2 de septiembre de 2022
Por Guermellou Mohammed - Arquitecto de seguridad en la nube, Skyhigh Security
Hoy en día accedemos a muchos servicios legítimos de comunicación personal en la nube, como WhatsApp, tanto para fines laborales como personales. Sin embargo, a veces esos servicios legítimos en la nube pueden utilizarse indebidamente y provocar una exposición de riesgo de los datos corporativos. A lo largo de este blog, hablaremos de los retos que plantean las aplicaciones web personales que eluden la tecnología proxy para exfiltrar datos e inyectar malware y de cómo la cartera Security Service Edge (SSE) de Skyhigh, con Remote Browser Isolation (RBI), puede reducir la superficie de ataque y limitar la exposición de los datos.
Hoy en día, las plataformas de comunicación son esenciales. Estas plataformas se utilizan para estar conectados con la familia y los compañeros de trabajo y para hacer nuevos amigos. Su uso se vio acelerado por la COVID-19 y el nuevo lugar de trabajo moderno, en el que a menudo trabajamos fuera de los espacios de oficina, donde podemos socializar con compañeros y amigos. Al trabajar exclusivamente desde casa o desde otros lugares remotos, reducimos el tiempo que nos vemos y, como resultado, las tecnologías de la comunicación como WhatsApp, Signal y Telegram se están utilizando tanto para fines personales como laborales.
Nuevos riesgos introducidos en el lugar de trabajo moderno
WhatsApp es una aplicación móvil muy utilizada para la comunicación. La aplicación por sí misma no supone un riesgo de seguridad para las organizaciones, ya que el usuario utiliza su dispositivo personal para acceder al servicio. Pero, ¿qué ocurre cuando unimos dispositivos gestionados por la empresa y personales, como cuando utilizamos la versión web de WhatsApp desde un dispositivo gestionado? Este uso se consideraría un riesgo en el dispositivo corporativo. Veamos más detenidamente cómo funciona el servicio de WhatsApp y dónde reside el riesgo.
Cuando un usuario accede a whatsapp.com, se le pide que empareje su dispositivo móvil con el portal web, lo que hace que el servicio web lleve las conversaciones a través del navegador local. Técnicamente, el navegador del equipo local establece una comunicación segura con el servicio web de WhatsApp. Esta comunicación es un mensaje bidireccional denominado socket web. La función de la tecnología proxy es asegurar el tráfico web inspeccionando las comunicaciones HTTP, pero no puede inspeccionar el contenido de las comunicaciones de socket web, como se muestra en la figura 1.
Figura 1. Diagrama que describe una sesión WebSocket
Una vez instalada la aplicación web de WhatsApp en un dispositivo corporativo, un usuario puede cargar y exfiltrar datos corporativos sensibles. Esto hace imposible la aplicación de la política DLP del proxy en la nube porque los datos están cifrados y no serán inspeccionados. Como puede verse en la figura 2, los datos eluden el control del proxy en la nube.
Figura 2. Los mensajes bidireccionales eluden las inspecciones del proxy de reenvío
En el vídeo de demostración de Datos filtrados a través de WhatsApp, un usuario intenta compartir un documento confidencial que contiene información sobre una tarjeta de crédito utilizando su correo electrónico personal, pero según la política de DLP del proxy en la nube, la información contenida en el archivo es demasiado sensible para ser cargada en un buzón personal, por lo que se bloquea. Entonces, para saltarse esta restricción, el usuario intenta copiar y pegar el contenido del archivo directamente en el navegador. Como antes, se activa la Política DLP del proxy en la nube, y el intento de copia se bloquea de nuevo. En un último intento, el usuario utiliza WhatsApp Web y empareja su dispositivo. Esta vez son capaces de subir el archivo sin que la DLP del proxy web en la nube inspeccione el contenido.
Superar los retos
Comprender este riesgo plantea un dilema a los administradores. Tienen que decidir si permiten a los usuarios acceder a estos servicios de comunicación mientras trabajan desde casa o si bloquean WhatsApp para protegerse contra este riesgo y, al mismo tiempo, obstaculizar la capacidad de trabajo del usuario. La solución ideal será permitir que el usuario utilice este servicio (u otros) manteniendo a salvo los datos corporativos. Por lo tanto, las tecnologías de aislamiento aportarán al administrador el nivel de seguridad que necesita en todo momento, al tiempo que permitirán a los usuarios menos restricciones a la hora de acceder a los servicios web.
Las tecnologías de aislamiento impiden que el contenido del sitio web se ejecute en el navegador local de la máquina del usuario trasladándolo a una ubicación remota segura. Entonces, sólo se muestra una imagen del contenido del sitio web objetivo en el navegador de la máquina local. Ninguno de los contenidos potencialmente comprometidos del sitio web se ejecutará en la máquina local, lo que reduce automáticamente la exposición a la vulnerabilidad del navegador y el riesgo de secuestro de cookies. Según la investigación Innovation Insight de Gartner para Remote Browser Isolation (requiere suscripción), las organizaciones que utilizan tecnologías de aislamiento pueden reducir la superficie de ataque en un 70%. El diagrama de la figura 3 muestra la tecnología Skyhigh Security Remote Browser Isolation (RBI) y cómo se sitúa entre el navegador local y el servicio de WhatsApp.
Figura 3. Aislar WhatsApp e inspeccionar antes de entrar en la comunicación WebSocket
Nuestro vídeo de demostración de WhatsApp Secured with RBI ofrece un ejemplo de un usuario que intenta acceder al servicio web de WhatsApp. WhatsApp web estará abierto dentro de un entorno de nube de aislamiento en Skyhigh Security Cloud y sólo se enviará al navegador local la imagen de las conversaciones. Se establece un socket web entre el entorno de nube de aislamiento con el servicio de WhatsApp asegurado con RBI que permite al administrador controlar todas las actividades realizadas desde la sesión de aislamiento.
Puntos clave
La tecnología de aislamiento aporta a los proxies web más libertad para aplicar acciones en lugar de limitarse a permitirlas y bloquearlas. Es como en la industria del automóvil, donde la invención de los frenos permitió aumentar la velocidad de los coches de forma segura. Como los frenos pueden impedir que un coche vaya demasiado rápido y pierda el control, los ingenieros han desarrollado motores más potentes que pueden ir a velocidades más altas, más seguros de que estas velocidades pueden controlarse de forma más segura.
Del mismo modo, la tecnología de aislamiento abre la puerta a los controles de proxy web, al retirar toda la ejecución de la máquina local a un navegador seguro aislado. Esto reduce la necesidad de los administradores de mantener enormes listas de excepciones y da más libertad al usuario mientras trabaja desde casa. Este enfoque también apoya los principios de la Arquitectura de Seguridad de Confianza Cero, ya que no confiamos en el sitio de destino ni en su contenido, sino que evaluamos y eliminamos continuamente la ejecución de cualquier riesgo potencial de la máquina corporativa a un navegador seguro y remoto.
Enlaces útiles
Volver a Blogs