Por Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
22 de octubre de 2024 3 Minuto de lectura
Como profesional de la ciberseguridad en Skyhigh Security, y como tecnólogo dedicado a la defensa de los activos críticos de nuestra nación, llevo años observando cómo los actores de las amenazas sondean y explotan los dispositivos periféricos orientados a Internet, esas pasarelas críticas que conectan nuestras redes corporativas con el mundo digital en general. Por eso acojo con gran satisfacción las últimas orientaciones del Centro Australiano de Ciberseguridad (ACSC) sobre seguridad de los bordes para proteger estos componentes vitales de las infraestructuras.
El momento no podría ser mejor. Estamos asistiendo a un aumento sin precedentes de ataques sofisticados dirigidos a dispositivos periféricos, desde cortafuegos de nueva generación hasta equilibradores de carga y concentradores VPN. Ya no son sólo componentes de red: son la primera línea de defensa en un panorama cibernético cada vez más hostil. Cuando se ven comprometidos, pueden proporcionar a los atacantes un punto de apoyo privilegiado en nuestras redes, exponiendo potencialmente datos sensibles y sistemas críticos.
El problema fundamental de las tecnologías VPN, por ejemplo, reside en el hecho de que crean un punto de acceso público; un objetivo constante para los atacantes que buscan puntos débiles. Una autenticación (o explotación) exitosa mediante VPN permite tanto a los usuarios como a los atacantes entrar en su red. Con grandes recompensas potenciales, las VPN siguen siendo un objetivo primordial. Los ataques pasados, presentes y futuros así lo demuestran: los datos lucrativos las convierten en una diana implacable para los ciberdelincuentes.
Y como dice el viejo refrán: "si eres localizable, eres infranqueable". ¿Qué hemos aprendido de las amenazas recientes?
- Amenazas internas e ingeniería social: Lapsus$ nos mostró el enorme impacto que tiene el aprovechamiento de las tecnologías de acceso remoto basadas en el borde mediante la explotación de personas internas de confianza y la ingeniería social.
- Ransomware: Campañas como *Qilin*, *Akira* y *Fog* siguen teniendo como objetivo a organizaciones de todo el mundo que confían en VPN y credenciales estáticas en tecnologías basadas en el borde.
- Vulnerabilidades: Los fallos críticos y las vulnerabilidades de día cero en los dispositivos de borde de Fortinet, Check Point, Ivanti y otros siguen dejando expuestas a las organizaciones.
- Campañas dirigidas: Los atacantes se dirigen continuamente a las tecnologías VPN basadas en bordes de Cisco, Check Point y otros para violar las redes utilizando credenciales robadas.
Lo que hace que la última guía de la ACSC sea especialmente valiosa es su enfoque holístico de la seguridad de los dispositivos periféricos. En lugar de centrarse únicamente en las configuraciones técnicas, hace hincapié en la importancia de una arquitectura de seguridad integral, unos controles de acceso adecuados y una supervisión continua. Esto se alinea perfectamente con lo que hemos observado sobre el terreno: el éxito de la protección de los dispositivos periféricos requiere una estrategia por capas que combine controles técnicos sólidos con prácticas operativas sólidas.
Sus orientaciones mencionan la autenticación multifactor (AMF) como una importante estrategia de mitigación, pero yo añadiría que hoy en día se necesita mucho más para complementar la AMF. En muchos de los ciberataques y campañas de amenazas antes mencionados, los atacantes han eludido muy fácilmente la MFA con lo que se conoce como técnicas de Fatiga o Bombardeo de la MFA.
Entonces, se preguntará: ¿en qué más deberíamos pensar?
"Confianza Cero" puede venir inmediatamente a la mente en este caso. Desgraciadamente, "Confianza Cero" ha sido exagerado fuera de toda proporción racional. Todo el revuelo parece eludir un punto fundamental: La Confianza Cero no es un producto, y elogio a la ACSC por no sugerirlo. Si bien es cierto que un producto o servicio puede formar parte de una estrategia de seguridad de Confianza Cero, ningún producto por sí solo puede satisfacer todos los requisitos de Confianza Cero y transformar su organización. La arquitectura Zero Trust requiere coordinar múltiples sistemas, desde los servicios de identidad y autenticación hasta los motores de clasificación de datos.
A diferencia de los sistemas VPN tradicionales que tienden a confiar en los usuarios una vez que se han conectado a la red, la arquitectura de Confianza Cero verifica continuamente a cada usuario y dispositivo que intenta acceder a los recursos, independientemente de su ubicación o acceso previo. Esta verificación constante resulta crucial en el mundo actual, en el que se trabaja en todas partes -desde las redes de las oficinas a la Wi-Fi doméstica, pasando por las cafeterías-, lo que hace más difícil mantener la seguridad confiando simplemente en todo el mundo dentro del perímetro de una red corporativa.
Donde yo ampliaría las orientaciones de la ACSC es en la necesidad de una transición basada en el riesgo de la seguridad tradicional de borde. Aunque los servicios de seguridad en la nube ofrecen ventajas convincentes, un enfoque híbrido suele tener más sentido desde el punto de vista estratégico. Algunos sistemas críticos y datos sensibles pueden necesitar permanecer en las instalaciones debido a requisitos normativos y/o de soberanía, sensibilidad y clasificación de los datos, preocupaciones por la latencia o consideraciones sobre la continuidad del negocio.
La clave está en modernizar la seguridad periférica reconociendo al mismo tiempo que las distintas partes de su infraestructura pueden requerir enfoques diferentes. Esto podría significar mantener algunos componentes e infraestructuras locales que aún soportan los principios de Confianza Cero para casos de uso específicos mientras se adoptan servicios de seguridad proporcionados por la nube para otros, asegurándose de que cada elección está impulsada por la evaluación de riesgos en lugar de seguir un mandato universal de nube primero.
Estas directrices nos recuerdan que la seguridad periférica va más allá de los parches y las reglas del cortafuegos. Se trata de construir sistemas resistentes que equilibren la seguridad con las necesidades empresariales. A medida que el trabajo híbrido y las complejas cadenas de suministro digitales se convierten en la norma, las nuevas directrices de seguridad de borde de la ACSC ofrecen una base sólida para proteger nuestros puntos de entrada de red cruciales.
Aunque algunos pueden argumentar que la nueva guía de seguridad perimetral de la ACSC no es lo suficientemente exhaustiva o prescriptiva como para "cubrir todas las bases" por así decirlo, sirve como un importante recordatorio y una llamada a la acción para reevaluar la gran dependencia de las tecnologías perimetrales y perimetrales tradicionales, que todavía prevalecen en nuestros sectores gubernamentales y de infraestructuras críticas, a pesar de tantas amenazas en evolución.
Volver a Blogs