Los servicios de redes privadas virtuales (VPN) se han convertido en herramientas esenciales para las empresas modernas en los últimos años, doblemente desde que ayudaron a salvar el día a muchas de ellas en medio de la carrera desordenada y desordenada hacia el trabajo remoto impulsada por la pandemia en 2020. Como túnel para datos corporativos que viajan entre las redes de la empresa y los dispositivos de los empleados, las VPN ayudan a proteger la información confidencial sin comprometer la productividad de los empleados ni paralizar las operaciones de misión crítica de las empresas. Desde entonces, muchas organizaciones se han adaptado a un modelo de lugar de trabajo híbrido que combina trabajo en la oficina y en movimiento, las VPN de acceso remoto siguen siendo un elemento básico en sus conjuntos de herramientas de seguridad y conectividad de red. Por otro lado, las VPN también han sido objeto de un escrutinio cada vez mayor debido al aumento de las vulnerabilidades de seguridad y los exploits dirigidos a ellas, a veces incluso antes de que se implementen los parches. Dado que las VPN representan potencialmente las claves del reino corporativo, su atractivo tanto para los actores estatales como para los ciberdelincuentes es innegable. Los adversarios están dedicando recursos sustanciales a buscar puntos débiles en las pilas de software corporativo, lo que ejerce una mayor presión sobre las organizaciones y subraya la importancia de prácticas sólidas de mitigación de riesgos. En una era en la que la explotación masiva de lagunas de seguridad, los ataques a gran escala a la cadena de suministro y otras violaciones de las defensas corporativas son cada vez más comunes, aumentan las preocupaciones no solo sobre la capacidad de las VPN para ayudar a proteger los datos corporativos contra los malos actores, sino también sobre este software en sí mismo es otra fuente de riesgo cibernético. Esto plantea la pregunta: ¿podrían las VPN empresariales ser una carga que aumente la superficie de ataque de su organización? Las claves del reino Una VPN dirige el tráfico del usuario a través de un túnel cifrado que protege los datos contra miradas indiscretas. La principal razón de ser de una VPN empresarial es crear una conexión privada a través de una red pública o Internet. Al hacerlo, brinda a una fuerza laboral geográficamente dispersa acceso a redes internas como si estuvieran sentados en sus escritorios de oficina, esencialmente haciendo que sus dispositivos formen parte de la red corporativa. Pero así como un túnel puede colapsar o tener fugas, un dispositivo VPN vulnerable puede enfrentar todo tipo de amenazas. El software desactualizado suele ser una de las razones por las que muchas organizaciones son víctimas de un ataque. La explotación de una vulnerabilidad de VPN puede permitir a los piratas informáticos robar credenciales, secuestrar sesiones de tráfico cifradas, ejecutar código arbitrario de forma remota y darles acceso a datos corporativos confidenciales. Este Informe de vulnerabilidad de VPN 2023 proporciona una descripción general útil de las vulnerabilidades de VPN informadas en los últimos años. De hecho, al igual que cualquier otro software, las VPN requieren mantenimiento y actualizaciones de seguridad para corregir las vulnerabilidades. Sin embargo, las empresas parecen tener dificultades para mantenerse al día con las actualizaciones de VPN, incluso porque las VPN a menudo no tienen tiempos de inactividad planificados y, en cambio, se espera que estén funcionando en todo momento. Se sabe que los grupos de ransomware suelen atacar servidores VPN vulnerables y, al obtener acceso al menos una vez, pueden moverse por una red para hacer lo que quieran, como cifrar y retener datos para pedir un rescate, exfiltrarlos, realizar espionaje y más. En otras palabras, la explotación exitosa de una vulnerabilidad allana el camino para accesos maliciosos adicionales, lo que podría conducir a un compromiso generalizado de la red corporativa. Abundan las advertencias Recientemente, Global Affairs Canada ha iniciado una investigación sobre una violación de datos causada por un compromiso de su solución VPN preferida, que había estado en curso durante al menos un mes. Supuestamente, los piratas informáticos obtuvieron acceso a una cantidad no revelada de correos electrónicos de empleados y a varios servidores a los que se habían conectado sus computadoras portátiles desde el 20 de diciembre de 2023 hasta el 24 de enero de 2024. No hace falta decir que las violaciones de datos conllevan costos inmensos: 4,45 millones de dólares en promedio, según según el informe Costo de una violación de datos 2023 de IBM. En otro ejemplo, allá por 2021, los actores de amenazas alineados con Rusia atacaron cinco vulnerabilidades en productos de infraestructura VPN corporativa, lo que requirió una advertencia