La perspectiva de un hacker sobre la seguridad de las VPN a medida que avanza …



A medida que las organizaciones se apresuran a equipar y asegurar su nueva fuerza de trabajo remota, es importante mantener las cosas metódicas y decididas.

Ante la certeza del impacto organizacional y international, y tratando de ser urgentemente un buen ciudadano corporativo, por supuesto, su organización está enviando individual a casa. Y mientras RR.HH. y finanzas están luchando con la forma de administrar la PTO y los beneficios para decenas de empleados enfermos, TI está luchando para que la mayor cantidad de empleados posible sea productiva en sus nuevas oficinas (y mal equipadas).

A pesar de los ejercicios estratégicos nacionales sobre pandemias, y a pesar de una cultura obsesionada con los zombis y la preparación, muy pocas organizaciones están realmente preparadas. Entonces, cuando el liderazgo dice «Déjelos trabajar de forma remota», ¿qué deben hacer las TI y la seguridad? Los dejaron trabajar remotamente, por supuesto. Sin embargo, la rápida transición del command remoto interno al remoto puro debe hacerse bien, o una situación ya awful podría ser mucho peor.

Quizás una notion que todos hemos aprendido recientemente se aplica a esta nueva situación: mientras ayudamos al mundo a aplanar la curva para una pandemia, debemos hacer lo mismo con los otros riesgos que estamos abordando en nuestras organizaciones. La presión para moverse rápido es inmensa, pero es basic asegurarse de que no aumentemos la curva de riesgo al apresurar y abrumar al negocio, y crear un escenario de ensueño para un adversario en el proceso. Necesitamos asegurarnos de que nuestros impactos organizacionales no excedan nuestra capacidad de hacer frente, y eso significa lo que siempre significa en seguridad: acciones metódicas, decididas y determinadas.

¿Qué deben hacer los encargados de proteger las redes corporativas? Si nos movemos demasiado rápido, quizás los cambios que hagamos tengan peores resultados que estar fuera de línea. ¿1,000 empleados repentinamente golpeando la VPN aplastarían la infraestructura? ¿Tenemos una estrategia para implementar dos factores para todos? ¿Cómo iniciará sesión el personal? Computadoras personales a través de RDP? Ooof

Como alguien que se gana la vida aprovechando los trabajos urgentes y el trabajo de TI descuidado, las VPN configuradas, parcheadas e implementadas con urgencia hacen que mi trabajo sea muy fácil. Desactiva la autenticación de dos factores (2FA) y estoy en el cielo.

Entonces, ¿cómo mantenemos a raya a nuestros adversarios, mientras equilibramos la supervivencia del negocio?

Primer paso, lograr que las partes interesadas acepten un enfoque medido y metódico para administrar el riesgo a medida que realiza la transición a un entorno de trabajo remoto. Tenga una conversación sincera con los líderes de su empresa sobre los riesgos de ir demasiado rápido y no tomar las precauciones adecuadas. Eduque a las partes interesadas sobre los riesgos de trasladar a todos de la noche a la mañana a la VPN y pídales que prioricen lo que se requiere ahora y lo que puede esperar (cree cohortes de usuarios basados ​​en aquellos que necesitan acceso primero, y así sucesivamente).

Una vez que haya comprado, concéntrese en clavar los fundamentos, y eso significa ir más allá de parchear las VPN conocidas. Siempre hay debilidades imposibles de resolver y problemas no públicos que los hackers pueden explotar. Para mitigar estas incógnitas, las empresas deben tener en cuenta los fundamentos.

  • Como en cualquier escenario de desastre, nada importa si no puede hacer que funcionen las funciones críticas. Obtenga las VPN, pero trate de no cortar demasiadas esquinas (¡cambie la contraseña predeterminada!). Los usuarios críticos que hacen su trabajo de manera efectiva es mejor que una horda de personas que funcionan a medias.
  • Segmente su purple. Asegúrese de que su VPN aterrice en una DMZ y no pueda hablar con todo. Si los usuarios se conectan de forma remota a un escritorio, no necesitan acceso a bases de datos o infraestructura de back-end.
  • El privilegio mínimo debe ser su estándar. Lo más possible es que su comercializador no necesite acceso a su infraestructura.
  • Visibilidad y monitoreo vigilante: cuando las credenciales de un empleado se ven comprometidas, desea tener una gran oportunidad de detectarlo temprano y responder bien. Si es un respondedor acostumbrado a confiscar la caja, planifique con anticipación para llevar a cabo una investigación con usuarios remotos y obtenga visibilidad antes de que la necesite.
  • Educar a sus usuarios. Asegúrese de que entiendan los nuevos riesgos y recuérdeles: «Oye, no hagas clic en los enlaces de los mapas de brotes en tu correo electrónico, ¿de acuerdo?»

Si puede obtener privilegios bloqueados, cierta segmentación básica en su lugar y cierta visibilidad, entonces al menos su equipo tiene una oportunidad de luchar para mantener a los piratas informáticos fuera mientras se implementa 2FA. Al menos su MSSP tiene algunos datos con los que puede responder.

Tiempos extremos, medidas extremas … seguro. Y sí, las VPN son increíblemente valiosas, así que úsalas correctamente. Pero no esperes encender algo de la noche a la mañana y hacerlo bien eso seguramente conducirá a errores que tu adversario puede explotar. Pero muévase con intención y participe de maneras que no empeoren el mundo. La continuidad del negocio puede requerir un compromiso con los procedimientos de seguridad específicos, pero tome medidas razonables para reducir el riesgo de seguridad para su organización y entable un diálogo con el negocio para que se entiendan los riesgos.

Contenido relacionado:

David Wolpoff (Moose) es cofundador y CTO de Randori. La experiencia de Moose es forense electronic, investigación de vulnerabilidades, ingeniería inversa y diseño electrónico integrado. Antes de Randori, Moose dirigió «Hacker on Retainer», donde realizó determinados ataques adversos para … Ver biografía completa

Más tips





Enlace a la noticia primary