Con la crisis desatada por el virus COVID 19, gran cantidad de organizaciones han definido esquemas de “home office” a afectos de proteger a sus empleados de posibles contagios.
Numerosos equipos técnicos han habilitado masivamente el uso de sistemas de conexión remota hacia los sistemas core de la empresa, que anteriormente o estaban limitados a unos pocos empleados o a determinadas situaciones de contingencia.
Hoy día, tanto desde TI como de Ciber Seguridad no se reciben incidentes ni tickets alegando problemáticas en la conexión. ¿Podemos caer en una falsa sensación de seguridad ante esta situación? Dicho en otras palabras: ¿El no recibir quejas, solicitudes de la mesa de ayuda y/o reportes de incidentes sobre el sistema de acceso remoto nos permite sentir que nuestra organización continúa en los mismos niveles de seguridad que tenía antes de la habilitación del home office?
Desde Xelere, recopilamos varias recomendaciones que podrían servir a los admins para evaluar la robustez de la solución de acceso remoto empleada:
- Nivel de seguridad de los dispositivos –endpoints– desde donde los empleados inician su acceso remoto:
Muchas ciber amenazas se basan en el eslabón más débil de un proceso para lograr cumplir un ciber ataque. En la mayoría de los casos, el endpoint de los empleados ocupa el podio en este tema.
Si bien la criticidad de este punto dependerá mucho de la arquitectura de conexión remota definida, es importante evaluar cómo nos aseguramos mínimamente de un adecuado nivel de patching y de un antivirus actualizado en los endpoints utilizados.
- Evaluar la utilización o no del servicio de “Splittunnel” en los accesos remotos:
La funcionalidad de Splittunnel en los sistemas de VPN, permite definir cuán visible a internet quedarán los endpoints una vez que inicien sesión en nuestro terminal de VPN. Un Splittunnel habilitado implica que aún conectado a nuestro sistema de VPN, los endpoints navegan hacia internet directamente, sin pasar por la red de la empresa.
Por el contrario, un SplitTunnel deshabilitado implica que toda la navegación que realice el endpoint pasará por la red de la compañía a la cual esté conectado.
Ambas soluciones tienen diferentes beneficios, lo que varía notablemente son las medidas de seguridad que se requieren implementar en cada solución respectivamente.
- Evaluar los riesgos del método de autenticación empleado en la conexión VPN:
La urgencia en poner en marcha una solución de acceso remoto postergó a muchos admins el análisis de riesgo del método de autenticación y política de seguridad aplicados a la conexión VPN.
Nunca es tarde para retomar esta actividad y el resultado de dicho análisis permitirá definir las medidas de control que son requeridas para minimizar las potenciales amenazas a las que estemos expuestos.
- Evaluar las funcionalidades que deben contar nuestros usuarios en modo homeoffice:
Si no fue realizado con anterioridad a la implementación, es necesario determinar qué funciones se pueden realizar de forma remota diferenciando aquellas que necesitan seguridad en el intercambio de información, por ejemplo, el acceso a una intranet, acceso a algún sistema interno (ej. SAP, Oracle, aplicativos propios, acceso a bases de datos, PCs de usuarios, etc.).
Este análisis permitirá evaluar el uso apropiado de los recursos de red y aplicativos de la compañía.
- Evaluar el comportamiento de los usuarios mientras utilizan la conexión VPN:
Hoy en día se habla del uso de tecnologías de UBA (UserBehaviorAnalytics) para poder evaluar patrones de comportamiento de usuarios en los sistemas.
Llegar a implementar soluciones de esta índole requiere tiempo de maduración, en el mientras tanto, se pueden desarrollar controles de menor envergadura pero que a su vez nos den determinados alertas sobre comportamientos anómalos, como por ejemplo:
- Conexiones concurrentes de usuarios
- IPs de conexiones diferentes a las frecuentes
- Horarios de conexiones diferentes a los usuales
- Gran volumen de transferencia de información desde los sistemas centrales a los endpoints
Nuestro equipo de profesionales de Xelere puede asesorarte en cómo identificar e implementar alertas y otros controles en tus sistemas de seguridad. Si tenés alguna inquietud no dudes en contactarnos! En Xelere estamos para ayudarte!