Un cambio no planificado y rápido al trabajo remoto está obligando inadvertidamente a las empresas a relajar los controles de ciberseguridad. Los CIO y CISO deben trabajar rápidamente para contrarrestar los riesgos antes de que los delincuentes los aprovechen.
Los ciberatacantes son ingeniosos y oportunistas. Se moverán rápidamente para aprovechar una situación. COVID-19 no es diferente.
Hay una gran cantidad de incertidumbre global y cambios en este momento que los delincuentes buscan capitalizar. Los riesgos se ven amplificados por los desafíos de TI inmediatos e imprevistos que las empresas tienen para garantizar que su personal pueda trabajar desde casa.
Hay dos áreas que tienen más probabilidades de provocar un incidente de ciberseguridad debido a la crisis actual: acceso remoto y phishing. Cubriremos ambos en este artículo y proporcionaremos un conjunto de recomendaciones priorizadas para prevenir de manera expedita, o al menos mitigar, estos problemas críticos.
Acceso remoto
Por acceso remoto, me refiero a las innumerables formas en que las organizaciones permiten que sus empleados trabajen desde casa. Estos van desde los servicios de acceso remoto “tradicionales” obvios, como las puertas de enlace de servicios de VPN y terminales, así como las conferencias nativas de la nube y otras herramientas de colaboración que las organizaciones de todo el mundo están adoptando rápidamente.
El riesgo clave es una autenticación débil de sus servicios de acceso remoto.
Las organizaciones han estado luchando durante años para garantizar que los servicios (particularmente cuando se enfrentan a Internet) estén protegidos por la autenticación multifactor (MFA) y solo sean accesibles con cuentas corporativas administradas centralmente (generalmente en Active Directory, Azure u Okta).
Hacer esto bien es un verdadero desafío en el mejor de los casos y requiere que el personal de TI tenga un conocimiento complejo de SAML, OpenID y varias otras tecnologías y estándares que respaldan nuestra gestión de identidad moderna.
Esto, por supuesto, está por encima de todas las tecnologías heredadas (LDAP, RADIUS, Kerberos, etc.) que todavía están en su lugar para admitir la autenticación en arquitecturas tradicionales.
Inicie una crisis global con los equipos de TI de todo el mundo luchando por mantener los servicios accesibles y es obvio que la complejidad de la federación de identidad y las reclamaciones de MFA no serán lo más importante.
Esto es perfectamente comprensible y, en la mayoría de los casos, tomar el riesgo de obtener servicios en línea es absolutamente la decisión correcta. Con los negocios luchando por sobrevivir, la continuidad y la disponibilidad del negocio deben tener prioridad.
Esto es perfectamente comprensible y, en la mayoría de los casos, tomar el riesgo de obtener servicios en línea es absolutamente la decisión correcta. Con los negocios luchando por sobrevivir, la continuidad y la disponibilidad del negocio deben tener prioridad. Los problemas de seguridad ocurren por un par de razones. En primer lugar, los cambios que se realizan rápidamente en la línea del frente pueden no ser vistos o entendidos por los líderes de la organización mejor ubicados para evaluar el riesgo resultante.
En segundo lugar, incluso cuando se realizaron evaluaciones de riesgos, las premisas originales probablemente ya no sean correctas. Hace solo unas semanas esperábamos que todo volviera a la normalidad en aproximadamente un mes. Ahora se está volviendo muy claro que esta nueva realidad puede ser a largo plazo y que la ventana de exposición resultante de servicios mal protegidos podría extender meses o incluso años.
Además, va a ser muy difícil para la organización volver a los modelos de trabajo anteriores una vez que los empleados se den cuenta de que puede trabajar desde su casa de manera muy efectiva.
En resumen, las organizaciones no deben suponer que podrán eliminar rápidamente todos estos riesgosos servicios de Internet. En cambio, necesitan descubrir cómo asegurarlos.
¿Qué deben hacer los líderes de TI y seguridad?
Hay soluciones a largo y corto plazo. Las soluciones a largo plazo se reducen a un enfoque de confianza cero. No hay duda de que esta crisis acelerará el cambio hacia arquitecturas de confianza cero.
Lamentablemente, las organizaciones no pueden ni deben apresurarse en esta dirección, ya que requiere una gran inversión en infraestructura de TI y cambios en la mentalidad de la organización para ejecutarse con éxito.
Las organizaciones deberían centrar sus esfuerzos en reducir el riesgo tácticamente lo más rápido posible. Principalmente, esto significa garantizar servicios clave protegidos con MFA por cualquier medio posible.
Esto se aborda mejor por servicio. Las organizaciones necesitan identificar qué servicios están en mayor riesgo y son más valiosos para sus adversarios. Para las organizaciones con infraestructura local y seguridad tradicional basada en el perímetro, es probable que se trate de VPN y otras puertas de enlace de acceso remoto.
