Estos dos conceptos de seguridad pueden sonar similares, pero son completamente diferentes.
Si bien los conceptos de confianza cero y conocimiento cero son componentes críticos de las tendencias actuales de ciberseguridad, no son lo mismo.
Suenan algo similares y comparten un propósito, pero el conocimiento cero va un paso más allá que la confianza cero en la creación de un sistema de seguridad que pueda contrarrestar las amenazas cibernéticas en constante evolución.
De hecho, la prueba de conocimiento cero se puede utilizar para hacer realidad las ideas del modelo de seguridad de confianza cero. Sin embargo, antes de continuar, aclaremos cuáles son estos dos conceptos.
¿Qué es la confianza cero?
En resumen, la idea central detrás del concepto de confianza cero es "no confíes en nadie, verifica a todos". Entonces, en un marco de confianza cero, no hay confianza entre una red y sus usuarios, una red y sus componentes de hardware y software, o entre una organización y sus usuarios.
Con la suposición de que todos y todo es una amenaza hasta que se demuestre lo contrario, seguridad de confianza cero siempre solicita algún tipo de autenticación antes de permitir el acceso a las aplicaciones y los datos detrás de ellos. Todos los usuarios dentro del marco de confianza cero deben estar autenticados, autorizados y pasar primero por una evaluación de postura de seguridad.
Además, Zero Trust permite a los administradores de TI garantizar una visibilidad completa de todos los usuarios, dispositivos y sistemas. Esto no solo asegura el cumplimiento normativo, sino que también ayuda a evitar ataques cibernéticos causados por credenciales de usuario comprometidas y mitiga las filtraciones de datos. Entonces, hay más de unos pocos razones para adoptar un modelo de seguridad de confianza cero.
¿Qué es el conocimiento cero?
Un concepto de conocimiento cero trata de descubrir cómo alguien puede probar que tiene algo confidencial, como una información confidencial, sin revelar nada de eso. En el contexto de cifrado de conocimiento cero, la seguridad de conocimiento cero garantiza que los datos del usuario se cifren antes de que el usuario se comunique con el proveedor de servicios. Además, los datos se pueden descifrar con una clave única, que el proveedor desconoce; solo el usuario tiene esa clave.
Entonces, con el cifrado de conocimiento cero, nadie más que el usuario puede acceder a sus datos en su forma no cifrada. Idealmente, nadie además del usuario debería poder acceder a los datos en forma encriptada, pero los países dentro Alianzas de cinco ojos, nueve ojos y 14 ojos diría lo contrario.
En ciberseguridad, el conocimiento cero puede verse como un componente del modelo de confianza cero, ya que permite acciones como la autenticación que se realizará sin revelar ninguna información confidencial sobre el usuarios
Confianza Cero vs. Conocimiento Cero: Similitudes y Diferencias
Si el eslogan del concepto de confianza cero es "no confíes en nadie", entonces el eslogan del conocimiento cero es "no sabemos nada". Si bien estos dos conceptos comparten un propósito, es decir, fortalecer la seguridad de los datos y la ciberseguridad en general, no funcionan de la misma manera.
En ciberseguridad, el conocimiento cero puede verse como un componente del modelo de confianza cero, ya que permite acciones como la autenticación que se realizará sin revelar ninguna información confidencial sobre el usuarios
El modelo de conocimiento cero se puede utilizar para proteger la privacidad de los datos, ya que el proveedor de servicios tiene "conocimiento cero" al respecto. En la mayoría de los casos, estos datos consisten en contraseñas, credenciales de inicio de sesión y otra información confidencial. Muchos tipos de autenticación de dos factores (2FA) y autenticación de múltiples factores (MFA) utilizan el conocimiento cero modelo, lo que significa que no se le pedirá que comparta secretos ni proporcione información confidencial para verificar su identidad.
Tanto 2FA como MFA son componentes críticos del marco de confianza cero, que está respaldado por el cifrado y la segregación de datos. Un proveedor de servicios que utiliza marcos de seguridad de cero conocimiento y cero confianza puede estar seguro de que sus sistemas están protegidos contra amenazas internas y externas y que ningún dato confidencial se verá comprometido en caso de incumplimiento.
Confianza Cero vs. Conocimiento cero: ¿cuál es más importante para la ciberseguridad?
No hay ninguna razón por la que los profesionales de la ciberseguridad deban elegir entre conceptos de seguridad de confianza cero y conocimiento cero. Después de descubrir cómo funcionan estos dos en ciberseguridad, podemos ver el conocimiento cero como un componente crítico del modelo de seguridad de confianza cero.
También debemos tener en cuenta que, si bien la implementación del concepto de confianza cero puede parecer simple en teoría, es más fácil decirlo que hacerlo en la práctica.
