivo de las TIC 1.0 y 2.0, es una falsa sensación de seguridad generalizada. Al centrarse en mantener a los intrusos fuera del muro de protección, las empresas eran vulnerables a las amenazas internas. Las brechas de seguridad a menudo pasaban desapercibidas durante muchos meses.

Según la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), en TIC 2.0, la seguridad TIC protegía el perímetro de una agencia canalizando todos los datos entrantes y salientes a un punto de acceso. En la versión 3.0, los organismos tienen más flexibilidad para elegir los planes de seguridad que mejor se adapten a su propia red y a sus necesidades específicas.

La última generación de la Trusted Internet Connection (TIC 3.0) facilitará a las agencias la modernización a medida que actualizan sus infraestructuras de redes y centros de datos. "TIC 3.0 proporciona la agilidad que necesitamos para avanzar", declaró Allen Hill, director de la Oficina de Servicios de Telecomunicaciones de los Servicios Federales de Adquisición de la GSA, durante la reunión pública celebrada a mediados de noviembre sobre el contrato de Soluciones de Infraestructura Empresarial (EIS) de la agencia, por valor de 50.000 millones de dólares y 15 años de duración.

La iniciativa TIC, cuyo objetivo es mantener seguro el tráfico web federal, comenzó hace más de una década, cuando los organismos protegían el tráfico con decenas de centros de datos dedicados, dispositivos de seguridad y redes privadas virtuales. Desde entonces, las agencias federales han pivotado hacia la tecnología en la nube, con sus métodos de transmisión de datos más eficientes, escalables y remotos, que dejan obsoletas esas antiguas protecciones.

EIS incorpora servicios de red definidos por software que también amplían drásticamente los parámetros de la red. TIC 2.0 enrutamiento diversa alrededor de los cuellos de botella de la red que las redes definidas por software (SDN), y limita las rutas que se pueden utilizar, dijo.

"A medida que la nube se convertía en la clave de los esfuerzos de modernización", las TIC 2.0 "se convirtieron en una limitación", afirmó John Simms, jefe adjunto de la Subdivisión de Garantía de Ciberseguridad de la División de Resiliencia de Redes Federales de CISA. Simms dijo que su agencia está estudiando cómo TIC 3.0 puede asegurar los entornos de nube. "No sólo tenemos que pensar en el perímetro de la red, o en el tráfico de red, sino en las propias aplicaciones y en cómo podemos ser inteligentes a la hora de emplear tecnologías para asegurar esas pilas de aplicaciones y los datos y la supervisión".

CISA, GSA y el Chief Information Security Officer Council están desarrollando programas piloto TIC 3.0 y casos de uso para aplicaciones específicas, dijo Shawn Connelly, director del programa TIC y arquitecto senior de ciberseguridad en CISA. Los casos de uso actuales abarcan la infraestructura como servicio (IaaS), el software como servicio (SaaS), el correo electrónico como servicio (EaaS) y la plataforma como servicio, así como aplicaciones de sucursales, pero, según Connelly, las agencias pueden sugerir más.

"TIC 3.0 ofrece a las agencias la posibilidad de poner a prueba nuevas interpretaciones" para casos de uso, dijo. CISA trabajará con la agencia durante el período piloto para desarrollar las mejores prácticas, hacer que la interpretación de la aplicación sea más independiente del proveedor y ver cómo podría utilizarse en todo el gobierno federal", dijo Connelly.

CISA, dijo Connelly, está hablando actualmente con las agencias sobre un caso de uso de confianza cero y un caso de uso de colaboración entre socios.

En TIC 3.0, los organismos pueden aplicar medidas de seguridad más cerca de sus datos y establecer zonas de confianza y casos de uso en lugar de redirigir los datos a puntos de acceso para su inspección. Esta flexibilidad es especialmente útil cuando se trata de tecnología de software como servicio (SaaS ) y cuando los empleados trabajan a distancia.

TIC 3.0 reconoce que la seguridad basada en el perímetro ya no es suficiente. Esto se debe en parte al gran número de usuarios o sistemas que trabajan fuera del perímetro; además, los actores maliciosos se han vuelto mucho más hábiles a la hora de robar credenciales y entrar en el perímetro.


¿Qué requieren las TIC 3.0?

TIC 3.0 incluye cinco objetivos de seguridad que permiten a los organismos federales realizar la transición al modelo de confianza cero:

  1. Gestión del tráfico: validar las conexiones de confianza a Internet y garantizar la seguridad de las actividades autorizadas. Supervisión de quién tiene acceso a datos específicos, por qué se concedió el acceso y si el acceso sigue siendo necesario.

  2. Confidencialidad del tráfico: mantener la privacidad y seguridad de la información sobre los datos a los que se accede, quién los envía y quién los recibe. Comprobación de que sólo el personal autorizado tiene acceso a los datos de tráfico.

  3. Integridad del tráfico - Mantener la integridad de los datos mientras están en tránsito. Evitar que los datos se alteren y/o detectar cualquier alteración.

  4. Resistencia del servicio - Garantizar el funcionamiento continuo de los sistemas de seguridad. Las amenazas crecen y evolucionan constantemente, y la continuidad de los sistemas frente a las nuevas amenazas y tecnologías es vital.

  5. Respuestas oportunas y eficaces - Cuando se detectan amenazas, el tiempo de reacción es esencial. Las TIC 3.0 promueven reacciones eficaces, la adaptación de futuras respuestas, la aplicación de nuevas políticas y la adopción de nuevas contramedidas cuando un sistema ha sido vulnerado.


¿Qué es el tráfico gestionado en TIC 3.0?

La gestión del tráfico en TIC 3.0 "observará, validará y filtrará las conexiones de datos para alinearlas con las actividades autorizadas, el mínimo privilegio y la denegación por defecto".

El reto de gestionar eficazmente el tráfico consiste en saber dónde están los datos y quién o qué debe tener acceso a ellos en todo momento, tanto en reposo como en tránsito. Para obtener ese conocimiento, los organismos necesitan herramientas que desarrollen una visión coherente y global de las identidades dentro y fuera de las organizaciones. Una herramienta eficaz recopila y conserva los datos de gobernanza de identidades, proporcionando información sobre quién tiene acceso, por qué se concedió el acceso y si ese acceso sigue siendo necesario. La supervisión y las actualizaciones continuas proporcionan una única fuente de verdad para la identidad y el acceso.

Los organismos pueden empezar por evaluar en qué punto de la matriz de seguridad se encuentran en relación con Identity and Access Management (IAM). IAM es un modelo de varios niveles en el que cada nivel de seguridad proporciona una base para los niveles sucesivos.

  • La seguridad de nivel uno tiene cuatro componentes. El primero es el inicio de sesión único y quizás algún nivel de federación a nivel de departamento.
  • El nivel dos es la capacidad de realizar el aprovisionamiento de usuarios de forma automatizada y auditable, en lugar de que un posible usuario reciba un trozo de papel o un correo electrónico para crear un formulario de usuario.
  • El tercer nivel es el autoservicio del usuario para garantizar la autenticación de los usuarios para el acceso, los permisos recientes, el uso anterior, etc., de forma auditable.
  • El nivel cuatro es la administración delegada.

¿Cómo se protege la integridad del tráfico en TIC 3.0?

Las TIC 3.0 exigen que sólo las partes autorizadas puedan discernir el contenido de los datos en tránsito, la identificación del remitente y el receptor, y el cumplimiento de la ley.

El reto de proteger la confidencialidad del tráfico se centra en cifrar los datos en tránsito, incluidos los no estructurados, y confirmar las identidades de remitentes y destinatarios. Una solución es la tecnología que integra controladores de núcleo en la pila del sistema de archivos de Windows y de sistemas ajenos a Microsoft, de forma transparente para el usuario final. Un controlador intercepta los archivos, cifrando y descifrando los datos sobre la marcha, y funciona con todas las aplicaciones y tipos de archivos.

Las organizaciones pueden utilizar reglas de política para garantizar el cifrado automático de los datos en tiempo real, sin ralentizar el flujo de trabajo. Estas soluciones también permiten supervisar los datos en tiempo de ejecución, incluida la captura y el análisis de información como cuándo y dónde se abrió un archivo y cómo se utilizó.

La protección de la confidencialidad del tráfico implica un cifrado que preserve el formato, y el nivel dos de la gestión de acceso a la identidad abarca una media docena de capacidades.

