Por qué los hackers apuntan al acceso remoto y qué hacer al respecto
La ciberseguridad es un juego constante del gato y el ratón, con atacantes y defensores encerrados en una carrera perpetua para ver cuál es el primero en encontrar, explotar y parchear vulnerabilidades.
La mayor parte del mundo aún se encuentra trabajando de forma remota, y, según todos los indicios, así seguirá en el futuro previsible. Por ello, no sorprendente que los atacantes se estén enfocado en atacar a las herramientas de acceso remoto. Basándonos en lo que hemos aprendido de nuestros analistas de inteligencia sobre amenazas, nuestros equipos de respuesta a incidentes, y de nuestros clientes, hemos recopilado varios hallazgos -así como recomendaciones- de mejores prácticas para proteger el acceso de los usuarios remotos.
Las credenciales son el “santo grial” para los atacantes - si logras obtener un acceso de usuario legítimo, podrás moverte libremente por una red corporativa sin ser detectado. Luego, cualquier actividad que realice el atacante se oculta bajo la apariencia de un comportamiento de usuario legítimo. Esto se ve agravado por el cifrado del tráfico, que protege al atacante de la inspección de la mayoría de las herramientas de seguridad de la red.
Si los titulares de los medios son un indicador, está claro que los ataques que se aprovechan de las VPNs y de las herramientas de acceso remoto van en aumento. Por ejemplo, el hackeo de la planta de agua de Oldsmar Florida de este año fue el resultado de la falta de precauciones de ciberseguridad y de implementar las mejores prácticas. El ataque a SolarWinds, en parte, aprovechó las contraseñas robadas y la omisión de autenticación de dos factores (2FA). Luego están los ataques a las VPNs en sí, incluidas las divulgaciones recientes sobre los ataques de día cero (Zero Day attacks). Según el Departamento de Seguridad Nacional de los Estados Unidos de América (DHS, por sus siglas en inglés), el nuevo ransomware, DarkSide, responsable del ataque a Colonial Pipeline, ha estado aprovechando la infraestructura de acceso remoto vulnerable para comprometer a las organizaciones. Entre las recomendaciones que hace el DHS se encuentran limitar el acceso de los usuarios al software de escritorio remoto e implementar una autenticación sólida.
Hay muchas formas de acceder a datos confidenciales, y muchas formas de extraerlos
El desafío para los defensores y los proveedores de servicios de seguridad hoy día es que los datos se almacenan en todas partes y gran parte de ellos se encuentran en aplicaciones de tipo SaaS de terceros, fuera de los centros de datos corporativos.
En la mayoría de los casos, los empleados se conectan directamente a las aplicaciones SaaS, sin pasar por algún tipo de inspección de seguridad realizada desde la sede corporativa. Incluso para aquellas organizaciones que se conectan de nuevo a la sede, la mayor parte del tráfico se encuentra cifrado y no se inspecciona. Microsoft Remote Desktop Protocol (RDP), Secure Shell (SSH) y Virtual Network Computing (VNC) siguen siendo populares, junto con una gran cantidad de VPNs de código abierto.
Asimismo, la mayoría de las organizaciones dependen en gran medida de los dispositivos personales de los empleados, aprovechando así una combinación de todos estos métodos de acceso remoto.
Quizás te interese seguir leyendo Identidad digital: ¿Cómo evitar la suplantación?
La visibilidad es uno de los mayores desafíos
Con dispositivos y aplicaciones que no son propiedad de las organizaciones, administrando los datos que sí son de su propiedad, es fácil ver cómo la seguridad se vuelve problemática. La explosión en el uso de dispositivos de propiedad personal durante el COVID-19 expandió la superficie de ataque para todas las organizaciones casi de la noche a la mañana. Sin embargo, realizar una respuesta a incidentes es difícil, especialmente si el punto de origen del ataque es desde un dispositivo no administrado, propiedad de alguno de los empleados.
Los datos forenses solo se pueden obtener del proveedor de servicios de Internet o con el consentimiento del usuario. Los ataques que aprovechan múltiples vulnerabilidades encadenadas pueden requerir la recuperación de registros del proveedor de nube, el propietario del endpoint, el ISP, y luego correlacionar todo eso con cualquier dato que la organización realmente posea.
