Puntos de entrada comunes #1 – ITaaS (IT como servicio) Parte 2
Evaluar los eslabones débiles de la red de tu empresa es una parte importante de la ciberseguridad. Las personas que se sientan detrás de los teclados de los ordenadores constituyen algunos de los eslabones más débiles, ya que siempre hay una pequeña minoría de usuarios que harán clic en casi cualquier cosa incluida o adjunta en un correo electrónico a pesar de que se les advierta de que no lo hagan. La introducción de dispositivos traídos de casa (BYOD) y no gestionados es otro ejemplo. Sin embargo, un culpable menos obvio puede ser tu proveedor de servicios de IT.
En CYREBRO, una de nuestras prioridades es permitir la identificación de los eslabones débiles que los atacantes pueden aprovechar, y sí, los encontramos con los proveedores de IT como servicio (ITaaS). Un caso reciente fue el de tres compañías de seguros que utilizaban el mismo proveedor. Los hackers externos pudieron aprovecharse de los sistemas operativos obsoletos que aún se encontraban al servicio de la empresa, algunos con hasta 11 años de antigüedad. El ITaaS sólo utilizaba un único servidor de gestión para todos sus clientes. Una vez vulnerado, todos sus clientes estaban en peligro y los atacantes lo utilizaron como punto de intercambio para penetrar en las tres empresas.
Nunca asumas la seguridad
Aunque parezca un típico cliché, nunca «des por sentado» que tu proveedor de IT aplica las mejores prácticas en materia de seguridad. El hecho de que alguien sea un aparente experto en su campo particular de IT no significa que esté bien informado en materia de ciberseguridad. Aquí es donde una plataforma de supervisión de la seguridad y de SOC puede proporcionar controles y equilibrios para garantizar que tus proveedores de IT están trabajando teniendo en cuenta tus mejores intenciones.
La ciberseguridad es un objetivo en movimiento, ya que las estrategias de ciberseguridad evolucionan para defenderse de las metodologías de ataque que también evolucionan constantemente. Por eso es tan importante contar con un proveedor de IT que tenga una amplia experiencia en seguridad. Debido a que los proveedores de servicios de IT deben gestionar múltiples entornos, algunas cosas se pueden pasar por alto y a veces se pueden tomar atajos para que sea más conveniente. Desgraciadamente, esto también lo hace más cómodo para los hackers. Los grandes proyectos, como las migraciones a la nube, pueden apresurarse y la seguridad puede pasar a un segundo plano.
La arquitectura de seguridad es tan importante como las herramientas
Contar con las herramientas adecuadas para el trabajo es importante para casi cualquier empresa, pero las herramientas de seguridad no son suficientes para proteger tu red y tus activos digitales de las amenazas externas. Si lo fueran, habría muchos menos ciberataques en las noticias. Aunque la segmentación de la red desempeña un papel importante en la contención de una invasión de malware, la segregación de los usuarios también es fundamental. Esto implica la clara separación de los usuarios finales (uno de tus eslabones débiles) de los elementos críticos de la red y de los datos valiosos.
Es habitual que las PYMES permitan a sus usuarios compartir archivos de forma permisiva entre ellos. Esto puede implicar el uso de recursos compartidos de administración de forma inapropiada para compartir un volumen de servidor completo para crear un único destino de archivos para todos. Puede incluir el uso compartido de cuentas personales de OneDrive o Dropbox. Los proveedores de servicios de IT a menudo heredan estas prácticas vulnerables cuando adquieren un nuevo cliente PYME que simplemente no sabía lo que hacía. Sin embargo, estas prácticas pueden requerir un tiempo considerable para ser reajustadas y, por lo tanto, pueden ser pospuestas para después, algo que finalmente no ocurre.
