Todos cometemos errores. Esa frase me la inculcaron en mi primer trabajo en tecnología, y se ha mantenido así desde entonces. En el mundo de la ciberseguridad, las configuraciones incorrectas pueden crear problemas explotables que pueden atormentarnos más adelante, así que veamos algunas configuraciones incorrectas de seguridad comunes.
El primero son los permisos de desarrollo que no se modifican cuando algo se pone en marcha. Por ejemplo, a los depósitos de AWS S3 a menudo se les asigna acceso permisivo mientras se lleva a cabo el desarrollo. Los problemas surgen cuando las revisiones de seguridad no se realizan cuidadosamente antes de publicar el código, sin importar si ese impulso es para el lanzamiento inicial de una plataforma o para actualizaciones.
El resultado es directo; un cubo se pone en marcha con la capacidad de que cualquier persona pueda leer y escribir desde y hacia él. Esta mala configuración en particular es peligrosa; dado que la aplicación está funcionando y el sitio se está cargando para los usuarios, no hay indicios visibles de que algo esté mal hasta que un actor de amenazas que busca baldes abiertos tropieza con él.
Las revisiones de seguridad cuidadosas de todas las aplicaciones y sitios antes de que se envíen al entorno en vivo, tanto para el lanzamiento inicial como para los ciclos de actualización, son fundamentales para detectar este tipo de configuración incorrecta. Cada depósito debe verificarse para asegurarse de que tenga los permisos menos viables establecidos para permitir que la plataforma funcione, y nada más.
En el lado de la casa que no está en la nube, una de las configuraciones incorrectas más comunes es no aplicar la Política de grupo, el antimalware y otras reglas y actualizaciones de administración centralizadas. Las computadoras portátiles que rara vez se conectan directamente a la red de una empresa pueden pasar meses sin recibir estos cambios críticos, dejándolas indefensas a medida que cambia el panorama de seguridad.
Un ejemplo común es una computadora portátil que ha estado en roaming durante un período prolongado. Es posible que no se permita que una computadora portátil de este tipo reciba actualizaciones de la política de grupo de Active Directory cuando no está en una VPN u otra conexión segura, lo que provocaría que sus GPO se desactualicen con el tiempo. Esto significa que las acciones u operaciones prohibidas pueden ser posibles en una computadora portátil de este tipo, dejando la red protegida expuesta cuando ese dispositivo finalmente se conecte de tal manera que una vez más tenga acceso a los recursos protegidos.
La solución para esto es garantizar que los dispositivos con acceso a los recursos de la organización deben aceptar los cambios de administración de la organización. Las herramientas como AzureAD y las plataformas antimalware descentralizadas pueden permitir que los dispositivos remotos reciban actualizaciones de forma segura. La conectividad HTTPS generalmente es suficiente para que estas herramientas envíen actualizaciones y apliquen cambios de política.
El uso de la administración distribuida de dispositivos garantiza que se mantengan en línea con la política, incluso los dispositivos que solo se usan para acceder a los recursos disponibles en la nube, como Office365, y no se conectan directamente a las redes protegidas de la organización con regularidad.
Muchas de estas herramientas, especialmente cosas como los sistemas antimalware, ni siquiera requieren que el dispositivo sea administrado por plataformas de administración de dispositivos móviles. Esto significa que incluso si el dispositivo no es «propiedad» de la organización, aún puede mantenerse actualizado y protegido.
Ya que estamos en el tema de los trabajadores remotos, hay otra configuración incorrecta que ocurre con regularidad. Los sistemas VPN permiten que los trabajadores remotos accedan a los datos de la empresa de manera segura, pero una gran cantidad de clientes VPN tienen una configuración insegura lista para usar. Las configuraciones de VPN de túnel dividido enrutan el tráfico de usuarios a través de la red segura solo cuando se accede a los sistemas protegidos, pero envían el resto del tráfico directamente a Internet.
Esto significa que cuando un usuario intenta comunicarse con un servidor de archivos, lo hace a través de la VPN, pero una llamada a Salesforce se realiza a través de Internet sin protección. Si bien esto beneficia el rendimiento, el problema que crea es que el dispositivo de un usuario puede crear un puente entre el mundo exterior y la red interna. Con un poco de ingeniería social, un actor de amenazas puede crear una conexión persistente con el dispositivo del usuario y luego aprovechar el túnel VPN de ese usuario para ingresar a la red protegida.
La gran mayoría de los clientes VPN admiten configuraciones de un solo túnel. Esto significa que mientras la VPN esté activa, todo el tráfico se enrutará a través de las redes organizacionales, incluido el tráfico destinado a fuentes externas. También significa que todo el tráfico también estará sujeto a los mismos controles que el tráfico que se origina en los usuarios conectados directamente a las redes protegidas.
Si bien las configuraciones incorrectas pueden ocurrir muy fácilmente, representan una clara amenaza para la seguridad de la organización. Tomarse el tiempo para revisar la seguridad cuando las herramientas se ponen en marcha o se actualizan puede detectar tales configuraciones erróneas.
Además, las empresas pueden implementar herramientas de validación de seguridad continua que desafían y evalúan continuamente los entornos digitales de la misma manera que lo hace un actor de amenazas para descubrir configuraciones erróneas rápidamente.
La combinación de estos dos enfoques de revisión y validación de seguridad continua agrega cierta complejidad a los proyectos, pero vale la pena cada momento dedicado a garantizar que las cosas estén configuradas adecuadamente en cada paso del camino.
Para obtener más información, visite www.cymulate.com y regístrese para una prueba gratuita.