Cuando se tiene en cuenta la cantidad de formas en que un dispositivo no administrado puede acceder a las redes corporativas (directamente mediante alguna aplicación, protocolos de túnel, y VPN), se hace evidente entender cómo el tiempo de permanencia de un atacante puede aumentar fácilmente durante meses sin ser detectado.
La mayoría de los dispositivos personales tienen controles de seguridad laxos o inexistentes en comparación con los dispositivos corporativos. En consecuencia, la barrera de entrada para los atacantes es mucho menor. Casos reportados comúnmente son los relacionados al spear phishing, a routers domésticos hackeados (que pueden estar sin parches o con controles de seguridad débiles), o a las aplicaciones vulnerables en los endpoints sin ningún tipo de parche.
Sigue leyendo Amenazas informáticas que desafían las comunicaciones seguras
Las pequeñas y medianas empresas a menudo aprovechan la política BYOD (Bring Your Own Device) para reducir los costos operativos a comparación de emitir dispositivos administrados. En estos casos, los accesos remotos vulnerables son particularmente perjudiciales para ellos.
Los controles de seguridad se implementan de manera inconsistente
Aunque algunas organizaciones han implementado controles de seguridad -como la implementación de listas de autorización y denegación, firewalls de aplicaciones web (WAF), y agentes de seguridad de acceso a la nube (CASB) para proteger a las aplicaciones SaaS- la sincronización de políticas entre estas herramientas es un esfuerzo manual que sigue siendo inconsistente. No es raro que los equipos de seguridad desconozcan por completo qué usuarios tienen acceso acreditado a aplicaciones de terceros, o aquellos con privilegios de super-usuario.
Si bien, muchas organizaciones han comenzado a implementar 2FA, a menudo no implementan la práctica para el correo electrónico corporativo. Esta supervisión ofrece un punto de entrada fácil para los atacantes. En otros casos, no se implementan controles uniformes de autenticación o seguridad en las aplicaciones SaaS, como GSuite u Office 365.
Protección del acceso a la red mediante un enfoque Zero Trust
Si hay una lección que aprender después de más de un año de acceso remoto casi exclusivo, es que la visibilidad sigue siendo el mayor desafío. Si bien, la solución ideal es administrar todo el acceso remoto a través de un único borde de servicio global, que combine las redes y la seguridad, hay algunos pasos que las organizaciones deben tomar de inmediato para protegerse.
Recomendamos un enfoque de seguridad de acceso remoto de múltiples capas que proporcione capas de inspección y cumplimiento de protocolos.
Nuestras recomendaciones a continuación:
- Visibilidad y control centralizados: Es importante saber quién accede a los datos; en dónde se almacenan; su nivel de sensibilidad - y registrar el tráfico de red.
- Autenticación basada en identidad: 2FA/MFA es un comienzo, ya que pocas organizaciones aún no implementan esto de manera consistente. Es importante proporcionar y controlar el acceso a los recursos en función de lo que el usuario necesite saber y del nivel de confidencialidad de los datos.
- Políticas de seguridad uniformes: Considere hacer cumplir las políticas de seguridad en todas las aplicaciones corporativas y de terceros, independientemente de dónde residan los datos. Es posible que la corporación no sea la propietaria de la infraestructura, pero sí de los datos.
- Acceso granular basado en roles: Otorgue al usuario acceso solo a los datos que absolutamente necesite para su trabajo. En caso de un incidente, esto puede limitar el radio de explosión a unas pocas aplicaciones en lugar de a una red completa. Restrinja el acceso según el tipo de dispositivo (parcheado, AV en ejecución) y la ubicación (WiFi pública) desde la que se conecten los usuarios.
- Monitoreo de amenazas posterior a la conexión: Cuando todo lo demás falle, si un atacante puede eludir MFA y el control de acceso basado en identidad, puede detectar un atacante en función de la actividad que realice en su objetivo. No puede controlar qué exploits de día cero surgirán, pero puede identificar y minimizar rápidamente su impacto.
Descubra cómo Palo Alto Networks y Neosecure ofrecen un acceso remoto seguro mediante una arquitectura Zero Trust para todas las organizaciones, con Prisma Access.