El arriesgado nuevo mundo del trabajo

Es justo decir que 2020 cambió drásticamente el lugar de trabajo. A nivel mundial, los gobiernos obligaron a los ciudadanos a trabajar desde casa, siempre que fuera posible. Los grandes bloques de oficinas se vaciaron mientras los equipos de TI se apresuraban a implementar tecnología y sistemas para respaldar a una fuerza laboral predominantemente remota. A medida que comenzamos a mirar más allá de COVID, las organizaciones planean adoptar permanentemente estos modelos de trabajo híbridos y remotos a largo plazo.

A medida que las organizaciones y los empleados se adaptan a las nuevas prácticas laborales, los ciberdelincuentes buscan capitalizar los cambios, dice David Cummins, vicepresidente de EMEA, Sostenible.

De acuerdo con la foro Economico MundialInforme de riesgos globales de 2022, el fracaso de las medidas de ciberseguridad se destaca como un riesgo clave a corto plazo que enfrentan las organizaciones en la actualidad. El año pasado hubo un aumento dramático en los ataques cibernéticos a agencias gubernamentales y empresas a nivel mundial, muchas aprovecharon la crisis de COVID-19 para infiltrarse en las redes.

Según el estudio, el volumen de ataques se duplicó desde la segunda mitad de 2019 hasta la primera mitad de 2020. Este año esa tendencia ha continuado incluyendo una serie de ciberataques a gran escala que han paralizado a las organizaciones. En enero, los atacantes atacaron Microsoft Exchange Servers de organizaciones a nivel mundial, en julio MSP Kaseya fue violada con algunos informes que estiman que cientos de miles de sus clientes quedaron atrapados en el ataque. Los titulares están dominados por amenazas e infracciones exitosas similares.

Las organizaciones deben abordar los riesgos cibernéticos nuevos y no administrados introducidos en el nuevo mundo del trabajo para evitar más ataques exitosos.

Cómo el trabajo híbrido presenta riesgos

Empleados en masa ahora acceden a datos y propiedad intelectual confidenciales fuera de los confines de la oficina. Además, un trabajador híbrido podría estar en la oficina corporativa un día y al siguiente conectarse de forma remota a través de enrutadores domésticos o incluso puntos de acceso WiFi (lo que se conoce como el tercer espacio de trabajo).

Para permitir este paso a un modelo de trabajo híbrido se requieren tres cambios significativos, todos los cuales sirven para atomizar la superficie de ataque:

1. Disolver los perímetros tradicionales del lugar de trabajo y proporcionar tecnología que permita a los empleados trabajar desde cualquier lugar.
2. Traslado de funciones críticas para el negocio a la nube
3. Ampliando rápidamente la cadena de suministro de software con nuevas herramientas para la colaboración, la comunicación y la productividad.

Dados los desafíos del año pasado, muchas organizaciones se vieron obligadas a adaptar sus prácticas laborales en un período de tiempo mucho más corto de lo que sería ideal, incluida la migración acelerada hacia aplicaciones basadas en la nube y modelos de software como servicio (SaaS). Estos cambios hicieron que la superficie de ataque corporativa explotara.

Cuando se vio obligado a elegir entre operatividad y seguridad, priorizar la usabilidad de la TI fue a menudo el factor principal. Sin embargo, esta prisa por respaldar el nuevo entorno de trabajo puede haber introducido nuevos riesgos de seguridad críticos, con muchas organizaciones luchando por comprender y abordar los riesgos introducidos. Dado que estos movimientos ahora son permanentes, las soluciones de seguridad de curita que muchas organizaciones implementaron el año pasado ahora deben ser reemplazadas por estrategias de seguridad escalables a largo plazo.

Anatomía de un ataque

El primer paso para abordar los nuevos riesgos introducidos es comprender a qué nos enfrentamos.

Cuando observamos cómo se desarrollan los ataques, en la gran mayoría de los casos, los malos actores suelen perseguir la fruta madura en las redes con vulnerabilidades conocidas pero no parcheadas. Esta es una vista que se repite en el NCSC, junto con una serie de aliados internacionales, que confirma que los ciber actores malintencionados continúan apuntando a vulnerabilidades conocidas en dispositivos de tipo perimetral.

Habiendo explotado una vulnerabilidad para ganar terreno en la organización, los atacantes se centrarán en Active Directory y la infraestructura de identidad para escalar privilegios y moverse lateralmente, con el objetivo de atacar más vulnerabilidades, instalar malware y exfiltrar datos.

Una vez que un atacante obtiene el control de Active Directory, efectivamente tiene las "llaves del reino" que puede usar para acceder a cualquier dispositivo o sistema conectado a la red. Además, si Active Directory actúa como proveedor de identidad (IdP), su compromiso podría afectar su solución de inicio de sesión único (SSO), dando a los atacantes aún más acceso a cuentas adicionales a las que un usuario podría estar configurado con acceso.

