[10/05/2023] Las redes privadas virtuales (VPN, por sus siglas en inglés), que en su día eran el elemento básico para proteger a los empleados que trabajaban a distancia, se diseñaron para proporcionar acceso seguro a los datos y sistemas corporativos a un pequeño porcentaje de la planilla, mientras la mayoría trabajaba dentro de los límites tradicionales de la oficina. El paso al trabajo remoto masivo que supuso COVID-19 a principios del 2020 cambió las cosas radicalmente. Desde entonces, se ha convertido en la norma que un gran número de empleados trabajen regularmente desde casa, y muchos sólo van a la oficina esporádicamente (si es que van).
Las VPN son insuficientes para el trabajo remoto y el panorama híbrido, y una dependencia excesiva de ellas para proteger a un gran número de empleados que trabajan desde casa plantea riesgos significativos. "En un principio, las VPN ayudaban a las empresas a gestionar a unos pocos empleados o contratistas externos que necesitaban acceso remoto a determinados sistemas mientras trabajaban a distancia", explica Joseph Carson, científico jefe de seguridad y CISO asesor de ThycoticCentrify. Añade que también ha provocado impactos negativos en la productividad de los empleados y en la experiencia de los usuarios, todo ello sumado a una mayor fricción.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"El uso de VPN a tan gran escala nunca se podría haber previsto, y ha creado una pesadilla de seguridad para los equipos de TI, ya que ha ampliado la superficie de posibles ataques", afirma el jefe de investigación de amenazas de Netacea, Matthew Gracey-McMinn.
"Con la pandemia de COVID-19, la mayoría de las empresas se vieron obligadas a adaptarse rápidamente a un entorno de trabajo totalmente remoto, y algunas de ellas lo hicieron de forma insegura, limitándose a desplegar soluciones VPN genéricas para permitir a sus empleados acceder a los mismos sistemas desde sus casas y confiando ciegamente en sus dispositivos", afirma Felipe Duarte, investigador de seguridad de Appgate.
Dado que el trabajo remoto e híbrido va a ser la norma en el futuro inmediato, es vital que las organizaciones no sólo reconozcan las deficiencias y los riesgos de las VPN en la era del trabajo remoto, sino que también comprendan cómo las opciones alternativas pueden asegurar mejor el futuro del trabajo remoto e híbrido.
Deficiencias de las VPN para el trabajo remoto
Como las VPN suelen ampliar la red de una organización, si la red en la que está el usuario es insegura, hay más posibilidades de que un atacante la aproveche, afirma Sean Wright, responsable de seguridad de aplicaciones de Immersive Labs. "Las redes domésticas tienen más vulnerabilidades de seguridad, por lo que este riesgo es mayor", añade.
El CISO de Wave Money, Dominic Grunden, señala otra deficiencia: el hecho de que las VPN sólo proporcionan cifrado para el tráfico que pasa entre dos puntos, lo que requiere una pila de seguridad completa independiente que debe desplegarse en un extremo de cada conexión VPN para la inspección del tráfico. "Se trata de un requisito cada vez más difícil de cumplir cuando los recursos de la empresa se alojan cada vez más en la nube y los trabajadores remotos acceden a ellos. Las VPN tampoco proporcionan una vía para asegurar el acceso de terceros, que es quizás el eslabón de ataque más débil".
Gracey-McMinn afirma que la mayoría de las VPN ofrecen una seguridad mínima con cifrado de tráfico y a menudo no imponen el uso de la autenticación multifactor (MFA). "Si lacomputadora de un miembro del personal ha sido comprometido mientras trabaja en casa, esto podría llevar a un actor malicioso a obtener acceso a la red de una empresa a través de la VPN utilizando las credenciales del personal, lo que le otorgaría un acceso de confianza total, una actividad con menos probabilidades de ser detectada por un equipo de seguridad debido a no tener una capa de pila de seguridad completa mientras se trabaja desde casa".
Esto se observó en el reciente ataque del ransomware Colonial Pipeline, sostiene Duarte. "En ese caso, los atacantes obtuvieron acceso a la red interna simplemente utilizando credenciales comprometidas de nombre de usuario y contraseña para un dispositivo VPN inseguro". También señala casos de atacantes que apuntan y explotan vulnerabilidades conocidas de dispositivos VPN. "Más recientemente, hemos observado la explotación de CVE-2021-20016 (que afecta a SonicWall SSLVPN) por el grupo de ciberdelincuentes DarkSide, y también CVE-2021-22893 (que afecta a Pulse Secure VPN) explotada por más de 12 cepas de malware diferentes".
Otro problema importante es el de los dispositivos infectados con malware y sin parches. "Este escenario suele estar relacionado con malware de origen humano, como botnets, backdoors y RAT [troyanos de acceso remoto]", explica Duarte. "El atacante crea una conexión remota con el dispositivo y, una vez conectada la VPN, el malware puede hacerse pasar por el usuario, acceder a todos los sistemas a los que tiene acceso y propagarse por la red interna".
Wright está de acuerdo y añade que los dispositivos sólo van a ser suficientemente seguros si se actualizan activamente. "Puede tener la conexión VPN más segura del mundo, pero si el dispositivo no está suficientemente parcheado representará un riesgo para tu organización, y la conexión VPN hará poca diferencia".
Las VPN también presentan importantes inconvenientes desde el punto de vista de la usabilidad y la productividad, afirma Grunden. "Una queja habitual sobre las VPN es cómo reducen la velocidad de la red, porque las VPN desvían las peticiones a través de un servidor diferente, por lo que es inevitable que la velocidad de conexión no siga siendo la misma debido al aumento de la latencia de la red". Además, a veces surgen otros problemas de rendimiento relacionados con el uso de kill switches y DHCP. "La seguridad que proporcionan las VPN, aun siendo necesaria, suele venir acompañada de una complejidad excesiva, sobre todo para las organizaciones que utilizan VPN empresariales", añade.
Alternativas seguras a las VPN para el trabajo remoto
Tanto si se trata de sustituir las VPN por completo como de complementarlas con otras opciones, las organizaciones deben reconocer y aplicar métodos de seguridad alternativos más adecuados para proteger el trabajo remoto masivo. Cuáles y cuántas de estas estrategias puede explorar una empresa variará en función de varios factores, como la postura y el apetito de riesgo. Sin embargo, los expertos en seguridad coinciden en que las siguientes son las que tienen más probabilidades de ser universalmente eficaces para las empresas.
1. Acceso a la red de confianza cero: El acceso a la red de confianza cero (ZTNA, Zero Trust Network Access) es esencialmente un acceso intermediado a aplicaciones y datos en la red. Los usuarios y dispositivos son cuestionados y confirmados antes de que se les conceda el acceso. "Lo que hay que hacer es adoptar una mentalidad de confianza cero, asumiendo siempre que un dispositivo o una cuenta de empleado pueden estar comprometidos", anota Duarte.
Grunden explica que "los métodos de confianza cero son capaces de realizar las funciones básicas de una VPN, como conceder acceso a determinados sistemas y redes, pero con una capa añadida de seguridad en forma de acceso con menos privilegios (hasta las aplicaciones específicas), autenticación de identidad, verificación de empleo y almacenamiento de credenciales".
Como resultado, si un atacante logra infectar un sistema, el daño se limita sólo a lo que este sistema tiene acceso, dice Duarte. "Además, asegúrese de implementar soluciones de monitoreo de red para detectar comportamientos sospechosos, como una máquina infectada haciendo un escaneo de puertos, para que pueda generar automáticamente una alerta y apagar el sistema infectado", agrega.
2. Borde de servicio de acceso seguro (SASE): Con un modelo ZTNA, según Gracey-McMinn, cada usuario y dispositivo será verificado y comprobado antes de que se le permita el acceso, no sólo a nivel de red, sino también a nivel de aplicación. Sin embargo, la confianza cero es sólo una parte de la solución del problema y no puede supervisar todo el tráfico de un extremo a otro, añade. "SASE [secure access service edge] resuelve ese problema. Como modelo basado en la nube, SASE combina las funciones de red y seguridad como un servicio de arquitectura única, lo que permite a una empresa unificar su red en un punto singular desde una pantalla".
Grunden afirma que SASE es una solución moderna diseñada para satisfacer las necesidades de rendimiento y seguridad de las organizaciones de hoy en día, ofreciendo una gestión y operación simplificadas, menores costos y una mayor visibilidad y seguridad con las capas adicionales de funcionalidad de red, así como la arquitectura de seguridad nativa en la nube subyacente. "En última instancia, SASE proporciona a los equipos de TI, así como a toda la fuerza de trabajo de una empresa, la flexibilidad para funcionar de forma segura en la nueva normalidad de este mundo COVID de trabajo en cualquier lugar, cibernético en todas partes", afirma.
3. Perímetro definido por software: A menudo implementado dentro de estrategias más amplias de confianza cero, un perímetro definido por software (SDP, por sus siglas en inglés) es un límite de red basado en software en lugar de hardware, y es un sustituto eficaz de las soluciones VPN clásicas, sostiene Duarte. "Esto le permite no sólo utilizar autenticación multifactor y segmentar tu red, sino que puede perfilar el usuario y el dispositivo que se conecta, y crear reglas para permitir el acceso sólo a lo que realmente necesita según los diferentes escenarios".
SDP también te facilita bloquear el acceso a los recursos una vez que se detecta un comportamiento sospechoso en su red, aislando eficazmente las amenazas potenciales, minimizando el daño causado en un ataque y manteniendo la productividad en caso de un falso positivo, en lugar de desactivar completamente el dispositivo y hacer que un usuario no pueda realizar ningún trabajo significativo, añade Duarte.
4. Redes de área extensa definidas por software: Las VPN dependen de un modelo centrado en el router para distribuir la función de control por la red, donde los routers enrutan el tráfico basándose en las direcciones IP y las listas de control de acceso (ACL, por sus siglas en inglés). Las redes de área extensa definidas por software (SD-WAN), sin embargo, se basan en un software y una función de control centralizada que pueden dirigir el tráfico a través de la WAN de forma más inteligente, gestionando el tráfico en función de los requisitos de prioridad, seguridad y calidad de servicio según las necesidades de la organización, afirma Grunden.
"Los productos SD-WAN están diseñados para sustituir los routers físicos tradicionales por software virtualizado que puede controlar las políticas a nivel de aplicación y ofrecer una superposición de red. Además, SD-WAN puede automatizar la configuración en curso de los routers de borde WAN y ejecutar el tráfico a través de un híbrido de banda ancha pública y enlaces MPLS privados", afirma Grunden. De este modo se crea una red de borde empresarial con menos costes, menos complejidad, más flexibilidad y mejor seguridad".
5. Gestión de identidades y accesos y gestión de accesos privilegiados: Las soluciones que incorporan un proceso de verificación exhaustivo para confirmar la validez de los intentos de inicio de sesión proporcionan una mayor protección en comparación con las VPN tradicionales, que normalmente sólo requieren una contraseña. "Una característica de seguridad de IAM [gestión de identidades y accesos] es que la actividad de la sesión y los privilegios de acceso están conectados al usuario individual, por lo que los administradores de red pueden estar seguros de que cada usuario tiene acceso autorizado y pueden realizar un seguimiento de cada sesión de red", señala Grunden. "Las soluciones IAM también suelen proporcionar niveles adicionales de acceso para que los usuarios sólo puedan acceder a los recursos que están autorizados a utilizar".
