Llegamos a ustedes gracias a:



Reportajes y análisis

Zero-Trust: COVID-19 ofrece una oportunidad única

[24/03/2020] La pandemia COVID-19 ha causado una situación de trabajo forzado desde el hogar para la que muchas organizaciones y empresas probablemente no estaban preparadas. Al tener que lidiar con una infraestructura de VPN de tamaño insuficiente, un ancho de banda insuficiente y no tener suficientes dispositivos administrados para que los empleados se los lleven a casa, los departamentos de TI se esfuerzan por limitar el impacto en la productividad, y permitir el acceso a los recursos y aplicaciones corporativas que sus colegas necesitan para realizar sus tareas laborales.

Lamentablemente, la creciente presión de la dirección para configurar las capacidades de trabajo remoto lo más rápidamente posible. podría dar lugar a que los equipos de TI recorten gastos e ignoren las políticas y prácticas de seguridad existentes. Esto podría tener importantes consecuencias para la continuidad de la empresa a largo plazo.

Imagine la interrupción que podría causar un atacante al obtener acceso a la red privada de la empresa a través de un servicio expuesto o del dispositivo personal de un empleado remoto, para luego desplazarse lateralmente e infectar los servidores internos con un rasomware en un momento en que los equipos de TI y de seguridad también están trabajando a distancia, y no pueden adoptar un enfoque práctico para remediar el problema.

Sería extremadamente difícil recuperarse de tal situación, señala Chase Cunningham, analista principal que sirve a los profesionales de la seguridad y el riesgo en Forrester. "Este es el tipo de escenario en el que el acceso de una persona podría literalmente destrozar toda una infraestructura en poco tiempo".

Atacar a trabajadores remotos

En el pasado ha habido muchos casos de empresas que han expuesto los servicios del Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) directamente a la Internet, y esos servicios han sido pirateados y utilizados como puntos de entrada para los ciberdelincuentes. Lamentablemente, durante la crisis de COVID-19, es probable que aumenten los incidentes relacionados con configuraciones inseguras de servicios y firewalls, ya que la gente toma atajos para permitir el acceso remoto.

La semana pasada, los investigadores de Bitdefender advirtieron que TrickBot, un troyano que roba credenciales, añadió un nuevo módulo a su arsenal que utiliza las computadoras infectadas para lanzar ataques de fuerza bruta RDP. Empresas de los sectores de telecomunicaciones, educación y servicios financieros de Estados Unidos y Hong Kong estaban en la lista de objetivos que vieron los investigadores. TrickBot también tiene módulos para robar credenciales de OpenSSH y OpenVPN, que suelen utilizarse para el acceso remoto, y es una plataforma de entrega conocida para el sofisticado rasomware de Ryuk.

Los expertos están de acuerdo en que este tipo de ataques continuarán e intensificarán a medida que los atacantes aprovechen la oportunidad para atacar al gran número de trabajadores que ahora acceden a los recursos corporativos desde fuera de los perímetros de su red corporativa protegida. y potencialmente desde sus propios dispositivos, menos seguros.

Los criminales siempre responderán a las circunstancias y desarrollarán técnicas que funcionen y continúen mejorando, anota Kevin Curran, miembro senior del IEEE y profesor de ciberseguridad en la Universidad del Ulster. Ahora tenemos muchas situaciones en las que la gente se ha alejado de los entornos en los que estaba protegida por el simple hecho de que había firewalls y advertencias y procedimientos, y debían tener ciertas versiones de los sistemas operativos o su software actualizado. Ahora están usando sus portátiles personales que, por lo que sabemos, podrían estar usando Windows XP, señala.

Ingresar a la confianza cero

Un posible método para evitar algunos de estos problemas de seguridad y limitar el riesgo es adoptar un modelo de seguridad de confianza cero o zero-trust, en el que el acceso a las aplicaciones comerciales, incluidas las heredadas, se realiza a través de un gateway seguro basado en la web, siguiendo los principios de mínimos privilegios con soporte para la autenticación de múltiples factores (MFA) y comprobaciones de seguridad de los dispositivos. Esos sistemas son más escalables que las redes privadas virtuales sin costos de infraestructura adicionales, pueden integrarse fácilmente con las plataformas existentes de inicio de sesión único (SSO, por sus siglas en inglés) y permiten la aplicación de políticas de control de acceso granular que definen quién puede acceder a qué desde qué dispositivo.

La buena noticia es que algunos proveedores en este espacio, en respuesta a la crisis de COVID-19, están ofreciendo ahora pruebas gratuitas extendidas para sus productos. La empresa de entrega de contenidos Akamai está ofreciendo el uso gratuito durante 60 días de su solución de Acceso a Aplicaciones Empresariales (EAA, por sus siglas en inglés) como parte de su Programa de Asistencia para la Continuidad del Negocio. Cloudflare está ofreciendo a las pequeñas empresas seis meses de uso gratuito de su producto Cloudflare for Teams, que incluye Cloudflare Access para el acceso zero-trust a las aplicaciones internas, y Cloudflare Gateway para el filtrado del DNS y la monitorización de la red. El Duo Security de Cisco también ofrece a los nuevos clientes licencias gratuitas para su plataforma de zero-trust y MFA. Aquí hay una lista de ofertas de tecnología gratuita de trabajo desde casa de los proveedores de seguridad durante la crisis.

"Todos aquellos líderes [empresariales] que han estado tratando de justificar las razones para el trabajo a distancia, tienen ahora una razón para hacerlo", anota Cunningham. "Pero la realidad es que las VPN no van a funcionar a esta escala, por lo que deberían aprovechar estas ofertas [de acceso zero-trust] y, si no hay nada más, utilizarlas como piloto para intentar averiguar dónde van a estar. Esto no va a ser solo algo que se haga durante los próximos meses. Este es el futuro del espacio de trabajo, y ahora tienen la oportunidad de probar ese material de forma gratuita en muchos casos y seguir creciendo a partir de ahí. Si fuera yo, me subiría a esto tan rápido como pudiera".

Los modelos de confianza cero ganan popularidad

Muchas compañías estaban considerando cambiar al modelo de seguridad de red de confianza cero incluso antes de que esta crisis llegara. Una encuesta recientemente publicada entre los gerentes de TI de 100 pequeñas y medianas empresas y empresas de la lista Fortune 500 reveló que el 31% lo está considerando, el 19% está en la fase de adopción y el 8% ya lo ha implementado en sus organizaciones.

Desplegar completamente la seguridad zero-trust en toda la red corporativa no es una tarea fácil. Requiere un enfoque por fases que implica programas piloto, la recopilación de métricas, el ajuste de las políticas de acceso, asegurarse de que los diversos productos se integran sin problemas, realizar cambios en los flujos de datos internos y capacitar a los empleados. Sin embargo, las empresas podrían empezar ahora en el lado del acceso remoto y luego construir desde allí.

"Si me preguntara hace un año '¿Podría desplegar una red de confianza cero si una pandemia golpeara y la compañía tuviera que cambiar en unas pocas semanas? Yo habría dicho: 'No, eso es imposible'", indica Curran. "Para ser honesto, estos sistemas basados en la nube parecen ser la forma más perfecta de llegar a una red de confianza semi-cero en un tiempo rápido. No diría que son verdaderas redes de confianza cero, pero hacen un muy buen trabajo".

"Animaría a las empresas a seguir este camino en realidad porque, en cierto modo, se trata de una gestión de acceso realmente privilegiada, que es el punto de partida para construir una red de confianza cero", añade Curran. "Puede construir las otras cosas más tarde. Se necesitan algunos cambios de política y un poco de formación, pero es un buen sistema [...] y es más fuerte que cualquier VPN".

Consejo para pasar a la confianza cero

Al elaborar sus políticas de acceso, las empresas deben hacer una clara distinción entre los dispositivos administrados que entregan a sus empleados, y los dispositivos personales no administrados que algunos empleados pueden utilizar para acceder a las aplicaciones de la empresa. Lo ideal sería que, si se enfrentan a un escenario BYOD, las empresas pidieran a sus empleados que instalaran una solución de gestión de dispositivos móviles (MDM) en sus dispositivos personales.

Los gateways de acceso basadas en la nube de zero-trust generalmente realizan algunas comprobaciones de seguridad para conectar los dispositivos a través del navegador, como verificar el estado de los parches de su sistema operativo y otro software, pero eso podría no ser suficiente, especialmente si esta situación de trabajo forzado en casa dura meses. Cuanto más tiempo permanezca un dispositivo sin monitorizar, mayores serán las posibilidades de que se comprometa.

"Obviamente, en un mundo perfecto llegarían finalmente a un estado final en el que tienen agentes en la máquina para poder hacer algo realmente, pero ahora mismo se trata de apagar o controlar el fuego en lugar de tener el estado óptimo", indica Cunningham. "No estamos listos para el óptimo. Estamos listos para 'mantener a la gente trabajando y mantener la economía en movimiento'".

Sin embargo, es probable que las empresas que tenían al menos algunos trabajadores remotos antes de esta situación de trabajo forzado desde el hogar, ya utilicen alguna solución de MDM. En ese caso, solo tendrían que hablar con su proveedor de MDM y comprar licencias adicionales.

Las aplicaciones heredadas deben ejecutarse en entornos o contenedores virtualizados y deben estar segmentadas del resto de la red para que, si se ven comprometidas, los atacantes no puedan pivotar y moverse lateralmente para comprometer el resto de la infraestructura.

"Volviendo a todo el asunto del virus, es una garantía de que va a haber alguna infección, pero no queremos tener una infección masiva en toda la infraestructura por algo tan simple como una vieja aplicación que fue atacada", finaliza Cunningham.