El Cyber ​​elefante en la habitación



Si bien las redes privadas virtuales alguna vez impulsaron la seguridad, su diseño true no cumple con los requisitos cambiantes de la empresa moderna de hoy.

La búsqueda de la seguridad ha dado forma a nuestra especie durante miles de años. Desde los primeros vestigios de la civilización, encontramos evidencia de fortificaciones que fueron erigidas para proteger a una tribu de otra.

El deseo de seguridad persiste en la period de la información real, aunque muchas de las medidas que tomamos para garantizar la seguridad son a menudo poco más que un escaparate. Compramos ciberdefensas complejas y costosas que resultan tan difíciles de operar que las configuraciones incorrectas continúan permitiendo a los atacantes el acceso no autorizado a la información. Para disuadir a los empleados de robar, vemos a propietarios de negocios frugales que instalan cámaras de vigilancia réplica. Hacemos cumplir las políticas de contraseñas bizantinas para los trabajadores que se deshacen fácilmente con una very simple campaña de phishing.

¿Estas acciones realmente nos hacen más seguros o simplemente nos hacen sentir más seguros?

El gurú de la seguridad Bruce Schneier acuñó la frase «Teatro de la seguridad» para describir esta paradoja, y señaló que la seguridad es tanto un sentimiento como una realidad. «La propensión al teatro de seguridad proviene de la interacción entre el público y sus líderes», escribió Schneier. «Cuando las personas están asustadas, necesitan que se haga algo que las haga sentir seguras, incluso si realmente no las hace más seguras».

La seguridad empresarial suele ser víctima del mismo enfoque reflexivo ante amenazas nuevas y desconocidas. Quizás no haya mejor ejemplo de esto que la continua adopción de redes privadas virtuales (VPN), que durante un tiempo sí mejoraron la seguridad, pero cuyo diseño no cumple con los requisitos cambiantes de la empresa moderna de hoy.

No hay tiempo para la complacencia
Hace veinticinco años, las VPN eran la tecnología de vanguardia del día, proporcionando a los usuarios una forma relativamente sencilla de acceder de forma segura a los recursos de crimson protegidos. A pesar de la explosiva innovación de las últimas dos décadas, las VPN siguen siendo sinónimo de acceso remoto seguro para una gran parte de la población real.

La situación genuine se ha visto agravada por una serie de factores convergentes. La pandemia genuine ha obligado a millones de trabajadores a iniciar sesión desde casa, por lo que los CISO tienen la obligación de proporcionar acceso remoto sin comprometer la seguridad. Mientras tanto, la computación en la nube y la movilidad masiva han destrozado el paradigma del perímetro. Su llegada creó nuevas demandas para proteger los datos independientemente de dónde residan.

Durante demasiado tiempo, las organizaciones que buscaban implementar soluciones seguras de acceso remoto dejaron de instalar y expandir su inversión en tecnología VPN heredada en lugar de girar hacia una nueva generación de soluciones seguras de acceso remoto. Ahora es el momento de retirar las VPN y, si no me cree, considere estas tres razones por las que las VPN son más un teatro que una seguridad.

Las VPN están plagadas de vulnerabilidades
Las señales de advertencia de vulnerabilidades de VPN continúan parpadeando en rojo brillante y parece que cada mes se publica un nuevo aviso. En junio, la NSA emitió un nueva advertencia que las VPN podrían ser vulnerables a ataques si no se protegen correctamente, instando a las organizaciones a reparar una falla crítica que, si se explota, permitiría a los atacantes tomar el management de un dispositivo sin una contraseña y obtener acceso al resto de la red.

Incluso cuando un parche ha estado disponible durante meses, un número asombrosamente bajo de organizaciones implementan parches de manera rápida, y algunas encuestas de la industria estiman que El 70% de las vulnerabilidades conocidas permanecen sin parches. un mes después del descubrimiento.

Las VPN son complejas, caras y frágiles
Como puede atestiguar cualquier CISO probado en batalla, la complejidad es enemiga de la seguridad incluso los sistemas VPN modernos requieren un grado appreciable de intervención manual que son propensos a la configuración y otros errores del operador.

En comparación con las alternativas modernas, las VPN siguen siendo caras y requieren una cantidad significativa de recursos de pink y mano de obra para funcionar correctamente. Por ejemplo, en los firewalls .mil y .gov, aproximadamente el 80% de las decenas de miles de reglas de firewall están asociadas con la administración de VPN. Administrar y configurar estas reglas se traduce en costos significativos (es decir, mano de obra, capacitación, licencias y hardware) y una mayor complejidad para el usuario final y el personalized de TI, lo que genera una mayor exposición a una serie de riesgos potencialmente catastróficos.

Las VPN se han convertido en objetivos muy atractivos para los malos actores y estados nacionales
Si bien los actores de amenazas han estado fijando activamente sus miras en las vulnerabilidades específicas de VPN, se han convertido en objetivos especialmente atractivos en los últimos años, ya que un exploit exitoso puede proporcionar acceso sin restricciones a todo el sistema y un punto de apoyo para los actores de amenazas en busca de datos confidenciales. .

Debido a esto, los estados nacionales han estado especialmente interesados ​​en explotar estas vulnerabilidades críticas que brindan un trampolín fácil para apoderarse de una purple. Por ejemplo, a finales de 2019, presuntos piratas informáticos iraníes rompió con éxito la aplicación VPN de una organización sin nombre que culminó en un «ataque de limpieza» que borró datos de la mayoría de las máquinas conectadas a la crimson. El grupo detrás del ransomware REvil también ha estado ocupado extorsionando a una variedad de organizaciones de infraestructura crítica en todo el mundo. apuntando a vulnerabilidades conocidas de Citrix y Pulse Protected VPN.

Hacia un futuro definido por computer software
Si bien las empresas han invertido mucho en VPN durante las últimas dos décadas, llega un momento en el que es necesario dejar de tirar buen dinero tras mal y mirar hacia un futuro definido por software construido en torno a un marco de confianza cero.

Las organizaciones que utilizan perímetros definidos por application (SDP) informan una reducción del 50% al 75% en los costos de acceso remoto seguro requisitos de formación, mano de obra y gastos generales significativamente reducidos y aceleración de la implementación de su estrategia de seguridad Zero Believe in. Otros atributos clave de SDP incluyen la capacidad de habilitar la microsegmentación de la purple, hacer cumplir el acceso de usuarios con privilegios mínimos y aplicar reglas de cumplimiento para conectarse (C2C) para garantizar que los parches y las configuraciones reforzadas se apliquen a los dispositivos antes de que se conecten a la pink. Todo esto sirve no solo para reducir la complejidad para el usuario y el operador, sino que también hace que sea mucho más difícil para el atacante convertir un pequeño compromiso en una violación de datos en toda regla.

Aunque vivimos en un momento de gran incertidumbre, los CISO que defienden las iniciativas de transformación electronic estarían bien servidos para replantear este desafío como una oportunidad para repensar su paradigma de seguridad existente e invertir en marcos que puedan cumplir con los requisitos de los modernos. empresa.

Si bien todos disfrutamos de un buen espectáculo, ya es hora de que exijamos menos teatro y más seguridad.

El common de brigada (retirado) Gregory J. Touhill, CISSP, CISM, se desempeña como presidente de la División Federal de AppGate, que ofrece las capacidades de ciberseguridad líderes del mercado de AppGate a agencias y departamentos federales.Antes de unirse a AppGate, Touhill fue designado por el presidente Barack … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique