Hasta hace poco, la mayoría de los sistemas de seguridad de red se basaban en sólidas defensas perimetrales que rodeaban un entorno de usuarios y programas de confianza. Al igual que una ciudad medieval amurallada, este modelo se centraba en autenticar y verificar a los usuarios, aplicaciones y procesos en sus puntos de entrada. Sin embargo, una vez dentro de la red, los agentes maliciosos o el malware pueden desplazarse lateralmente con relativa facilidad debido a la falta de supervisión y defensas internas. El modelo de defensa perimetral también se ha visto complicado por los continuos cambios fundamentales en la topología de la red. La ubicación de muchas cargas de trabajo informáticas se está desplazando de ubicaciones centralizadas al borde de la red. Las propias cargas de trabajo son cada vez más nativas de la nube, alojadas en contenedores y diseñadas para ser transitorias y móviles. En este tipo de entorno distribuido, proteger los recursos construyendo vallas a su alrededor ya no es viable. En lugar de medidas como cortafuegos de hardware, la seguridad basada en software se aplica directamente a la carga de trabajo. Los entornos de seguridad de red de "confianza cero" están ocupando el lugar de sus predecesores centrados en el perímetro. En este nuevo modelo, cada interacción con los datos u otros recursos se autentica individualmente. Este cambio en la autorización de acceso conlleva una serie de implicaciones para las operaciones de inteligencia legales.
Implicaciones clave de la confianza cero para la inteligencia legal
A medida que los ingenieros de seguridad de redes trabajan para implantar arquitecturas de confianza cero, el cifrado de todas las conexiones es un objetivo clave. Por lo tanto, una proporción cada vez mayor del contenido de las comunicaciones queda en la oscuridad, fuera del alcance de la interceptación legal. Esta realidad contribuye al creciente papel de los metadatos en las operaciones de inteligencia legales. Con las plataformas y los conocimientos adecuados, los metadatos pueden ser tan útiles para los investigadores como el contenido original de los mensajes. Al mismo tiempo, la propia arquitectura de confianza cero crea nuevas oportunidades que la inteligencia legal puede aprovechar a menudo. Estas topologías de red requieren una revisión frecuente de los puntos de aplicación de políticas dentro del entorno para determinar si una persona está autorizada a acceder a un recurso específico. Cada solicitud de este tipo crea una bandera digital que indica un flujo de datos único para un individuo concreto, que puede cotejarse con las órdenes judiciales activas en el sistema. Por lo tanto, la arquitectura de confianza cero proporciona a las fuerzas de seguridad nuevas formas de discernir y rastrear distintas rutas de datos relevantes para una investigación. Esta visibilidad de la arquitectura de acceso de confianza cero depende de la solidez con que los propietarios de la red apliquen los requisitos de registro. Dado que los análisis de registros ofrecen información sobre todos los aspectos, desde el rendimiento y la eficiencia de la red hasta la ciberseguridad, las organizaciones capturan, normalizan y utilizan cada vez más estos datos en sus operaciones cotidianas. Naturalmente, esto beneficia a las operaciones de inteligencia legal al mejorar la calidad de los datos disponibles.
Mediación en múltiples redes con confianza cero
Además de unos controles de acceso a los recursos más rigurosos en todos los flujos de datos de la red, la seguridad de confianza cero altera los propios flujos. La inteligencia legal debe tener esto en cuenta, especialmente cuando varias nubes públicas u otras redes de terceros interactúan en un entorno de confianza cero, como en el caso de una aplicación empresarial en Amazon Web Services (AWS) que requiere datos que residen en Microsoft Azure. En un enfoque heredado, la aplicación de AWS simplemente tendría credenciales de Azure y extraería datos según fuera necesario, sin implicar directamente a la empresa. En la arquitectura de confianza cero, la empresa posee las credenciales de Azure y la aplicación de AWS debe realizar varias solicitudes de datos individuales para acceder a los datos de Azure. Las partes adicionales de una transacción añaden complejidad a dichos flujos de datos, lo que tiene un impacto en la inteligencia legal similar al de la transición de las llamadas de voz a VoIP, en la que las rutas de datos de los mensajes pueden viajar a cualquier lugar.
Autorización legal en un marco de confianza cero
Al centrar la seguridad en entidades y recursos individuales en lugar de en el perímetro de la red, la arquitectura de confianza cero crea un conjunto de consideraciones más matizadas a la hora de negociar el acceso con fines de inteligencia legal. A medida que se complica la vía de acceso a los recursos, también lo hace la interacción entre los protocolos técnicos y los instrumentos jurídicos, como las órdenes judiciales. Investigar a una persona de interés en un entorno de confianza cero podría implicar la entrega de órdenes judiciales separadas a un proveedor de servicios de comunicaciones (CSP) para teléfonos personales, tabletas y/u otros dispositivos. Si los dispositivos de la empresa del individuo también deben ser analizados, las órdenes también podrían tener que ser entregadas a su empleador - a menos que la investigación deba mantenerse en secreto. Las capacidades de gestión de órdenes judiciales de SS8 rigen el acceso legal a estos flujos de datos, y nuestra plataforma Intellego XT los sintetiza con otros flujos de datos para crear una línea temporal compuesta de comunicaciones y actividad en línea que haga avanzar la investigación.
Conclusión
En un entorno de confianza cero, una determinada comunicación o flujo de datos requiere múltiples autorizaciones, lo que significa que los CSP deben implantar controles sólidos y especializados sobre la gestión de órdenes, la mediación y la transferencia de datos. Además, las fuerzas y cuerpos de seguridad necesitan herramientas potentes e intuitivas que les ayuden a guiar las investigaciones a través de múltiples flujos de información y sintetizarlos en ideas compuestas de forma eficiente y eficaz. Las plataformas de inteligencia legal SS8 se han desarrollado al compás de la evolución de las tecnologías de red durante más de dos décadas, y seguimos proporcionando información técnica sólida tanto de arquitecturas de red heredadas como de confianza cero dentro del marco legal.
Acerca del Dr. Eric Burger
Anteriormente, el Dr. Burger fue Director Adjunto de la Oficina de Política Científica y Tecnológica de la Casa Blanca, responsable de la política estadounidense en materia de telecomunicaciones y ciberseguridad. En este puesto dependía del Director de Tecnología de la Oficina Ejecutiva del Presidente. Antes de eso, el Dr. Burger fue el CTO de la FCC, actuando como asesor del Presidente y como experto tecnológico de alto nivel en la agencia. Entre otros cargos, ha sido Presidente del Consejo de Administración de atfCYBER, miembro del Consejo Asesor de Dexrex LLC, miembro del Consejo de Ascension Technology Group y CTO de Neustar. Actualmente es Profesor de Investigación de Informática en la Universidad de Georgetown. Puede obtener más información sobre el Dr. Burger en su página de LinkedIn aquí.
Acerca de SS8 Networks
SS8 proporciona plataformas de inteligencia legal. Trabaja en estrecha colaboración con las principales agencias de inteligencia, proveedores de comunicaciones, fuerzas de seguridad y organismos de normalización. Su tecnología incorpora las metodologías analizadas en este blog y las carteras de productos Xcipio® e Intellego® XT se utilizan en todo el mundo para la captura, el análisis y la entrega de datos con fines de investigación criminal.
