Abril de 2020 - Con
la reciente implementación
repentina y apresurada de servicios de red privada virtual (VPN) para
soportar una avalancha de nuevos trabajadores remotos, muchas compañías
están descubriendo de primera mano los matices de las VPN que pueden
conducir a un mayor riesgo.
Identificamos
cuatro áreas de riesgo principales: arquitectura de red general,
control de acceso, denegación de servicio y puntos finales.
Arquitectura de red y preocupaciones de topología
Incluso
en empresas con implementaciones exitosas de VPN, solo un pequeño
subgrupo de personal, como vendedores remotos y personal de operaciones
de TI, utilizan
la VPN, lo que nos lleva a la primera preocupación inmediata: el
conjunto de direcciones IP que usan las VPN para conectar a los usuarios
a la red local. Por lo general, estos grupos son relativamente
pequeños, en comparación con las direcciones IP utilizadas
en la red local.
Para
proporcionar casi el 100% de la fuerza de trabajo remota, las empresas
deben asignar miles o incluso cientos de miles de direcciones IP más a
los grupos
de VPN y, según su topología de red interna, pueden tener que buscar
direcciones IP de los antiguos bloques asignados localmente.
En
segundo lugar, mientras se conecta a una VPN en una ubicación central
de la empresa (como la sede de una empresa) puede funcionar lo
suficientemente bien
para el personal de operaciones o el personal de ventas, el cambio de
grandes poblaciones de usuarios que generalmente trabajan en oficinas
remotas puede introducir una latencia de red inaceptable. El gran salto
en el número de usuarios activos colocará una
mayor carga en los sistemas VPN centralizados. Idealmente, una empresa
puede proporcionar puntos de presencia de VPN cerca del lugar donde vive
el personal, aprovechando las conexiones troncales existentes a los
sistemas de la sede, pero esto no siempre es
posible.
Finalmente,
muchas políticas de acceso a la red suponen que los usuarios están
accediendo a sistemas corporativos conectados a la red local. La
segmentación
de red tradicional utiliza firewalls para evitar que los usuarios de un
segmento de red accedan a servicios en otro. Por lo que se debe
configurar la VPN para asignar a los usuarios las direcciones de grupo
de IP específicas para sus roles y recursos necesarios.
Por ejemplo, haga que todos los desarrolladores remotos ingresen a una
subred diferente que el equipo de contabilidad. Esto no solo facilita el
control de acceso, sino que también facilita el enrutamiento interno a
los sistemas.
Es
muy importante recordar que, a menos que tome medidas adicionales para
proporcionar una autenticación sólida, sus empleados pueden no ser sus
únicos usuarios de VPN;
los hackers también pueden usar su VPN.
Riesgos de autenticación
La
clave para cualquier estrategia de VPN es proporcionar una
autenticación extremadamente fuerte de cualquier usuario y sus
dispositivos que intenten conectarse.
Al menos en una implementación simplista, cualquier persona que pueda
conectarse y autenticarse a un punto final VPN es lo mismo que alguien
que ingresa a la sede central y conectar su computadora. Puede
autenticar a los usuarios de VPN de varias formas, desde
autenticar el nombre de usuario y la contraseña hasta configuraciones
más complejas, incluida la autenticación multifactor con elementos como
certificados de cliente o tokens de hardware. Garantizar el uso de
contraseñas seguras y la autenticación multifactorial
de algún tipo es un requisito mínimo para todos los sistemas que lo
admiten.
Puede
proporcionar autenticación multifactor a través de una serie de
mecanismos, incluida una aplicación de autenticación móvil, mensaje de
texto, token
de hardware o algún otro sistema.
Las
empresas deben monitorear de cerca los sistemas de autenticación para
detectar cualquier ataque de relleno de credenciales. La amenaza de
estos ataques
puede incluir la sobrecarga de los servidores VPN, el bloqueo
deliberado de la cuenta del usuario e incluso el acceso total a la red.
Es
importante, implementar dispositivos reforzados proporcionados por la
compañía para trabajadores remotos, con certificados de cliente y
protección de punto
final.
Riesgos del dispositivo VPN
Las
empresas necesitan monitorear de cerca los dispositivos VPN, tanto para
el uso de la CPU y la memoria como para los cambios de configuración y
evidencia
de ataques de negación del servicio. En estos tiempos inusuales, estos
dispositivos ahora pueden ser la única forma de ingresar a la empresa.