Aunque esta alternativa VPN u opción emparejada gestiona los protocolos de identidad permitiendo un seguimiento más granular de la actividad, no proporciona protecciones adicionales para las credenciales privilegiadas. Para gestionar de forma segura las credenciales de las cuentas privilegiadas, se necesita una gestión de acceso privilegiado (PAM), añade Grunden. "Si la gestión de identidades establece la identidad de los usuarios individuales y los autoriza, las herramientas PAM se centran en la gestión de credenciales privilegiadas que acceden a sistemas y aplicaciones críticos con un mayor nivel de cuidado y escrutinio".
Estas cuentas de alto nivel deben ser gestionadas y supervisadas de cerca, ya que presentan el mayor riesgo para la seguridad y son un objetivo difícil para los malos actores debido a las capacidades administrativas que permiten. "Las principales ventajas de una solución PAM son la seguridad avanzada de las credenciales, como la rotación frecuente de contraseñas complejas, la ofuscación de contraseñas, el control de acceso a sistemas y datos, y la supervisión de la actividad de los usuarios", afirma Grunden. "Estas características reducen la amenaza del uso no autorizado de credenciales privilegiadas y facilitan a los responsables de TI la detección de operaciones sospechosas o de riesgo".
6. Herramientas unificadas de gestión de endpoints: El acceso condicional a través de herramientas de gestión unificada de puntos finales (UEM, por sus siglas en inglés) puede proporcionar una experiencia sin VPN a través de capacidades de acceso condicional, por las que un agente que se ejecuta en el dispositivo evaluará varias condiciones antes de permitir que una persona acceda a un recurso en particular, sostiene Andrew Hewitt, analista senior de Forrester. "Por ejemplo, la solución puede evaluar la conformidad del dispositivo, la información de identidad y el comportamiento del usuario para determinar si esa persona puede realmente acceder a los datos de la empresa". A menudo, los proveedores de UEM se integran con los de ZTNA para una mayor protección.
7. Infraestructura de escritorio virtual o escritorio como servicio: Las soluciones de infraestructura de escritorio virtual (VDI) o de escritorio como servicio "básicamente transmiten computación desde la nube (o desde un servidor local), de modo que nada reside localmente en el dispositivo", explica Hewitt. A veces, las organizaciones lo utilizan como alternativa a la VPN, pero sigue siendo necesario realizar comprobaciones a nivel de dispositivo junto con la autenticación del usuario para asegurar el acceso, añade. "Sin embargo, la ventaja es que no se pueden copiar datos de la sesión virtual a un cliente local, a diferencia de la VPN tradicional".
Los proveedores invierten en enfoques distintos de la VPN para la seguridad híbrida
Los proveedores de seguridad están invirtiendo en muchos de los enfoques de seguridad híbrida no VPN descritos anteriormente, con algunos ejemplos recientes notables. En mayo del 2023, AWS anunció el lanzamiento de AWS Verified Access, que permite a los clientes proporcionar acceso seguro y sin VPN a sus aplicaciones corporativas. Construido utilizando los principios de AWS Zero Trust, Verified Access tiene como objetivo ayudar a los clientes a reducir los riesgos asociados con la conectividad remota. Permite a los administradores de TI y desarrolladores definir el acceso de grano fino por aplicación utilizando señales contextuales en tiempo real, incluyendo la identidad y la postura del dispositivo, junto con dar a los clientes la capacidad de gestionar las políticas para cada aplicación en un solo lugar, indicó AWS.
Verified Access admite la integración con AWS Web Application Firewall (WAF) para proteger las aplicaciones web de las amenazas de la capa de aplicación y el paso del contexto de identidad firmado a los puntos finales de la aplicación, según AWS. AWS dijo que los casos de uso incluyen:
- Asegurar a los usuarios distribuidos evaluando cada solicitud en tiempo real frente a requisitos de seguridad predefinidos para facilitar el acceso seguro a las aplicaciones.