  1. En primer lugar está la autenticación multifactor, que incluye un aluvión de nuevas capacidades de inicio de sesión introducidas durante la pandemia, en respuesta al aumento del trabajo a distancia.
  2. En segundo lugar, una mayor visibilidad en torno a la gobernanza, con respecto a quién tiene acceso a los distintos activos.
  3. La tercera es la gestión de accesos privilegiados, que se ocupa de los distintos niveles de seguridad a los que pueden acceder y custodiar los administradores del sistema.
  4. El cuarto es un directorio virtual de usuarios y capacidades que se actualiza periódicamente y nunca es estático.
  5. En quinto lugar están la seguridad de los servicios y la supervisión de los cambios, y a continuación la seguridad de los datos y el cifrado.

¿Cómo garantizan las TIC 3.0 la resistencia de los servicios?

La resiliencia de los servicios promueve aplicaciones resistentes y servicios de seguridad para operaciones continuas a medida que evolucionan la tecnología y el panorama de amenazas. La eficacia de la misión requiere continuidad y fiabilidad del sistema. Garantizar el tiempo de actividad puede ser un reto cuando aumentan las demandas de un sistema o una red sufre un ataque, especialmente si el equipo de TI no da abasto. La automatización de tareas mundanas y repetitivas y la incorporación de procesos de flujo de trabajo pueden aligerar la carga de los trabajadores humanos y mantener las operaciones en marcha. El software especializado tiene capacidad para gestionar la mitad o más de las tareas de respuesta a incidentes. La automatización de flujos de trabajo y la IA pueden interrogar puntos finales, configurar cortafuegos, aislar ordenadores en una red y bloquear cuentas de usuario.

Estas tecnologías también ayudan a los analistas humanos recopilando datos para acelerar el análisis y emprender la corrección. En estudios de casos prácticos, la IA y el aprendizaje automático integrados pueden multiplicar por 10 la velocidad de investigación y respuesta a los incidentes. Cuando se trata de detectar y responder a amenazas, cada segundo cuenta. Una potente plataforma de gestión de eventos e información de seguridad (SIEM ) detectará, analizará y priorizará esas amenazas en tiempo real. Las plataformas eficaces también ayudan a los centros de operaciones de seguridad (SOC ) con la gestión del flujo de trabajo, la respuesta y el cumplimiento. Un motor de correlación de amenazas líder del sector fomentará el análisis eficaz de la seguridad en un SOC.


¿Cómo garantizan las TIC 3.0 una respuesta eficaz a los incidentes?

TIC 3.0 promueve la reacción oportuna y adapta las respuestas futuras para descubrir amenazas; define y aplica políticas; y simplifica la adopción de nuevas contramedidas es el objetivo clave de la respuesta a incidentes.

Hoy en día, la amenaza interna existe en gran medida en forma de código y seguridad de las aplicaciones. Por término medio, las aplicaciones utilizadas por los organismos públicos son en un 80% código personalizado o código fuente abierto. No son de un proveedor que tenga capacidades de prueba de software de nivel empresarial, ni siquiera responsabilidad. Los incidentes cibernéticos y las infracciones son, el 85% de las veces, el resultado de código personalizado o de código abierto. Ese código es la verdadera oportunidad para los problemas de seguridad.

En la actualidad, las organizaciones responden rutinariamente a grandes volúmenes de alertas y datos sobre amenazas que requieren atención inmediata. Para gestionar el incesante flujo de datos críticos, los organismos del futuro aprovecharán más las actividades automatizadas impulsadas por máquinas. Los organismos que avancen hacia las TIC 3.0 se beneficiarán de tecnologías que ayuden a las organizaciones a disponer de un lugar central para recopilar alertas y datos sobre amenazas, y a responder y solucionar los incidentes a la velocidad de la máquina.


¿Qué herramientas y enfoques pueden utilizarse para cumplir las TIC 3.0?

La autenticación multifactor (MFA) permite centralizar la gestión de la autenticación y la autorización. La gestión racionalizada desde una única solución reduce costes y refuerza la seguridad. Las soluciones que pueden aprovechar los estándares abiertos permiten una integración rápida y protegen contra las brechas de seguridad y el riesgo de dependencia de un proveedor. La flexibilidad integrada de un marco de autenticación avanzado permite personalizar los protocolos y métodos de seguridad, además de mejorar la experiencia general del usuario.

