[25/10/2021] Anteriormente consideradas como un elemento básico para proteger a los empleados que trabajan de forma remota, las VPN se diseñaron para proporcionar acceso seguro a los datos y sistemas corporativos para un pequeño porcentaje de la fuerza laboral, mientras que la mayoría trabajaba dentro de los límites de la oficina tradicional. El cambio al trabajo remoto generalizado provocado por la COVID-19, a principios del 2020, cambió las cosas drásticamente. Desde entonces, se ha convertido en norma que un gran número de empleados trabaje regularmente desde casa, y muchos solo van a la oficina esporádicamente (si es que lo hacen).
Las VPN son insuficientes para el ambiente híbrido y de trabajo remoto, y una dependencia excesiva de ellas para asegurar a un gran número de empleados que trabajan desde casa plantea riesgos importantes. "Las VPN originalmente ayudaron a las empresas a administrar algunos empleados o contratistas externos que necesitaban acceso remoto a ciertos sistemas mientras trabajaban de forma remota”, comenta Joseph Carson, científico jefe de seguridad y CISO asesor de ThycoticCentrify. Agrega que también ha tenido impactos negativos en la productividad de los empleados y la experiencia del usuario, todo lo cual se suma a una mayor fricción.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Nunca se hubiera podido predecir que las VPN se iban a usar de forma tan generalizada, y ha creado una pesadilla de seguridad para los equipos de TI, al ampliar la superficie para posibles ataques”, afirma el jefe de investigación de amenazas de Netacea, Matthew Gracey-McMinn.
"Con la pandemia de la COVID-19, la mayoría de las empresas se vieron obligadas a adaptarse rápidamente a un ambiente de trabajo remoto completo, y algunas de ellas lo hicieron de manera insegura, simplemente implementando soluciones VPN genéricas para permitir que sus empleados accedan a los mismos sistemas desde sus hogares y confiando ciegamente en sus dispositivos”, afirma Felipe Duarte, investigador de seguridad de AppGate.
Dado que el trabajo remoto e híbrido será la norma en el futuro previsible, es vital que las organizaciones no solo reconozcan las deficiencias y los riesgos de las VPN en la era del trabajo remoto, sino que también comprendan cómo las alternativas pueden asegurar mejor el futuro del trabajo remoto e híbrido.
Deficiencias de las VPN para el trabajo remoto
Debido a que las VPN generalmente amplían la red de una organización, si la red en la que se encuentra el usuario es insegura, existe un mayor potencial para que un atacante la aproveche, afirma Sean Wright, líder de seguridad de aplicaciones en Immersive Labs. "Las redes domésticas tienen más vulnerabilidades de seguridad, lo que aumenta este riesgo”, agrega.
Wave Money, CISO de Dominic Grunden, apunta a otra deficiencia: el hecho de que las VPN solo proporcionan cifrado para el tráfico que pasa entre dos puntos, lo que requiere un stack de seguridad completo independiente, que debe implementarse en un extremo de cada conexión VPN para la inspección del tráfico. "Este es un requisito que se vuelve cada vez más difícil de cumplir cuando los recursos empresariales se alojan cada vez más en la nube y los trabajadores remotos acceden a ellos. Las VPN tampoco brindan una vía para asegurar el acceso de terceros, que es quizás el vínculo de ataque más débil”.
Gracey-McMinn afirma que la mayoría de las VPN brindan una seguridad mínima con cifrado de tráfico y, a menudo, no imponen el uso de autenticación de múltiples factores (MFA, por sus siglas en inglés). "Si la computadora de un miembro del personal se ha visto comprometida mientras trabajaba en casa, esto podría llevar a que un actor malintencionado obtenga acceso a la red de una empresa a través de la VPN utilizando las credenciales del personal, lo que le otorgaría acceso de confianza total -es menos probable que la actividad sea detectada por un equipo de seguridad debido a que no tiene una capa de stack de seguridad completa mientras trabaja desde casa”.
Esto se observó en el reciente ataque de ransomware a Colonial Pipeline, afirma Duarte. "En ese caso, los atacantes obtuvieron acceso a la red interna simplemente usando credenciales de nombre de usuario y contraseña comprometidas en un dispositivo VPN inseguro”. También señala casos de atacantes que apuntan y explotan vulnerabilidades conocidas de dispositivos VPN. "Más recientemente, observamos la explotación de CVE-2021-20016 (que afecta a SonicWall SSLVPN) por parte del grupo de cibercriminales DarkSide, y también CVE-2021-22893 (que afecta a Pulse Secure VPN) explotado por más de 12 cepas de malware diferentes”.