- Gestionar el acceso a las aplicaciones corporativas con políticas de acceso que utilicen señales de seguridad como la identidad del usuario y el estado de seguridad del dispositivo.
- Evaluar las solicitudes de acceso y registrar los datos de las solicitudes, acelerando el análisis y la respuesta a los incidentes de seguridad y conectividad.
En abril del 2023, Netskope se comprometió a retirar el 100% de las VPN heredadas con el lanzamiento de ZTNA Next, un servicio totalmente integrado que tiene como objetivo proporcionar un camino claro hacia la sustitución completa de las VPN de acceso remoto para todos los casos de uso de acceso a aplicaciones. El proveedor afirma que reduce la superficie de ataque digital, mejora la postura de seguridad con principios de confianza cero y aumenta la productividad de los trabajadores remotos con una experiencia de acceso a aplicaciones optimizada y sin interrupciones.
Netskope también ha presentado Netskope Endpoint SD-WAN, una oferta SASE basada en software "pionera en el sector" que hace converger las capacidades SD-WAN y Security Service Edge (SSE). Afirmó que las organizaciones pueden utilizar Netskope Endpoint SD-WAN para reducir el coste y la complejidad del trabajo híbrido, simplificando la conectividad, eliminando la dispersión de múltiples clientes y productos puntuales, y preservando el rendimiento de la red a escala.
Los beneficios clave de Endpoint SD-WAN incluyen una arquitectura unificada y una política consistente consciente del contexto, proporcionando a cada usuario remoto, dispositivo y sitio un acceso simple, seguro y de alto rendimiento a entornos híbridos y multi-nube, según Netskope. También cuenta con operaciones impulsadas por IA, conectividad de alto rendimiento para aplicaciones críticas de voz, vídeo y datos, y experiencia de usuario optimizada.
En abril del 2023, el proveedor de ciberseguridad Inside-Out Defense salió del anonimato con el lanzamiento de una nueva plataforma de detección y corrección de abusos de acceso privilegiado. La plataforma SaaS, sin agentes, es compatible con todos los entornos y aplicaciones, y complementa las soluciones existentes de identidad e IAM, PAM e identidad personalizada, según la firma.
Inside-Out Defense dijo que las características clave de la plataforma incluyen:
- Remediación de abuso de privilegios mediante la detección de comportamientos de abuso de acceso en tiempo real y proporcionando remediación en línea de acceso malicioso a privilegios a través de un interruptor de corte.
- Un perfil de 360 grados de las solicitudes de acceso malintencionadas, su contexto e intención, que ofrece una visión en tiempo real de la postura de acceso de la organización.
- La cobertura en todos los entornos de la organización incluye infraestructura (en la nube y en las instalaciones), aplicaciones (SaaS, gestionadas, no gestionadas), API y usuarios humanos y no humanos.
En marzo del 2023, el proveedor de ciberseguridad Palo Alto Networks anunció nuevas funciones SD-WAN en su solución Prisma SASE para la seguridad de dispositivos IoT y para ayudar a los clientes a cumplir los requisitos de seguridad específicos del sector. Prisma SD-WAN con seguridad IoT integrada permite la detección e identificación precisas de dispositivos IoT de sucursales, declaró Palo Alto Networks. Permite a los clientes habilitar controles de seguridad desde la conocida gestión en la nube para Prisma SASE sin necesidad de desplegar dispositivos y sensores adicionales en la red para obtener visibilidad de los dispositivos IoT y prevenir amenazas.
Prisma SD-WAN proporciona visibilidad adicional en el tráfico dentro de la sucursal, lo que permite a Prisma Access proporcionar un inventario IoT rico y preciso, al tiempo que garantiza que los dispositivos IoT están saliendo del tráfico de aplicaciones de la sucursal en el tejido SD-WAN cifrado a Prisma Access, donde son inspeccionados para garantizar la confianza cero, señaló Palo Alto Networks.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú