COVID-19: con todos trabajando desde casa, la seguridad de VPN ahora se ha convertido en primordial


Consejos de ciberseguridad para empleados que trabajan desde casa
Cambiar al trabajo remoto debido al coronavirus puede crear problemas de ciberseguridad para empleadores y empleados. Aquí hay algunas cosas para ver.

Con la mayoría de los empleados trabajando desde casa en medio de la actualidad Brote de COVID-19 (coronavirus), los servidores VPN empresariales ahora se han convertido en primordiales para la columna vertebral de una empresa, y su seguridad y disponibilidad deben ser el enfoque en el futuro para los equipos de TI.

"Será muy importante (que) el servicio VPN esté parcheado y actualizado porque habrá mucho más escrutinio (escaneo) contra estos servicios", dijo Guy Bruneau, un instructor de ISC SANS en una publicación la semana pasada.

Advertencia de Bruneau es solo una de las muchas alertas de la industria de ciberseguridad publicadas en los últimos días sobre el tema de la seguridad de VPN.

El Departamento de Seguridad Nacional publicó advertencias y boletines de seguridad similares. Agencia de Seguridad Cibernética e Infraestructura (DHS CISA), el Célula de integración de ciberseguridad y comunicaciones de Nueva Jersey (NJCCIC), y firma de seguridad cibernética Radware.

El momento perfecto para detectar compromisos de cuentas VPN

Según Bruneau, ahora es más importante que nunca que las empresas y el personal de TI establezcan sistemas para capturar métricas sobre el rendimiento y la disponibilidad de los servicios VPN.

El instructor de ISC SANS dice que estos sistemas ayudarán a las empresas a evitar el tiempo de inactividad de los servicios VPN de misión crítica, especialmente ahora que los empleados trabajan desde casa, y el servicio VPN representa la forma más segura de acceder a las redes y recursos privados de la empresa.

Bruneau alienta a las empresas a examinar los registros para detectar compromisos de cuentas VPN. Dado que la mayoría de los empleados ahora usarán sistemas VPN, es más probable que caigan en ataques de phishing que roban las credenciales de la cuenta VPN.

En teoría, con el inicio de sesión adecuado, ahora debería ser mucho más fácil detectar cuentas comprometidas al observar patrones de uso de VPN irregulares para cada usuario de la empresa que trabaja desde casa.

"La actividad que debería analizarse en las próximas semanas serían los puertos asociados con VPN como OpenVPN (1194) o SSL VPN (TCP / UDP 443, IPsec / IKEv2 UDP 500/4500) con sus registros asociados para garantizar que estos servicios sean accedidos por los individuos correctos y no son abusados, explotados o comprometidos ", dijo Bruneau.

Habilitar MFA para cuentas VPN

A la luz de un aumento esperado en los ataques de phishing de VPN, el experto de ISC SANS recomienda que las compañías analicen muy de cerca la posibilidad de habilitar una solución de autenticación de múltiples factores (MFA) para proteger las cuentas VPN del acceso no autorizado.

El NJCCIC y el DHS CISA también hicieron eco de su recomendación en una alerta de US-CERT que la agencia envió la semana pasada.

En un informe del año pasado, Microsoft dijo que habilitar una solución MFA para cuentas en línea generalmente bloquea el 99.9% de todos los ataques de adquisición de cuentas (ATO), incluso si el atacante tiene credenciales válidas para la cuenta de la víctima.

También: Protéjase: cómo elegir la aplicación de autenticación de dos factores correcta

Los servidores VPN deben estar parcheados y actualizados

Pero además de permitir que MFA proteja las cuentas VPN para los empleados que trabajan desde casa, CISA también recomendó que las compañías revisen los niveles de parcheo de los productos VPN corporativos. El mismo consejo también se hizo eco hoy en una alerta de seguridad de Radware.

Tanto CISA como Radware señalan que las soluciones VPN corporativas han sido el objetivo de una amplia gama de ataques que comenzaron durante el verano de 2019.

Ataca servidores VPN dirigidos de Palo Alto Networks, Fortinet, Pulse Secure y Citrix:

• Aviso de seguridad de red de Palo Alto PAN-SA-2019-0020, En relación a CVE-2019-1579;
• Avisos de seguridad de FortiGuard FG-IR-18-389, En relación a CVE-2018-13382; FG-IR-18-388 En relación a CVE-2018-13383; FG-IR-18-384, En relación a CVE-2018-13379;
• Aviso de seguridad de Pulse Secure SA44101, En relación a CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11507CVE-2019-11507.
• Asesoramiento de seguridad de Citrix CTX267027, En relación a CVE-2019-19781.

Todos estos sistemas deberían haber sido parcheados el año pasado cuando se revelaron las vulnerabilidades, y los primeros ataques comenzaron a afectar a las organizaciones.

Con más y más compañías que necesitan capacidades de VPN para permitir a los trabajadores iniciar sesión en sistemas corporativos privados y cumplir con sus obligaciones, el personal de TI está respondiendo instalando más servidores VPN para lidiar con el creciente tráfico.

El personal de TI ahora debe prestar mucha atención a los nuevos servidores VPN que están instalando y asegurarse de que estos sistemas hayan sido parcheados para las vulnerabilidades enumeradas anteriormente, que son algunas de las vulnerabilidades más específicas en la actualidad.

El peligro de ataques DDoS en servidores VPN

Pero con tantas organizaciones trasladando a su fuerza laboral de empleados a trabajos desde el hogar, ahora hay una nueva amenaza en el horizonte: las extorsiones.

Los piratas informáticos podrían lanzar ataques DDoS en los servicios VPN y agotar sus recursos, bloqueando el servidor VPN y limitando su disponibilidad.

Con el servidor VPN actuando como una puerta de entrada a la red interna de una empresa, esto evitaría que todos los empleados remotos realicen su trabajo, paralizando efectivamente una organización que tiene poco o ningún trabajador en el sitio.

Radware dice que este tipo de ataques DDoS ni siquiera tienen que ser masivos en tamaño.

En un informe no público visto por ZDNet, Dileep Mishra, Gerente de Ingeniería de Ventas en Radware, dice que un ataque TCP Blend (DDoS) ajustado con un volumen de ataque tan bajo como 1 Mbps es suficiente para bloquear un servidor VPN o un cortafuegos

Además, las VPN basadas en SSL (como Pulse Secure, Fortinet, Palo Alto Networks y otras) también son vulnerables a un ataque de inundación SSL (DDoS), al igual que los servidores web, dijo Mishra.

Los atacantes pueden iniciar miles de conexiones SSL a una VPN SSL y luego dejarlas colgadas. El servidor VPN asigna recursos para lidiar con la avalancha de conexiones inútiles del atacante, agotando la memoria y evitando que usuarios legítimos utilicen el servicio.

Además, dado que incluso el personal de TI probablemente trabajará desde su casa, los atacantes explotarían cualquier debilidad que quede en los servidores VPN para cortar a los administradores del sistema de sus propios servidores mientras atacan la red interna, roban datos de propiedad o instalan ransomware .

Otras Consideraciones

Pero los servidores VPN son solo una opción en una variedad de herramientas remotas / de teletrabajo disponibles para las empresas en la actualidad.

NJCCIC también recomienda que las empresas presten mucha atención a la seguridad de la nube y las aplicaciones de software como servicio (SaaS) que los trabajadores remotos usarán en los próximos meses debido a la COVID-19 brote.

Del mismo modo, Radware también advierte sobre el mayor uso de las conexiones del Protocolo de escritorio remoto (RDP) dentro de las empresas con una fuerza de trabajo remota cada vez mayor. Los puntos finales y las cuentas RDP también deberán estar debidamente protegidos, al igual que las VPN.

Por último, pero no menos importante, Bruneau también presenta una serie de preguntas y consideraciones que las empresas deberán reflexionar si están utilizando sistemas VPN para otorgar a los trabajadores remotos acceso a sus redes internas.

  • ¿Cuántos usuarios concurrentes pueden iniciar sesión al mismo tiempo?
  • ¿Se relajará la política corporativa de VPN para dar cabida al máximo de empleados?
  • ¿Quién obtiene acceso prioritario si el dispositivo o servicio no puede admitir a todos?
  • ¿Cuánto ancho de banda usa un usuario típico?
  • ¿Divide el tiempo de acceso entre los usuarios (es decir, cada uno obtiene 2 horas)?
  • ¿Número de licencias VPN o tokens MFA disponibles?
  • ¿Se les permite a los usuarios usar la computadora personal?
  • Si se permiten computadoras personales: (1) ¿Cuál es su postura de seguridad (parches, actualización AV, etc.)? (2) ¿Se puede confiar en ellos? (3) ¿A qué archivos o recursos compartidos se les permite acceder a los empleados?



Enlace a la noticia original