El ciber ataque que sufrió hace pocos años una reconocida cadena minorista en Estados Unidos alertó toda la comunidad de seguridad mundial de la naturaleza compleja del crimen virtual perpetrado por intermedio de terceros. Claro, hace mucho se sabe que los prestadores externos de servicios representan un riesgo adicional - sean estos los propios atacantes, el canal o apenas otra víctima. Y da lo mismo si ellos trabajan físicamente en sus instalaciones o remotamente. Pero lo que llamó la atención, en el caso específico, fue el nivel de sofisticación de los atacantes, lo que hace con que cualquier proveedor, por importar lo pequeño que sea su aparente riesgo, sea considerado una puerta de entrada que puede llevar a una verdadera tragedia corporativa. Este caso nos enseñó que todo proveedor importa; no importa que sea el responsable “solo del mantenimiento de un sistema de aire acondicionado” (como era el caso de este minorista) para que su riesgo sea insignificante.
Por esto, la gestión de riesgos de prestadores de servicios debe ser un ítem de especial atención. Evaluar y conocer los riesgos es vital; así como mitigarlos adecuadamente.
Los sistemas de control de acceso basados en el principio de "mínimo acceso necesario" deben ser ampliamente usados. Ejemplos son los mecanismos de Gestión de Identidades y de Control de Acceso – logran inclusive utilizar múltiples factores de autenticación (biometría, tokens, etc.); rastreabilidad y no-repudio son elementos adicionales que deben ser usados para asegurar que terceros utilicen los sistemas y sus prerrogativas de acceso de forma adecuada, solo para atender los objetivos del negocio, y únicamente durante el plazo contractual; y además, deben existir controles para asegurar que los accesos de estos sean revocados apenas el contrato este fuera de vigencia.
Pero es necesario ir más allá. Actualmente, la sofisticación de los ciberdelincuentes y sus herramientas de ataque demandan nuevos mecanismos de defensa. Malwares y Ramsonware pueden infiltrarse en el ambiente de tecnología corporativo por proveedores desatentos o corruptos y fácilmente desplazarse lateralmente por atrás de los mecanismos tradicionales de seguridad perimetral, buscando objetivos de alto valor, como bases de datos con información y datos de carácter crítico. Trabajar con Objetivo de Confianza Reducido (Reduced Scope of Trust o RSOT), según Gartner, es la mejor alternativa para hacer frente a los desafíos traídos por redes corporativas actuales que son accedidas por proveedores, dentro o fuera de las instalaciones de la organización.
Ya existen alternativas en el mercado que permiten reducir el alcance o los círculos de confianza como propuesta, o sea, con el uso intrínseco de cifrado en una capa de abstracción sobre la infraestructura existente. Una de esas alternativas usa técnicas de micro-segmentación definidas por software. Crea redes seguras definidas por software, con costo de implementación bajo y que abstraen la infraestructura subyacente – logrando, por lo tanto, aprovechar toda la inversión ya realizada en hardware y software de red. Por no ser una solución que requiere transformación en la red actual, puede ser implementada de modo paulatino – se identifica un caso de uso prioritario con un conjunto inicial de usuarios o sistemas y se puede aumentar a lo largo del tiempo.
Otra ventaja es el bajo costo operacional, pues siendo definidos por software, los círculos de confianza micro-segmentan sistemas y pueden aislar los proveedores de modo simple y con agilidad para reconfigurarlos. Los prestadores de servicios son autorizados por medio de su identidad, en función de lo mínimo que necesitan saber y de esta forma limitando el acceso a un modo seguro donde quiera que estén (local o remotamente), sin lidiar con direccionamiento, reglas de firewalls o VPN. Un manto cifrado hace invisibles a los usuarios no autorizados de los sistemas ahí incluidos. O sea, para quien no tiene derecho de acceso, aquel objetivo de confianza simplemente no existe, tampoco sus usuarios y sistemas, volviéndolos inmunes a las técnicas de descubrimiento y exploración usadas por los ciberdelincuentes y malwares para reconocimiento de ambientes.
Por lo tanto, en el ejemplo del caso antes mencionado del minorista, si un proveedor es atacado por criminales cibernéticos, y es usado de “puente” hasta los sistemas críticos de su empresa, el atacante sólo tendría visibilidad de los sistemas del micro-segmento del proveedor, aun aplicando técnicas de exploración de red. El atacante identificaría en la red apenas los sistemas de aire acondicionado, y nada más. Su barredura no identificaría ambientes sensibles, como las bases de datos de tarjeta de crédito entonces el minorista podría sufrir algún daño, pero no la calamidad que vivió.
Como hemos visto, las empresas actualmente tienen un factor de riesgo importante, que es la utilización del trabajo de terceros para alcanzar sus objetivos de negocio. Con modelos de servicios cada vez más complejos, las conexiones de red y la forma de interactuar con estos prestadores de servicios se vuelve también cada vez más intrincada, y un desafío para administradores de seguridad. Se requiere un nuevo abordaje para la seguridad. La tendencia y la recomendación de especialistas es trabajar con objetivos de confianza reducidos, aprovechando algunas tecnologías innovadoras ya disponibles en el mercado, con costo y riesgo de implementación bajos. Vale la pena reflexionar al respecto y repensar cómo tratamos seguridad en las organizaciones en que operamos.
Por: Redacción Leonardo Carissimi lidera la Práctica de Seguridad de Unisys en América Latina
0 Comentarios
Deje su comentario