5 estrategias recomendadas por la NSA para mejorar la seguridad de su VPN


La Agencia de Seguridad Nacional de EE. UU. Ha notado un aumento en los ataques cibernéticos contra las VPN desde que la pandemia de COVID-19 ha obligado a más personas a trabajar desde casa.

vpn.jpg

La Agencia de Seguridad Nacional de los Estados Unidos advierte a los trabajadores remotos, cuyos números tienen se disparó debido a la pandemia de COVID-19, que las redes privadas virtuales (VPN) son cada vez más un objetivo de los ciberdelincuentes.

Un alto funcionario de la NSA que habló con periodistas la semana pasada dijo que La infraestructura de teletrabajo como las VPN se ha convertido en un foco para actores maliciosos, lo que llevó a la NSA a publicar un aviso formal sobre Cómo proteger las VPN de los ataques cibernéticos.

Los riesgos de seguridad debido a un aumento en el trabajo remoto han sido bien documentados, y TechRepublic también ha cubierto consejos para contrarrestar esas amenazas.

VER: Política de mejores prácticas del certificado SSL (TechRepublic High quality)

Este último conjunto de cinco recomendaciones puede resultar acquainted para los profesionales de ciberseguridad y aquellos familiarizados con la seguridad de las conexiones remotas, pero la información vale la pena repetir, especialmente con muchas más conexiones VPN que se utilizan e informa que la ciberseguridad no está al día con el trabajo desde el hogar revolución que las cuarentenas han forzado a las empresas.

1. Reduzca la superficie de ataque de las puertas de enlace VPN

«Las puertas de enlace de VPN tienden a ser accesibles directamente desde World-wide-web y son propensas a escanear redes, ataques de fuerza bruta y vulnerabilidades de día cero», dijo el boletín de la NSA. Los esfuerzos de mitigación deben incluir la implementación de reglas estrictas de filtrado de tráfico para limitar los puertos, protocolos y direcciones IP que pueden transmitir en las VPN, y el uso de un sistema de prevención de intrusiones frente a la puerta de enlace VPN que puede inspeccionar el tráfico.

2. Solo use algoritmos criptográficos que cumplan con CNSSP 15

los Comité de Política de Sistemas de Seguridad Nacional 15 (PDF) especifica qué protocolos de cifrado se pueden usar en sistemas gubernamentales seguros y si es lo suficientemente bueno para la NSA (al menos hasta que se cambió CNSSP 15 por CNSA en 2018), probablemente sea lo suficientemente bueno para su organización.

El cifrado suitable con CNSSP 15 se divide en dos categorías: cifrado suficiente para proteger la información de nivel secreto (curva elíptica de 256 bits, SHA-256 y AES-128) y cifrado suficiente para proteger la información de alto secreto (curva elíptica de 384 bits, SHA -384 y AES-256).

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

«A medida que el entorno informático evoluciona y se identifican nuevas debilidades en los algoritmos, los administradores deben prepararse para la agilidad criptográfica: verifique periódicamente la guía CNSSP y NIST para conocer los últimos requisitos, estándares y recomendaciones criptográficos», dijo la NSA.

3. No use la configuración predeterminada de VPN

Configurar una implementación de VPN puede ser difícil, lo que lleva a muchas organizaciones a dejar la configuración predeterminada, dijo la NSA. La NSA establece específicamente que los administradores deben evitar el uso de herramientas de configuración automática o asistentes de GUI porque pueden dejar atrás las suites criptográficas no deseadas, brindando a un atacante potencial más caminos para entrar.

4. Elimine cualquier conjunto de criptografía que no esté en uso o que no cumpla

El problema particular aquí viene en forma de la Asociación de Seguridad de Web y el Protocolo de administración de claves (ISAKMP) y las políticas de cifrado de Intercambio de claves de Web (IKE), muchas de las cuales no cumplen con CNSSP 15. Como se mencionó anteriormente, las herramientas automatizadas a menudo dejan conjuntos de cifrado residuales después de la configuración, dejando a las VPN vulnerables a los ataques de degradación de cifrado.

«La verificación de que solo las políticas ISAKMP / IKE e IPsec conformes estén configuradas y todas las políticas no utilizadas o no conformes se eliminen explícitamente de la configuración mitiga este riesgo», dijo la NSA.

5. Mantenga las VPN actualizadas

«En los últimos años, se han lanzado múltiples vulnerabilidades relacionadas con las VPN de IPsec. Muchas de estas vulnerabilidades solo se mitigan mediante la aplicación rutinaria de parches proporcionados por el proveedor a las puertas de enlace y clientes VPN», dijo la NSA.

Los buenos hábitos de parcheo son una parte estándar de las mejores prácticas de seguridad y lo mismo ocurre con las VPN: manténgalas actualizadas y suscríbase a correos electrónicos de alerta de seguridad para asegurarse de conocer cualquier amenaza recién descubierta.

Ver también



Enlace a la noticia original