El cifrado con preservación del formato (FPE, Format-preserving Encryption ) es un nuevo tipo de cifrado utilizado para cifrar un texto plano preservando su longitud y formato originales, descrito por la norma NIST (SP 800-38G), que ha sido ampliamente examinado y validado por la comunidad criptográfica y garantiza la inutilidad de cualquier dato filtrado. Este tipo de solución de seguridad, como Voltage, puede aplicarse fácilmente a las aplicaciones existentes.

El software de orquestación, automatización y respuesta de seguridad (SOAR) puede automatizar tres categorías principales de actividades, todas ellas ejecutadas tradicionalmente de forma manual por los analistas:

  • Triaje automatizado: En lugar de que un analista soc de nivel 1 revise la alerta y realice un triaje manual, Arcsight SOAR puede realizar un triaje automatizado. Esto podría consistir en ejecutar ciertas comprobaciones para eliminar falsos positivos básicos, buscar activos, IP, etc. para ajustar los niveles de gravedad, tal vez consolidar varias alertas diferentes en un único caso de incidente e incluso enviar automáticamente el ticket al miembro o grupo adecuado dentro de los equipos de operaciones de seguridad. El objetivo con este tipo de automatización es eliminar el trabajo de nivel 1 tanto como sea posible con el tiempo.
  • La recopilación y correlación de datos ayuda a colorear el incidente con datos relevantes para comprender mejor un incidente. Buscar a un usuario en Active Directory, comprobar si alguien ha pasado su tarjeta de identificación por el edificio, recopilar hashes de todos los programas en ejecución en un ordenador concreto y obtener todos los registros de navegación web de un usuario de Arcsight Logger son ejemplos de estas actividades de gestión de registros y recopilación de datos de SIEM. En la jerga de SOAR, se denominan enriquecimientos; datos que ayudan a comprender mejor la situación. La recopilación automatizada de datos en general tiene ventajas asombrosas; en cuanto ve un incidente en su pantalla, es posible que ya se hayan recopilado todos los datos relevantes y se le hayan presentado en la misma pantalla. No hay necesidad de ir a sitios y recopilar datos manualmente. Normalmente, ArcSight SOAR de OpenText™ puede consolidar 5.000 alertas en unos manejables 250 incidentes individuales, disminuyendo así la carga de trabajo del analista SOC incluso antes de empezar a trabajar.
  • Contención automatizada: Puede realizar acciones en la infraestructura y en los dispositivos de seguridad para contener un ataque en curso; bloquear una IP en el cortafuegos, una URL en una pasarela web, aislar un ordenador en el NAC son ejemplos de este tipo de acciones.

El poder de este tipo de automatización es que puedes mezclar y combinar todas estas categorías y construir playbooks de extremo a extremo con automatización completa, si lo deseas.


¿Cómo evolucionará la seguridad de las TIC en la Administración?

La resistencia del sistema y la gestión de riesgos también se beneficiarán de la aplicación de las TIC 3.0.

Se espera que se publiquen casos de uso relacionados con la confianza cero, Internet of Things (IoT), la comunicación entre agencias y SaaS a medida que las TIC sigan evolucionando. Estos casos de uso servirán de orientación a las agencias a la hora de configurar plataformas y servicios para que sean conformes con la 3.0.

También se han realizado superposiciones para utilizar plataformas proporcionadas por proveedores externos con el fin de garantizar que las capacidades de seguridad de las TIC sean plenamente funcionales en todas las plataformas.

Las agencias pueden participar en pilotos TIC para escenarios que aún no están cubiertos en los casos de uso. Este proceso de colaboración cuenta con el apoyo de líderes como CISA y OMB y podría producir nuevos casos de uso para la tecnología utilizada por el gobierno federal.

OpenText se compromete a ser un socio en la transformación digital de empresas, negocios y agencias federales. Nuestro software abierto y flexible ayuda a las empresas a realizar la transición para adoptar la tecnología del futuro, incluida la prestación de servicios y soluciones TIC 3.0. Obtenga más información sobre OpenText Government Solutions, que puede ayudarle a modernizar y proteger sus infraestructuras de redes y centros de datos con TIC 3.0 y Zero Trust.

Notas a pie de página