Las 5 preguntas principales que las organizaciones deben hacer sobre sus conexiones VPN

Con muchas organizaciones que ahora dependen casi por completo de los servicios VPN, es más importante que nunca asegurarse de que los servidores VPN estén actualizados y bien configurados.

Muchas empresas están recurriendo a las VPN para proporcionar acceso remoto a los empleados durante la actual crisis de coronavirus.Estos servicios brindan acceso integral a los sistemas, aplicaciones y datos de la compañía, pero también son una pesadilla para los equipos de seguridad a la hora de mitigar los riesgos.Entonces, ¿qué preguntas deben hacerse los profesionales de seguridad cuando se trata de proteger las conexiones VPN?

1. ¿Cuántos años tiene mi servicio VPN actual?

Los servicios VPN se han convertido en un vector de ataque cada vez más popular en los últimos tiempos. No es solo la aparición del coronavirus lo que ha animado a los empleados de todo el mundo a trabajar desde casa. Es una opción de estilo de vida que se ha vuelto bastante común, que si bien proporciona una flexibilidad significativa, también proporciona a los ciberatacantes un servicio para atacar. Solo en 2019, los investigadores descubrieron una serie de nuevas vulnerabilidades en las VPN, incluida CVE-2019-14899, que permitió a los atacantes secuestrar sesiones de VPN, y la campaña iraní "Fox Kitten".

Estos descubrimientos, además de las vulnerabilidades conocidas existentes, solo enfatizan el hecho de que es más importante que nunca, ya que muchas organizaciones ahora dependen casi por completo de los servicios VPN, para asegurarse de que los servidores VPN estén actualizados y bien configurados.

2. ¿Qué tan alertas están mis empleados al engaño?

Es bien sabido que los atacantes aprovechan regularmente las situaciones de crisis, como la actual pandemia mundial de coronavirus, para atacar sus diversos objetivos a través de la ingeniería social. Esto se basa en la aceptación universal de que los empleados, más que cualquier sistema tecnológico, a menudo representan el eslabón más débil de la cadena de seguridad.

En un momento en que COVID-19 se está apoderando de nuestra conciencia, es fácil para los atacantes explotar las preocupaciones humanas y alimentarnos con información maliciosa, a menudo oculta detrás de consejos aparentemente legítimos sobre salud y bienestar, y así crear ataques masivos de phishing. Los anuncios de vacunas y los mensajes urgentes sobre actualizaciones del protocolo de la compañía sobre el coronavirus, por ejemplo, podrían causar que incluso los empleados que son conscientes del riesgo de ataques de phishing caigan en tales esquemas.

Por lo tanto, es vital crear conciencia y garantizar que los casos en los que un empleado se encuentra con un intento de phishing se denuncien de inmediato al personal relevante de la empresa.

3. ¿Dónde se conecta nuestro cliente VPN?

Un cliente VPN, una aplicación que generalmente se usa para conectarse a redes privadas virtuales, probablemente estará preconfigurado con el servidor VPN, aunque es posible configurarlo por dirección IP o por nombre.

El nombre del servidor VPN suele ser un registro del Sistema de nombres de dominio (DNS), una URL más estética que dirige al usuario a una dirección IP específica. En algunos casos, un atacante podría no atacar al cliente o servidor VPN directamente, sino al registro DNS en sí mismo, y usarlo para secuestrar o rastrear la sesión. Este último involucra a atacantes que capturan el tráfico de red entre un sitio web y un cliente que contiene una ID de sesión para obtener acceso no autorizado. Si su organización es vulnerable al secuestro de dominios, por ejemplo, si su organización ha utilizado un servicio en la nube en el pasado pero los registros DNS no se han eliminado, lo que significa que cualquiera puede reclamarlos, puede estar en una posición peligrosa.

Para mitigar este riesgo, vale la pena configurar la dirección IP de los servidores de su empresa directamente sin usar su nombre si es posible.

4. ¿Cómo se conectan mis empleados a Internet?

Por lo general, los empleados acceden a Internet a través de sus redes domésticas, utilizando Wi-Fi. ¿Cuándo fue la última vez que su equipo de TI visitó para verificar si esa red es segura? Las posibilidades son, nunca.

Como resultado, los ataques a Wi-Fi doméstico son comunes. A menudo son muy variados y simples: atacan protocolos WEP débilmente encriptados usando SSID y contraseñas predeterminados, o usando la vulnerabilidad WPA2 Krack (que aprovecha las debilidades en los estándares WiFi), Evil Twin (donde se configura un punto de acceso fraudulento a Wi-Fi para robar contraseñas, por ejemplo) y otras rutas establecidas.

Una vez que se han infiltrado en la red, un atacante interno podría, por ejemplo, usar su posición para realizar un ataque de falsificación de DNS que les permitirá secuestrar dominios. También podrían atacar directamente la computadora del empleado para descubrir información valiosa almacenada localmente. Desde esta posición, la ruta para infiltrarse en redes corporativas más amplias es corta y bastante sencilla.

La mejor manera de defenderse de esto desde una perspectiva corporativa es autorizar solo el uso de computadoras portátiles sobre las que los administradores de TI tienen control. Esto permite que los equipos de seguridad instalen las herramientas de seguridad apropiadas para detectar ese tipo de ataques de forma remota si es necesario.

5. ¿Las credenciales de inicio de sesión de VPN de mis empleados son lo suficientemente seguras y protegidas?

En muchas organizaciones, la política de cumplimiento de los permisos de conexión del sistema no es lo suficientemente sólida. Los equipos de seguridad deben recordar constantemente cuán lucrativas son las credenciales de inicio de sesión para los piratas informáticos. Por lo tanto, el uso de mecanismos de autenticación multifactor en los procesos de conexión e identificación debe considerarse crítico para la misión, debido a su capacidad para atacar vectores.

Por NIR CHAKO 4 de junio de 2020 14:05