pública por parte de la NSA instando a las organizaciones a aplicar los parches lo antes posible o enfrentar el riesgo de piratería informática y espionaje. Otra preocupación son los defectos de diseño que no se limitan a ningún servicio VPN determinado. Por ejemplo, las vulnerabilidades de TunnelCrack, descubiertas recientemente por investigadores y que afectan a muchas VPN corporativas y de consumidores, podrían permitir a los atacantes engañar a las víctimas para que envíen su tráfico fuera del túnel VPN protegido, espiando sus transmisiones de datos. Se requieren actualizaciones de seguridad críticas para tapar este tipo de lagunas de seguridad, por lo que es imprescindible estar al tanto de ellas. También lo es la concienciación de los empleados, ya que otra amenaza tradicional implica que los malos actores utilicen sitios web engañosos para engañar a los empleados para que entreguen sus credenciales de inicio de sesión de VPN. Un delincuente también puede robar el teléfono o la computadora portátil de un empleado para infiltrarse en las redes internas y comprometer y/o exfiltrar datos, o espiar silenciosamente las actividades de la empresa. Proteger los datos Una empresa no debe depender únicamente de su VPN como medio para proteger a sus empleados y la información interna. Una VPN no reemplaza la protección habitual de los terminales ni reemplaza otros métodos de autenticación. Considere implementar una solución que pueda ayudar con la evaluación de vulnerabilidades y la aplicación de parches, ya que nunca se insistirá lo suficiente en la importancia de estar al tanto de las actualizaciones de seguridad emitidas por los fabricantes de software, incluidos los proveedores de VPN. En otras palabras, el mantenimiento periódico y las actualizaciones de seguridad son una de las mejores formas de minimizar las probabilidades de que se produzca un ciberincidente exitoso. Es importante destacar que tome medidas adicionales para proteger la VPN de su elección contra compromisos. La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y la Agencia de Seguridad Nacional (NSA) tienen un folleto útil que describe varias precauciones que logran precisamente eso. Esto incluye reducir la superficie de ataque, utilizar un cifrado sólido para codificar los datos corporativos confidenciales, una autenticación sólida (como un segundo factor adicional en forma de código de un solo uso) y monitoreo del uso de VPN. Utilice una VPN que cumpla con los estándares de la industria y sea de un proveedor confiable con un historial comprobado en el seguimiento de las mejores prácticas de ciberseguridad. Ningún software VPN garantiza una protección perfecta y una empresa no sería aconsejable confiar únicamente en él para la gestión del acceso. Las organizaciones también pueden beneficiarse al explorar otras opciones para respaldar una fuerza laboral distribuida, como el modelo de seguridad de confianza cero que se basa en la autenticación continua de los usuarios, así como otros controles, que incluyen monitoreo continuo de la red, administración de acceso privilegiado y autenticación segura de múltiples capas. . Agregue detección de endpoints y respuesta a la combinación, ya que eso puede, entre otras cosas, reducir la superficie de ataque y sus capacidades de detección de amenazas basadas en IA pueden resaltar automáticamente comportamientos sospechosos. Además, considere la seguridad de VPN que tiene o desea. Esto significa que las VPN pueden diferir en lo que ofrecen, ya que hay mucho más bajo la superficie que simplemente crear una simple conexión a un servidor, ya que también puede incluir varias medidas de seguridad adicionales. Y las VPN también pueden diferir en la forma en que manejan el acceso de los usuarios: una puede requerir el ingreso constante de credenciales, mientras que otra puede ser algo de una sola vez. Pensamientos de despedida Si bien las VPN son a menudo un componente crucial para el acceso remoto seguro, pueden ser (especialmente en ausencia de otras prácticas y controles de seguridad) objetivos jugosos para los atacantes que buscan irrumpir en las redes corporativas. Varios grupos de amenazas persistentes avanzadas (APT) han utilizado recientemente vulnerabilidades conocidas en el software VPN para robar credenciales de usuario, ejecutar código de forma remota y extraer las joyas de la corona corporativa. La explotación exitosa de estas vulnerabilidades generalmente allana el camino para acceso malicioso adicional, lo que potencialmente conduce a compromisos a gran escala de las redes corporativas. A medida que evolucionan los patrones de trabajo, persiste la demanda de acceso remoto, lo que subraya la importancia constante de priorizar la seguridad de una fuerza laboral dispersa como un elemento fundamental dentro de la estrategia de seguridad de una organización.

Source link