Para las organizaciones con infraestructura en la nube, el enfoque debe ser su proveedor de identidad (más comúnmente Azure u Okta). Como punto central para la autenticación, simplemente habilitando MFA aquí obtendrá la mayor y más rápida victoria, especialmente porque tanto Azure como Okta han integrado capacidades MFA e integraciones con proveedores de terceros populares como Duo.
Las organizaciones que no han logrado centralizar las identidades de la nube deberán analizar aplicaciones específicas y ver si ofrecen sus propias capacidades MFA. Los sistemas de correo, colaboración, CRM y ERP son los lugares obvios para comenzar.
Considere también los servicios altamente críticos pero menos accesibles, como sus herramientas de administración de seguridad. Este artículo de Knowledge Base lo guía a través de la configuración de MFA en nuestra plataforma de seguridad de Sophos Central.
Hacer compensaciones difíciles
Incluso estas opciones tácticas no son fáciles y será necesario llegar a compromisos. El balance exacto de las compensaciones será diferente para cada organización, pero aquí hay algunas consideraciones:
Capacidad de VPN
Hacer compensaciones difíciles Incluso estas opciones tácticas no son fáciles y será necesario llegar a compromisos. El balance exacto de las compensaciones será diferente para cada organización, pero aquí hay algunas consideraciones: Capacidad de VPN Si está retrocediendo el tráfico del cliente para que se elimine, permitir que las “VPN divididas” (donde los clientes acceden directamente a Internet) sea la forma más rápida de ganar capacidad y probablemente sea menos riesgoso que exponer servicios internos blandos e inseguros directamente en línea.
Sin embargo, esto depende de que sus clientes tengan navegadores bien parcheados e, idealmente, protección web basada en puntos finales. También tenga en cuenta que si tiene servicios SaaS que dependen de clientes que provienen de direcciones IP corporativas conocidas, no simplemente desactive ese control, ¡reemplácelo con MFA!
MFA centralizado frente a descentralizado
Adjuntar MFA a su proveedor de identidad permite una experiencia común en todas las aplicaciones. Indudablemente, esto es menos confuso para el personal y más fácil de implementar. También es una ruta mucho más larga si no tiene un servicio de identidad centralizado.
La adaptación de la identidad federada a una aplicación de producción existente puede ser realmente difícil, por lo que, tácticamente, puede ser más fácil habilitar las capacidades de MFA del proveedor de servicios.
Esto significa que el personal probablemente tendrá múltiples mecanismos de autenticación diferentes para navegar. No es ideal, pero no olvide que están acostumbrados a manejar esto cuando inician sesión en aplicaciones que no son de trabajo (banca por Internet, correo electrónico personal, etc.).
¡Todos están manejando muchos cambios en este momento, por lo que pueden ser más flexibles y resistentes de lo que cabría esperar!
MFA basado en SMS
Hay muchas inquietudes muy válidas sobre el MFA basado en SMS. También es la forma más simple y rápida de habilitar MFA, especialmente porque el personal probablemente esté familiarizado con él.
El MFA basado en SMS sigue siendo inmensamente mejor que ningún MFA. Si es la ruta más rápida para proteger su negocio, es muy probable que sea el lugar adecuado para comenzar. Solo asegúrese de tener un plan de migración hacia algo más seguro.
Contraseñas
Si está activando nuevos servicios (por ejemplo, videoconferencia) y no puede configurar la identidad federada, los empleados deberán recordar aún más contraseñas. El mayor riesgo con esto es la reutilización de contraseña.
No puede esperar razonablemente que los empleados recuerden docenas de contraseñas únicas. Un administrador de contraseñas es la mejor herramienta para solucionar este problema. Desafortunadamente, los administradores de contraseñas se acostumbran un poco y la experiencia de usuario puede ser muy confusa para el personal no técnico.
¡Simplemente intente encontrar una mejor solución, y cambie las contraseñas, antes de que el personal comience a viajar nuevamente!
Otras Consideraciones
Más allá de MFA, hay otros riesgos relacionados con el acceso remoto a tener en cuenta:
VPN y vulnerabilidades de puerta de enlace de acceso remoto
Parchear infraestructura crítica probablemente se siente arriesgado en este momento. Desafortunadamente, en los últimos meses ha habido algunas vulnerabilidades muy serias en los equipos comunes de acceso remoto.
Estas vulnerabilidades están siendo explotadas activamente por múltiples grupos criminales en este momento. Si tiene un servicio vulnerable, necesita parchearlo de inmediato. Solo tenga un plan de respaldo en caso de que el dispositivo no pueda parchear (especialmente si no puede obtener acceso físico).
Actualizaciones de seguridad de punto final
Verifique su infraestructura para asegurarse de que aún esté recibiendo actualizaciones de su proveedor de seguridad de punto final. Si tiene una administración basada en la nube (como Sophos Central), probablemente esté bien, pero si no, es esencial que sus clientes puedan acceder a los servicios de actualización.