El principio de mínimos privilegios
Del mismo modo que una buena crianza implica conceder a los niños sólo el nivel de libertad y responsabilidad adecuado para su edad, a los usuarios sólo se les deben conceder los privilegios exactos que sean apropiados para su función laboral. Esto no sólo se aplica a los puestos de nivel inferior. No hay razón para que las cuentas de administrador de red tengan acceso de lectura al directorio de archivos de los empleados de RRHH o a otra información sensible. Hay casos en los que un administrador interno necesita realizar algún tipo de tarea en una carpeta seleccionada que contiene datos sensibles. En lugar de tener acceso privilegiado a la carpeta, el administrador debería tener que tomar primero el control de la carpeta, un evento que desencadenaría una alerta que puede ser registrada para una futura investigación si es necesario.
Las empresas suelen centrar sus esfuerzos en las amenazas externas mientras subestiman el riesgo de las amenazas internas a su red. Alguien con un conocimiento íntimo de la red, los protocolos de seguridad y la cultura de la organización suele tener más posibilidades de espiar sin ser detectado que alguien de fuera. Si bien es cierto que queremos confiar en nuestros empleados, la confianza debe asignarse en forma de mínimos privilegios. Al igual que ninguna persona del gobierno debe tener demasiado control en una sociedad donde hay separación de poderes, ninguna cuenta debe tener acceso a todo
Restricción de los derechos de administración local
Un estudio realizado en 2017 mostró que el 94% de las vulnerabilidades de Microsoft pueden mitigarse fácilmente eliminando los derechos de administrador local de los usuarios estándar. Esto se debe a que cualquier malware descargado por un usuario hereda los derechos y privilegios de esa cuenta. Los usuarios estándar no necesitan derechos de administrador local en estos tiempos. Lamentablemente, las empresas continúan con esta práctica que amplía enormemente su exposición a los ataques. Una de las razones para hacerlo es reducir las llamadas al servicio de asistencia técnica, ya que los usuarios que carecen de derechos de administrador local necesitarán periódicamente ayuda para superar un aviso de control de acceso (UAC) o para instalar una aplicación o un periférico.
La seguridad debe regirse por las políticas
Los enlaces débiles se crean cuando algunos enlaces se tratan de forma diferente a otros. Conectar un nuevo dispositivo a la red nunca ha sido tan fácil gracias al acceso inalámbrico. Un enfoque descentralizado de la seguridad ya no es viable. Hay que asegurarse de que todos los ordenadores están protegidos con las mismas medidas de protección y que todos los usuarios deben cumplir un estándar mínimo de seguridad. Esto se consigue mediante el despliegue de políticas. Estas políticas se utilizan para ofrecer ajustes de configuración obligatorios o para aplicar restricciones de seguridad y cumplimiento. En el caso de las redes de dominio locales, esto se suele hacer mediante la Directiva de Grupo de Windows. Para máquinas móviles o remotas, un MDM como Microsoft Endpoint Manager es una mejor opción.
No te quedes corto en seguridad
El viejo dicho de que «se obtiene lo que se paga» es una metáfora que suele ser cierta en la vida. Sin duda, es un buen consejo que hay que seguir a la hora de asegurar tu red. Esto no significa que tengas que dotar en exceso las herramientas que tienes. Los distintos sectores se enfrentan a diferentes tipos de amenazas, por lo que no todas las organizaciones necesitan el mismo conjunto de herramientas. Esta es una de las razones por las que es importante elegir un proveedor de IT que sea neutral con respecto a los proveedores. No deberías adaptarte a los servicios de seguridad de tu proveedor de IT. Ellos deben reunir el conjunto de soluciones que satisfagan tus necesidades.
Sólo una cuestión de tiempo
Un último dicho: es sólo cuestión de tiempo. Por desgracia, es algo más que una afirmación trillada cuando se trata de ciberseguridad. El hackeo es un gran negocio hoy en día. Las organizaciones criminales y las naciones-estado invierten grandes cantidades de tiempo y dinero en sus esfuerzos maliciosos. El responsable de la amenaza ya no es un individuo solitario en un sótano. Se trata de una organización bien formada y bien financiada. Estas organizaciones se aprovechan de los eslabones débiles de las empresas para ahorrar tiempo, ya que también están haciendo malabares con múltiples proyectos. Al final, es tu trabajo asegurarte de que no hay eslabones débiles en tu cadena de defensa, incluso si tu eslabón débil termina siendo tu proveedor de servicios de IT.