Para combatir esto, las organizaciones deben adoptar un enfoque de ciberseguridad de varios niveles, uno que busque evitar que los delincuentes obtengan ese control, los bloquee si entran y busque indicadores de compromiso para detener los intentos de exfiltrar datos y eliminar malos actores de la infraestructura:

Evite el agarre del dedo del pie: Si bien puede parecer simplista, la higiene cibernética básica juega un papel fundamental y actúa como la primera línea de defensa. Las organizaciones necesitan una estrategia moderna e integral para identificar de manera rápida y precisa las vulnerabilidades y las configuraciones incorrectas en sus infraestructuras dinámicas, que brinde orientación y recomendaciones claras sobre cómo priorizar y remediar cualquier riesgo. Estos son algunos pasos para ayudar:

• Detecte activamente todos los activos e identifique los procesos clave en toda la superficie de ataque dondequiera que resida, incluidos los activos en los entornos de nube y contenedor.
• Identificar todos los activos, aplicaciones y servicios críticos para el negocio, incluido quién los "posee" dentro de la organización.
• Habiendo identificado lo que es fundamental para el negocio, concentre los esfuerzos aquí primero para encontrar y corregir fallas conocidas. Esto evita que los atacantes conecten en cadena las vulnerabilidades, lo que permite una mayor explotación.

Prevenir el pivote: La disolución de los perímetros tradicionales hace que la configuración y la gestión de los privilegios de los usuarios y el acceso sean más críticos que nunca. Sin embargo, cuando se trata de Active Directory y la administración de acceso a la identidad, aquí es donde la mayoría de las organizaciones luchan. Aquí hay una lista de verificación de mejores prácticas para ayudar:

• Asegúrese de que solo los usuarios autorizados accedan a los datos y solo los datos a los que están autorizados a acceder. Exigir el uso de autenticación multifactor y contraseñas seguras (25 caracteres) en las cuentas de servicio y administrar activamente los grupos en los que se encuentran. Hacer cumplir el principio de privilegios mínimos en todos los terminales, bloquear la administración predeterminada y denegar el acceso a un administrador local integrado. cuenta y evitar los grupos integrados, que tienen demasiados permisos.
• Limpie los dominios en su red y limite el número de usuarios privilegiados, cuentas administrativas y permisos en la red.
• Utilice tecnología que escanea continuamente directorios en busca de vulnerabilidades de seguridad y configuraciones débiles. Supervise los eventos en Active Directory en busca de comportamientos no autorizados que puedan indicar signos de ataque. Y finalmente, implemente actualizaciones de software lo antes posible.

Monitoree las desviaciones: Si bien mantener a los malos actores fuera del entorno es el enfoque principal, también es importante planificar cómo identificar y prevenir a cualquiera que lo haga. A continuación, se muestran algunos pasos básicos a considerar:

• Los perfiles de riesgo de usuario adaptables basados ​​en condiciones, comportamientos o ubicaciones cambiantes permiten a la organización monitorear y verificar continuamente cada intento de acceder a los datos corporativos antes de otorgar o revocar la solicitud. Por ejemplo, alguien que usa un dispositivo propiedad de la empresa dentro del perímetro de la oficina durante el horario laboral puede considerarse de menor riesgo que alguien que se conecta usando su propio dispositivo a través de un punto de acceso WiFi inseguro a las 2:00 am.
• Emplee la segmentación de la red para evitar movimientos laterales incontrolados.
• Supervise continuamente los indicadores de compromiso. Como ilustración, un servidor en el sótano utilizado para controlar el aire acondicionado si de repente comienza a intentar conectarse a una fuente externa fuera de horas, esto podría justificar una investigación inmediata.

El nuevo mundo del trabajo ha destrozado la red corporativa, lo que ha obligado a alejarse de las arquitecturas de seguridad basadas en el perímetro. Las organizaciones necesitan la capacidad de ver la totalidad de la superficie de ataque en las instalaciones y en la nube. En conjunto, deben determinar dónde existen las vulnerabilidades y el impacto si se explotan.

Mejorar la higiene cibernética, tener ciclos de parches regulares, desarrollar planes para abordar los parches fuera de banda y realizar copias de seguridad periódicas pueden ayudar a preparar a su organización para la próxima vulnerabilidad que podría afectar su entorno de Active Directory. Los administradores y defensores deben estar preparados y vigilantes, implementando políticas para reducir su exposición y proteger su núcleo.

Si las estrategias de ciberseguridad no logran seguir el ritmo de los cambios comerciales, el riesgo actual podría convertirse en la realidad del mañana.

El autor es David Cummins, vicepresidente de EMEA, Sostenible.