Esto requiere verificar que su VPN permita el acceso a sus servidores de actualización (y que tenga capacidad). No olvides considerar a los clientes que pueden no conectarse regularmente a la VPN.
Ataques de phishing
Los ataques de phishing que utilizan COVID-19 como señuelo son el riesgo de ciberseguridad más visible e inmediato en la crisis actual.
Esto no es sorprendente, ya que hemos visto a atacantes usar eventos actuales como señuelo durante muchos años. Lamentablemente, los riesgos esta vez son mayores.
En primer lugar, todos están preocupados y manejan un cambio sin precedentes en su vida cotidiana. Las situaciones de alto estrés hacen que todos tengan hambre de información y menos probabilidades de evaluar objetivamente cualquier mensaje que reciban. En segundo lugar, los departamentos de TI y los proveedores de servicios nos bombardean a todos con mensajes legítimos sobre cambios en los servicios.
Combine estos problemas y no es realista esperar que los empleados identifiquen e informen con precisión todos los ataques. Debe suponer que algunos pasarán y que algunos miembros del personal serán engañados.
Aceptar esto le permite concentrarse en ser resistente a los ataques en lugar de esperar evitarlos. Ya hay muchos consejos sobre esto, así que cubriré brevemente los conceptos básicos:
AMF
¡La buena noticia es que ya hemos cubierto la defensa más importante! El phishing de credenciales, mediante el cual los atacantes ponen una página de inicio de sesión falsa para engañar al personal para que ingrese sus credenciales, es la forma más común de phishing MFA es una gran forma de defensa (aunque no siempre perfecta) contra esto *.
Conciencia
Esto sigue siendo importante. Al alentar los informes de phishing del personal, puede advertir a otros, y si tiene un equipo (o servicio) de operaciones de seguridad, incluso analizar el ataque para identificar indicadores o compromisos para alimentar los procesos de búsqueda de amenazas.
Endpoint y defensas de correo electrónico
Su software de seguridad tiene múltiples posibilidades de atrapar un ataque de phishing. Cuantas más posibilidades le des, mejor será la protección general:
Incluso puede negarse a recibir el correo electrónico, ya que sabe que proviene del spammer.
Puede escanear el correo electrónico y todos los archivos adjuntos y URL para bloquearlo.
El filtrado web puede bloquear las conexiones a sitios web maliciosos o detectar una carga útil maliciosa en el sitio.
El software de punto final puede detectar archivos y comportamientos maliciosos si todas las defensas anteriores fallan y el empleado termina ejecutando algo malicioso en su sistema.
Cuanto mejor configuradas y efectivas todas estas defensas, es menos probable que un atacante logre evadir todo.
Parchear
Las descargas automáticas son menos comunes hoy en día, pero siguen siendo un riesgo real. El parcheo de navegadores, clientes de correo y aplicaciones (como Microsoft Office) que se usan regularmente para abrir archivos adjuntos limitará los ataques realmente desagradables que dependen de una interacción mínima del usuario.
Por último, hay pocas razones para ejecutar complementos de navegador como Flash, Java, etc. hoy en día: deshabilítelos si es posible, es mucho más fácil y seguro que tratar de mantenerlos actualizados.
Conclusión
Los delincuentes ya se están aprovechando de COVID-19 en sus ataques cibernéticos, y el acceso remoto y la suplantación de identidad (phishing) son las dos áreas con mayor probabilidad de provocar un incidente de ciberseguridad.
Hemos cubierto una serie de pasos que puede seguir para mitigar este riesgo. También nos damos cuenta de que el tiempo es escaso, por lo que hemos compilado una lista de los siete pasos principales que recomendamos que tomen todas las organizaciones.
Se enumeran en orden de prioridad, así que comience en la parte superior y trabaje hacia abajo.
- Asegúrese de que todos los servicios de Internet estén protegidos con MFA (MFA basado en SMS es mejor que no MFA)
- Parchear los servicios de acceso remoto, en particular VPN y puertas de enlace de servicio de terminal.
- Monitoree los informes de phishing y haga que su equipo de operaciones o servicio MTR busque los COI asociados.
- Compruebe que los clientes remotos todavía reciben sus actualizaciones de seguridad de punto final.
- Asegúrese de que su sistema operativo, navegador, cliente de correo electrónico y software comúnmente utilizado para abrir archivos adjuntos esté configurado para actualizarse automáticamente.
- Deshabilite los complementos del navegador como Java, Flash y Acrobat.
- Use la federación de identidad para garantizar que se acceda a todos los servicios en la nube con credenciales corporativas.
Mantente vigilante. Es probable que los ataques relacionados con el coronavirus aumenten en las próximas semanas y meses.
SophosLabs rastrea activamente las amenazas relacionadas con el coronavirus y puede obtener las últimas actualizaciones en el blog de SophosLabs Uncut
* MFA en realidad puede ser una defensa cercana al 100% contra el phishing, pero deberá implementar, y solo permitir, tokens de hardware como Yubikeys como segundo factor.