Los pedidos de ayuda y el cierre de empresas no esenciales que se han implementado para frenar la propagación de COVID-19 han puesto la necesidad de continuidad del negocio en primer plano.
La mayoría de las empresas han pasado a un modelo de trabajo desde el hogar que permite a los empleados seguir trabajando mientras se adhieren a las medidas de distanciamiento social. Sin embargo, el cambio masivo al trabajo remoto trae un nuevo desafío: continuar asegurando el negocio al tiempo que proporciona la flexibilidad y el acceso que los trabajadores remotos ahora requieren.
Los equipos de seguridad están viendo un aumento en las amenazas de los piratas informáticos que se aprovechan de esta fuerza de trabajo remota (y vulnerable). De hecho, la CNBC informó que un tercio (36%) de los encuestados de nivel ejecutivo, los encuestados dijeron que las amenazas cibernéticas han aumentado a medida que la mayoría de sus empleados trabajan desde casa.
Estos cambios sin precedentes han afectado tanto a la naturaleza de los equipos de seguridad de la superficie de ataque deben defenderse como a las tácticas que deben anticipar de los actores de amenazas oportunistas.
Los equipos de seguridad tienen un papel importante que desempeñar en el fortalecimiento de la continuidad del negocio al garantizar que este cambio no cree compensaciones entre usabilidad y seguridad. Hay tres pasos que pueden seguir para comenzar a abordar este problema.
Ajustar líneas base de acceso remoto para la actividad “Nueva normalidad”
El aumento del trabajo remoto ha cambiado el aspecto “normal” a medida que los empleados acceden a redes corporativas desde ubicaciones dispares y atípicas y dispositivos desconocidos. Los equipos de seguridad deben mantenerse al tanto de las tendencias de acceso remoto y los patrones de uso para comprender qué comportamiento es ahora anómalo y digno de atención, frente a qué alertas pueden ser falsos positivos.
El seguimiento de la dirección IP de origen es una forma común de autenticar a los usuarios, pero puede no ser una línea base adecuada durante este tiempo cuando los empleados no están restringidos a una ubicación específica.
Los equipos de seguridad tendrán que autenticar a los usuarios de una variedad de redes, como proveedores de servicios de Internet domésticos, en varias ubicaciones. A medida que los usuarios se mueven fuera de la oficina, es probable que haya un aumento en las alertas falsas positivas para las anomalías de acceso remoto.
El aumento del ruido de la red de todos los nuevos trabajadores remotos puede dar a los atacantes la oportunidad de llevar a cabo ataques encubiertos contra portales de autenticación remota y redes privadas virtuales (VPN) mediante técnicas de adivinación y pulverización de contraseñas. Es por eso que es importante seguir monitoreando si hay anomalías y corregir rápidamente cualquier alerta.
Al mismo tiempo, las normas geográficas anteriores vinculadas a los viajes de negocios también han cambiado. Por ejemplo, los intentos de acceso remoto de otros países que no habrían levantado las cejas hace dos meses ahora pueden ser motivo genuino de preocupación porque ya no están vinculados a los patrones de viaje de los empleados.
Priorizar la visibilidad en redes y puntos de conexión para continuidad del negocio
La conectividad remota hace que sea más difícil para los equipos de seguridad registrar la actividad de la red y el punto de conexión porque los empleados se están alejando de las redes corporativas y utilizando dispositivos que no registran su actividad. Esto puede dar lugar a grandes brechas de visibilidad.
Las herramientas antivirus, detección y respuesta de endpoints (EDR) e incluso el software del sistema operativo nativo seguirán enviando sus registros a un servidor central para su recopilación y supervisión.
Dado que la mayoría de los agentes envían sus registros a un servidor local, los dispositivos que no están en la red interna tendrán que enviar registros a través de una VPN. Si los usuarios remotos no se conectan constantemente a la VPN, los registros se recopilarán en su dispositivo y no se enviarán hasta que se vuelvan a conectar, lo que significa que la detección y la respuesta se retrasarán.
Redes Virtuales Privadas (VPN)
La visibilidad de la red también se ve afectada por los dispositivos remotos que no están conectados a la VPN y no se enrutan a través de dispositivos de registro locales, como firewalls y servidores proxy web.
Las VPN de túnel dividido tampoco envían tráfico enlazado a Internet a través de la conexión VPN donde se registraría. Esto significa que los equipos de seguridad podrían perderse al notar la actividad de amenazas, como malware basado en la web, descargas maliciosas y exfiltración de datos.
El cambio a la infraestructura en la nube es una gracia salvadora en este sentido. Mientras que las tecnologías de red y de punto de conexión locales están sujetas a lagunas en la visibilidad, los productos en la nube permiten la supervisión “siempre activa” y los registros se almacenan directamente en la nube.
Microsoft 365 y otros servicios en la nube compartidos pueden registrar la actividad del usuario, ya que la interacción se produce en el servidor y no en el punto de conexión. Además, soluciones como email proporcionan visibilidad de amenazas como el enorme aumento de las campañas de phishing COVID-19.
Actualizar o eliminar las políticas de “Traiga su propio dispositivo”
El cambio repentino al trabajo remoto a gran escala puede obligar a las organizaciones a aclarar rápidamente o incluso eliminar gradualmente las políticas de Bring Your Own Device (BYOD) que permiten a los empleados usar dispositivos personales en casa.
Muchas empresas evitan BYOD incluso en tiempos normales, debido a mayores riesgos de seguridad, ya que los ordenadores personales, tabletas y teléfonos inteligentes pueden no estar
sujetos a los mismos controles que los activos corporativos y a menudo carecen de la agencia de registro y parches.
Si los empleados necesitan acceder a los recursos internos de la empresa, la mayoría de las veces necesitarán conectarse a la red corporativa a través de una VPN o infraestructuras de escritorio virtual (VDI).
Pero estos métodos pueden introducir nuevos riesgos; por ejemplo, una máquina que ya está infectada puede proporcionar a los atacantes la oportunidad de entrar en una red y moverse lateralmente.
Basándose en el riesgo, algunas empresas han logrado rápidamente equipar a los empleados con dispositivos corporativos o al menos fortalecer los protocolos para el uso de BYOD.
Una acción que los equipos de seguridad pueden realizar es crear perfiles a través de varias soluciones BYOD que permiten que el software de seguridad se inserte en dispositivos remotos. Esto permite a los equipos de seguridad extraer registros de auditoría y seguridad del dispositivo.
Es una buena idea habilitar las características que comprueban previamente los dispositivos para las actualizaciones y configuraciones de seguridad recientes, así como realizar análisis antivirus antes de que se les permita conectarse a la red.
La seguridad y la usabilidad no son mutuamente exclusivas
Un desafío en la mente de muchos líderes empresariales es mantener a los empleados felices y productivos durante este largo período de trabajo remoto. Pero hacerlo no tiene que crear riesgos de seguridad.
Al priorizar la seguridad junto con la capacidad de uso, las empresas pueden crear un entorno de trabajo que sea sin complicaciones e intuitivo, al tiempo que mantienen una visibilidad activa de las amenazas. Al supervisar los cambios en las tendencias de acceso remoto, maximizar la visibilidad entre los endpoints y apuntalar o eliminar gradualmente las políticas de BYOD, las organizaciones pueden optimizar su capacidad para responder a las amenazas.