Las empresas deben vigilar, proteger y aprovisionar estos dispositivos
para resistir los ataques, ya que la alternativa
es apagarlos. En tiempos normales, tal vez, esto podría ser un
inconveniente; ahora esto significa que toda la compañía podría perder
funciones críticas. Idealmente, implemente VPN en configuraciones de
alta disponibilidad por la misma razón.
Las
VPN pueden manejar el tráfico de diferentes maneras. La mayoría ofrece
una opción de túnel dividido y una opción de túnel completo.
Es
importante utilizar un cifrado robusto con la VPN. que debe ser
resistente a los ataques y estar libre de vulnerabilidades conocidas.
Aun así, muchas VPN
proporcionan cifrados poco seguros para la interoperabilidad o
compatibilidad, así que tenga cuidado al configurar valores
predeterminados seguros.
Ancho de banda de trabajo remoto y problemas de red
No
todos los trabajadores tienen Internet de alta velocidad en sus
hogares. Además, a medida que más usuarios están trabajando de manera
remota, la evidencia
muestra que los proveedores de servicios están luchando con el aumento
de la carga en sus redes.
Las
VPN no son económicas en términos de ancho de banda y pueden ser
bastante sensibles a la calidad de la red en lo que respecta al
rendimiento. Las compensaciones
en los formularios VPN específicos pueden ser fundamentales para
ofrecer un rendimiento aceptable a los trabajadores que lo hacen de
manera remota. Es posible que las compañías también necesiten limitar a
los trabajadores que lo hacen de manera remota a utilizar
solo aquellos sistemas necesarios para hacer su trabajo y alentarlos a
evitar el movimiento pesado de datos para preservar el ancho de banda de
la red.
Riesgos
del punto final
Como
se señaló anteriormente, la seguridad del punto final es crítica para
asegurar las implementaciones. Idealmente, los dispositivos a los que se
les permite
conectarse a las VPN son sistemas totalmente parchados administrados
por la empresa, con certificaciones de autenticación, contraseñas
seguras y software de protección de punto final instalado. Estos se
pueden administrar de forma remota como cuando están
en la LAN, y muchas VPN ofrecen instalaciones para detectar si las
máquinas que se conectan a ellas cumplen con políticas de seguridad
específicas en términos de nivel de parche o software instalado.
Sin
embargo, en implementaciones rápidas como las que estamos viendo
actualmente, los puntos finales de los trabajadores que lo hacen a
distancia pueden tener
que usar cualquier computadora que tengan en casa. Estas pueden ser
máquinas antiguas con poca potencia y sin parches. Las empresas tendrán
una visibilidad limitada de su configuración y ninguna garantía sobre su
seguridad. Es posible que estas computadoras
ya estén infectadas con malware, que puede aprovechar la oportunidad de
conexión a una VPN para infectar otras máquinas, incluidos los sistemas
críticos dentro de la empresa. Si el punto final es parte de una botnet
o tiene un troyano de acceso remoto instalado,
los atacantes pueden usar el punto final como un pivote en la red
corporativa.
La
mejor práctica es asumir que cualquier conexión de dispositivo
desconocido ya está fracturado e instituir un monitoreo y controles
apropiados para detectar
actividades maliciosas.
Algunas posibles alternativas
Dependiendo
del acceso requerido para los nuevos trabajadores a distancia, las
compañías pueden reducir algunos de estos riesgos limitando el acceso
solo
a los sistemas explícitamente necesarios.
Los
escritorios remotos también pueden ser una buena herramienta, si está
disponible. Los usuarios se conectan a una computadora virtual que está
dentro de
los límites de la red de la compañía. Este escritorio virtual permite
que todos los datos y aplicaciones permanezcan dentro de la red de la
empresa; solo la representación visual se envía a la pantalla del
usuario. Por lo que el departamento de TI podrá monitorear,
administrar y mantener estos escritorios virtuales como cualquier otra
computadora en la red corporativa.
Los
servicios de terceros, como el correo electrónico SaaS, el intercambio
de archivos, el chat y especialmente los servicios en la nube, pueden
ser útiles:
la implementación rápida en una gran población de usuarios es más fácil
si alguien más maneja los registros y proporciona el ancho de banda y
los servidores. Simplemente hay que ser muy claro en la estrategia de
nube y comprenda los riesgos.
No hay comentarios:
Publicar un comentario