El papel de un líder de ciberseguridad en la reducción de riesgos siempre debe estar claramente definido, pero con demasiada frecuencia en nuestro negocio, parece que no estamos haciendo lo suficiente. El riesgo está en todas partes hoy en día, con ataques que parecen llegar a nuestras empresas desde todos los ángulos: ransomware, phishing, ingeniería social y un número cada vez mayor de vulnerabilidades que pueden explotarse.
Limitar el riesgo que plantean estas y otras amenazas es una tarea difícil. Lo más prudente es asegurarse de que su empresa asigna los recursos adecuados para vigilar y mitigar el riesgo, y de que usted y su equipo se informan sobre los últimos métodos y vectores de ataque.
Pero los mejores planes contra el riesgo empiezan en el perímetro: si no es consciente de todos y cada uno de los riesgos de su acceso periférico, no está reduciendo el riesgo.
Para empezar, no utilice software de redes privadas virtuales (VPN) obsoleto o vulnerable ni otras herramientas de acceso periférico que puedan ser fácilmente atacadas. Es fundamental contar con algún tipo de proceso para identificar problemas de seguridad en su software de acceso remoto y estar preparado, si es necesario, para tomar la difícil decisión de cerrar el acceso remoto en caso de que se identifique una vulnerabilidad para la que no haya un parche disponible.
Asegúrese de que dispone de métodos para comunicar estas decisiones difíciles y de que las partes interesadas entienden por qué está activando la alarma de incendios y limitando el acceso si es necesario.
Considere la posibilidad de deshacerse de SSL o VPN basada en web
Si no tiene la capacidad de gestionar o mantener nodos remotos, al menos asegúrese de que está pasando a algún tipo de mecanismo para gestionar y mantener este software de acceso remoto. Si sólo tiene acceso a una herramienta de aplicación de parches local, como los servicios de Windows Software Update, es posible que tenga que invertir en soluciones en la nube, como herramientas de aplicación de parches de terceros o Intune, para mantener los activos remotos.
Pero, ¿basta con aplicar parches? En los últimos años, las VPN SSL basadas en web han sido blanco de ataques y se han utilizado para obtener acceso remoto. Es posible que desee considerar la posibilidad de evaluar la forma en que su empresa permite el acceso remoto y la frecuencia con la que su solución VPN ha sido atacada o ha estado en peligro.
El Centro Nacional Noruego de Ciberseguridad (NCSC) ha llegado incluso a recomendar la sustitución de las VPN SSL o basadas en web, tras haber observado y alertado durante mucho tiempo sobre vulnerabilidades críticas en las soluciones VPN que utilizan secure socket layer/transport layer security (SSL/TLS), a menudo conocidas como SSLVPN, WebVPN o clientless VPN.
"La gravedad de las vulnerabilidades y la explotación repetida de este tipo de vulnerabilidades por parte de los actores hace que el NCSC recomiende sustituir las soluciones para el acceso remoto seguro que utilizan SSL/TLS por alternativas más seguras", afirma la autoridad. "El NCSC recomienda el protocolo de seguridad de Internet (IPsec) con intercambio de claves de Internet (IKEv2). Las autoridades de otros países han recomendado lo mismo".
El NCSC continúa sugiriendo que es probable que en el futuro se descubran nuevas vulnerabilidades de día cero en la categoría de productos SSLVPN. "Hay que destacar que las soluciones que utilizan IPsec con IKEv2 también pueden tener vulnerabilidades, pero esta elección tecnológica se traduce en una menor superficie de ataque y un menor grado de tolerancia a fallos en la configuración de la solución."
Recuerde que la redistribución de este tipo de acceso remoto también puede introducir riesgos para una organización y planifique en consecuencia para limitar el acceso a ubicaciones y zonas geográficas conocidas durante el proceso.
Deje de almacenar contraseñas en lugares inapropiados
Periódicamente vemos noticias y titulares en los que se informa de que alguien ha sufrido una brecha de seguridad debido a un almacenamiento inadecuado de credenciales. En el afán por garantizar la finalización de un proyecto, a menudo no protegemos esta información.
Cuando estas credenciales se comparten de una manera en la que están codificadas o almacenadas en una plataforma de almacenamiento inadecuada, con demasiada frecuencia los atacantes podrán acceder a estas credenciales y, por extensión, a la red.
Presta especial atención a cómo se protegen del acceso no autorizado las credenciales a las que es necesario acceder. Asegúrate de que utilizas los procesos de mejores prácticas para asegurar las contraseñas y asegúrate de que cada usuario tiene las contraseñas apropiadas y el acceso correspondiente. GitHub recomienda lo siguiente:
Utiliza un gestor de contraseñas para generar una contraseña de al menos 15 caracteres.
Genera una contraseña única para GitHub. Si utiliza su contraseña de GitHub en otro lugar y ese servicio se ve comprometido, los atacantes u otros actores maliciosos podrían utilizar esa información para acceder a su cuenta en GitHub.com.
Configure la autenticación de dos factores para su cuenta personal.
Opcionalmente, añada una clave de acceso a su cuenta para permitir un inicio de sesión seguro y sin contraseña.
Nunca comparta su contraseña, ni siquiera con un posible colaborador. Cada persona debe utilizar su propia cuenta personal en GitHub.
Revise quién tiene acceso a sus activos en la nube
Recientemente, incluso Microsoft ha sido víctima de un uso indebido de las credenciales OAuth. Cuando utilices servicios en la nube, debes asegurarte de que solo los proveedores en los que confías o que has investigado a fondo tienen acceso a tus servicios en la nube. Configure siempre Microsoft 365 para asegurarse de que existe algún tipo de proceso de aprobación de autenticación para cualquier aplicación de terceros que se añada a sus servicios en la nube.
Tener un proceso para revisar regularmente qué aplicaciones han sido aprobadas y si siguen siendo dignas de ser una aplicación en su organización es una necesidad. Si utiliza consultores, analice qué aplicaciones tienen acceso a sus activos y, a su vez, tienen acceso a sus activos.
Revise la guía de Microsoft para investigar aplicaciones maliciosas y comprometidas y realice los pasos en su entorno ahora, incluso antes de que se haya producido un incidente.
Como señala Microsoft, es conveniente "auditar el nivel actual de privilegios de todas las identidades, usuarios, principales de servicio y aplicaciones de Microsoft Graph Data Connect (utilice el portal de autorización de Microsoft Graph Data Connect), para comprender qué identidades tienen privilegios elevados".
Simplemente tiene sentido que los privilegios de las entidades desconocidas y las identidades que ya no se utilizan o que no son aptas para su propósito se examinen más de cerca. Como señala Microsoft, "a menudo se pueden conceder privilegios a las identidades por encima de lo necesario". Los defensores deben prestar atención a las aplicaciones con permisos solo para aplicaciones, ya que esas aplicaciones pueden tener acceso con privilegios excesivos."
Fuente: CSO
Comments