Otro problema importante es el de los dispositivos infectados con malware y sin actualizaciones. "Este escenario generalmente está relacionado con malware impulsado por humanos, como las botnets, backdoors y RATs [troyanos de acceso remoto]”, afirma Duarte. "El atacante crea una conexión remota con el dispositivo y, una vez que se conecta a la VPN, el malware puede hacerse pasar por el usuario, acceder a todos los sistemas a los que tiene acceso y propagarse a través de la red interna”.
Wright concuerda con esto y agrega que los dispositivos solo serán lo suficientemente seguros si se actualizan activamente. "Puede tener la conexión VPN más segura del mundo, pero si el dispositivo no está lo suficientemente actualizado, representará un riesgo para su organización, y la conexión VPN hará poca diferencia”.
Las VPN también tienen importantes inconvenientes desde el punto de vista de la usabilidad y la productividad, afirma Grunden. "Una queja común sobre las VPN es que reducen la velocidad de la red. Esto se debe a que las VPN redireccionan las solicitudes a través de un servidor diferente, por lo que es inevitable que la velocidad de conexión no siga siendo la misma debido al aumento de latencia en la red”. Además de eso, a veces surgen otros problemas de rendimiento relacionados con el uso de switches de interrupción y DHCP. "La seguridad que brindan las VPN, si bien es necesaria, a menudo conlleva una complejidad excesiva, en particular para las organizaciones que utilizan VPNs empresariales”, agrega.
Alternativas seguras a las VPN para el trabajo remoto
Ya sea que se trate de reemplazar las VPN por completo o complementarlas con otras opciones, las organizaciones deben reconocer e implementar métodos de seguridad alternativos más adecuados para proteger el trabajo remoto generalizado. Cuáles y cuántas de estas estrategias puede explorar una empresa varía dependiendo de diversos factores, como la posición y la tolerancia al riesgo. Sin embargo, los expertos en seguridad están de acuerdo en que es más probable que las siguientes estrategias sean universalmente efectivas para las empresas.
1. Acceso a la red de confianza cero: El acceso a la red de confianza cero (ZTNA, por sus siglas en inglés) es esencialmente un acceso intermediado a aplicaciones y datos en la red. Los usuarios y dispositivos son cuestionados y confirmados antes de que se les conceda el acceso. "Lo que debe hacer es adoptar una mentalidad de confianza cero, siempre asumiendo que un dispositivo o la cuenta de un empleado pueden verse comprometidos”, afirma Duarte.
Grunden explica que "los métodos de confianza cero pueden realizar las capacidades básicas de una VPN, como otorgar acceso a ciertos sistemas y redes, pero con una capa adicional de seguridad en forma de acceso con privilegios mínimos (a aplicaciones específicas), autenticación de la identidad, verificación del puesto de trabajo y almacenamiento de credenciales”.
Como resultado, si un atacante logra infectar un sistema, el daño se limita solo a lo que este sistema tiene acceso, afirma Duarte. "Además, asegúrese de implementar soluciones de monitoreo de red para detectar comportamientos sospechosos, como una máquina infectada haciendo un escaneo de puertos, para que pueda generar automáticamente una alerta y apagar el sistema infectado”, agrega.
2. Secure access service edge (SASE): Con un modelo de ZTNA, de acuerdo con Gracey-McMinn, cada usuario y el dispositivo se pueden verificar y comprobar antes de que se permita el acceso, no solo a nivel de red, sino también a nivel de aplicación. Sin embargo, la confianza cero es solo una parte de la solución del problema y no puede controlar todo el tráfico desde un extremo al otro, añade. "SASE resuelve ese problema. SASE, que es un modelo basado en la nube, combina las funciones de red y de seguridad en un único servicio de la arquitectura, lo cual permite a una empresa unificar su red en un punto singular desde una sola pantalla”.
Grunden afirma que SASE es una solución moderna, diseñada para satisfacer las necesidades de rendimiento y seguridad de las organizaciones de hoy, que ofrece administración y operación simplificadas, menores costos y mayor visibilidad y seguridad con capas adicionales de funcionalidad de red, así como una arquitectura de seguridad nativa de la nube. "En última instancia, SASE brinda a los equipos de TI, así como a toda la fuerza laboral de una empresa, la flexibilidad para funcionar de manera segura en la nueva normalidad de este trabajo en cualquier lugar, en cualquier lugar del mundo COVID cibernético”, agrega Grunden.
3. Perímetro definido por software: El perímetro definido por software (SDP, por sus siglas en inglés) -que a menudo es implementado como parte de otras estrategias de confianza cero- es un límite de red basado en software en lugar de hacerlo mediante hardware, y es un reemplazo efectivo para las soluciones VPN clásicas, afirma Duarte. "Esto le permite no solo usar la autenticación de múltiples factores y segmentar su red, sino que también puede perfilar al usuario y al dispositivo que se conecta, y crear reglas para permitir el acceso único a lo que realmente sea necesario de acuerdo con el escenario”.
El SDP también facilita bloquear el acceso a los recursos una vez que se detecta un comportamiento sospechoso en su red, aislando efectivamente las amenazas potenciales, minimizando el daño causado en un ataque y manteniendo la productividad en caso de un falso positivo, en lugar de deshabilitar completamente el dispositivo, lo que impide que un usuario pueda llevar a cabo cualquier trabajo significativo, agrega Duarte.
4. Redes de área amplia definidas por software: Las VPN dependen de un modelo centrado en el router para distribuir la función de control a través de la red, donde los routers guían el tráfico según las direcciones IP y las listas de control de acceso (ACL, por sus siglas en inglés). Las redes de área amplia definidas por software (SD-WAN, por sus siglas en inglés), sin embargo, se basan en un software y una función de control centralizada que puede dirigir el tráfico a través de la WAN de una manera más inteligente, al manejar el tráfico en función de los requisitos de prioridad, seguridad y calidad de servicio según las necesidades de la organización, afirma Grunden.
"Los productos SD-WAN están diseñados para reemplazar a los routers físicos tradicionales con un software virtualizado que puede controlar las políticas a nivel de las aplicaciones y ofrecer una superposición de red. Además, SD-WAN puede automatizar la configuración continua de routers de borde WAN y ejecutar el tráfico a través de un híbrido de enlaces MPLS privados y de banda ancha públicos”, afirma Grunden. Esto crea una red empresarial de nivel de borde con menores costos, menos complejidad, más flexibilidad y mejor seguridad.
5. Gestión de la identidad y acceso y gestión del acceso privilegiado: Las soluciones que incorporan un proceso de verificación integral para confirmar la validez de los intentos de inicio de sesión brindan mayor protección en comparación con las VPN tradicionales, que normalmente solo requieren una contraseña. "Una característica de seguridad de IAM [gestión de identidad y acceso] es que la actividad de la sesión y los privilegios de acceso están conectados al usuario individual, por lo que los administradores de red pueden estar seguros de que cada usuario tiene acceso autorizado y puede rastrear cada sesión de red”, afirma Grunden. "Las soluciones de IAM también suelen proporcionar niveles adicionales de acceso para que los usuarios solo puedan acceder a los recursos para los que están autorizados”.
Si bien esta opción de VPN alternativa o emparejada administra los protocolos de identidad que permiten un monitoreo de la actividad más granular, no brinda protecciones adicionales para las credenciales privilegiadas. Para administrar de forma segura las credenciales de las cuentas privilegiadas, se necesita la administración de acceso privilegiado (PAM, por sus siglas en inglés), agrega Grunden. "Si la gestión de la identidad establece la identidad de los usuarios individuales y los autoriza, las herramientas PAM se centran en la gestión de credenciales privilegiadas que acceden a sistemas y aplicaciones críticos con un mayor nivel de atención y escrutinio”.
Estas cuentas de alto nivel deben administrarse y monitorearse de cerca, ya que presentan el mayor riesgo para la seguridad y son objetivos de peso para los criminales debido a las capacidades administrativas que permiten. "Los beneficios clave de una solución PAM incluyen seguridad avanzada de credenciales, como la rotación frecuente de contraseñas complejas, la ofuscación de contraseñas, el control de acceso a datos y sistemas, así como el monitoreo de la actividad del usuario”, afirma Grunden. "Estas características reducen la amenaza del uso no autorizado de credenciales privilegiadas y facilita a los administradores de TI detectar operaciones sospechosas o riesgosas”.
6. Herramientas unificadas de gestión de terminales: El acceso condicional a través de herramientas de administración unificada de terminales (UEM, por sus siglas en inglés) puede proporcionar una experiencia sin VPN a través de capacidades de acceso condicional, mediante las cuales un agente que ejecuta el dispositivo evaluará varias condiciones antes de permitir que una persona acceda a un recurso en particular, afirma Andrew Hewitt, analista senior de Forrester. "Por ejemplo, la solución puede evaluar el cumplimiento de los dispositivos, la información de identidad y el comportamiento del usuario para determinar si esa persona puede acceder a los datos de la empresa. A menudo, los proveedores de UEM se integrarán con los proveedores de ZTNA para mayor protección.
7. Infraestructura del desktop virtual o desktop como servicio: La infraestructura de desktop virtual (VDI, por sus siglas e inglés) o las soluciones de desktop como servicio "transmiten esencialmente la computación desde la nube (o desde un servidor on premises) para que nada resida localmente en el dispositivo”, explica Hewitt. A veces, las organizaciones usan esto como una alternativa a la VPN, pero todavía es necesario realizar comprobaciones a nivel del dispositivo junto con la autenticación del usuario para asegurar el acceso, agrega. "Sin embargo, el beneficio de esto es que no se pueden copiar datos de la sesión virtual en un cliente local, a diferencia de la VPN tradicional”.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
Puede ver también: