Noticias de DAASEL Corporación Jurídica

Las VPN son una preocupación para el Compliance

DC CIBER

Las empresas de todos los tamaños a menudo recurren a redes privadas virtuales , o VPN, para una capa crítica de seguridad de datos. Estas soluciones se utilizan para proteger la información del usuario que se transfiere a través de conexiones a Internet del acceso no autorizado. Las VPN pueden proteger con éxito a las empresas de entidades externas o piratas informáticos, pero ¿qué sucede cuando permite que un proveedor o un tercero acceda a su red central con uno?

¿Puede una VPN proteger a su empresa de alguien que ya está dentro?

La respuesta es no . Y aquí es donde pueden crear pesadillas de seguridad y cumplimiento.

Aunque probablemente todos estemos muy familiarizados con lo que es una VPN y lo que hace, vamos a relacionarla con algo que todos conocemos y entendemos: cerraduras en una puerta. Casi todas las puertas para ingresar a algún lugar tienen algún tipo de cerradura, ya sea su casa, su negocio o incluso un lugar donde va a comprar o comer. Las cerraduras son fuertes (en teoría), pero una vez que comienzas a regalar llaves a personas externas (como tu vecino, tu compañero de trabajo), ese lugar ya es menos seguro. Pero, le da a su vecino su llave de la casa para que vigile su lugar y reciba su correo mientras está fuera de la ciudad porque es fácil (y se siente más seguro que dejar su correo en su porche para alertar a todos que no está en casa).Del mismo modo, las empresas confían cada vez más en proveedores de tecnología externos para ejecutar operaciones esenciales en su red. Las empresas están dando claves de su red a entidades externas (como proveedores), y la mayoría de las veces, es en forma de conexión VPN. Cuando se utilizan VPN para facilitar este acceso, hay una serie de problemas de seguridad y normativos que deben resolverse.

En 2019, el Departamento de Seguridad Nacional del Reino Unido publicó dos alertas sobre ataques directos contra VPN. Las alertas describen cómo los piratas informáticos están apuntando a las vulnerabilidades de la VPN, como el restablecimiento de contraseñas, el intercambio de información y las funciones de recuperación de cuentas. Las vulnerabilidades se encuentran en el núcleo de la funcionalidad de la plataforma VPN , lo que podría permitir que un mal actor obtenga acceso a su red utilizando credenciales comprometidas. Una vez dentro de la cuenta, el atacante podría cambiar la configuración de seguridad, aumentar sus privilegios o incluso atacar e intentar apoderarse de otros dispositivos dentro de su empresa. Las contraseñas compartidas son una debilidad importante para la implementación de la infraestructura de VPN y, lamentablemente, una práctica común entre los proveedores.Esta es la razón por la que los administradores de redes necesitan herramientas diseñadas específicamente para mitigar los riesgos únicos asociados con los usuarios externos.

Falta de control de acceso

Las cosas empeoran aún más: las VPN causan más caos que control cuando se trata de acceso autorizado . Las VPN no facilitan a los administradores la definición de permisos de acceso a un nivel granular . Esto abre la puerta no solo a los malos actores, sino también a errores no intencionales que ponen en peligro los datos confidenciales. Aunque espera que nunca suceda, hipotéticamente, un técnico de soporte podría manipular fácilmente la configuración de la VPN si tiene acceso privilegiado. Pueden controlar las direcciones IP y las configuraciones de túnel dividido que permiten que las amenazas de Internet se crucen a sus VPN y luego a sus redes y sistemas internos. En otras palabras, su empresa podría estar en los titulares por una violación de datos si está utilizando una VPN para el acceso de proveedores.

A cada usuario de la red solo se le debe otorgar acceso a las redes, servidores y protocolos que necesitan para realizar su trabajo específico. Cualquier otra cosa pone en riesgo toda la red y su reputación.

Cómo se descomponen las VPN en entornos corporativos

Donde las VPN realmente se rompen es en la configuración de múltiples usuarios, el acceso remoto y el uso compartido del escritorio . Las VPN hacen que la infraestructura corporativa se convierta en un servicio gratuito para todos, abierto a cualquier persona que tenga información de inicio de sesión. Nuevamente, volviendo a la analogía clave, abre toda tu casa al caos. Acceso VPN para los vendedores deja su, más a menudo que no, toda una red abierta al caos. Veamos un par de formas diferentes en las que afecta a su red:

Sin auditoría o pista de auditoría

Las organizaciones de la salud, los juegos, las finanzas, el legal y otros sectores regulados deben cumplir con una variedad de leyes federales, estatales y locales destinadas a proteger los datos personales y privados. La auditoría y el análisis de rutina de sus redes, software y hardware es fundamental cuando se trata de cumplir con las regulaciones que requieren identificar vulnerabilidades o infracciones.

Las VPN ofrecen capacidades de auditoría limitadas . Si bien pueden ayudar a rastrear las conexiones de red, rara vez rastrean el comportamiento de los empleados y proveedores. Si solo usa VPN para el acceso de proveedores, el seguimiento detallado y la auditoría se vuelven más desafiantes (¡si no imposibles!) De lograr .

Sin autenticación

Aunque es posible desaprovisionar fácilmente el acceso de los empleados a las VPN tras la terminación, es más difícil cortar ese mismo acceso a proveedores o terceros. Y, si aún no lo sabía, los empleados de otras empresas comparten habitualmente contraseñas e información de inicio de sesión. A menudo, hay un largo lapso desde la terminación del empleado del proveedor hasta que se eliminan de su lista de VPN. Las VPN deben integrarse con otras soluciones para distinguir de manera efectiva a los usuarios autorizados de los no autorizados casi en tiempo real . Cualquier cosa menos es una ventana de tiempo de vulnerabilidad para los antiguos representantes de proveedores descontentos o nefastos.

Encuentre una alternativa segura y compatible a una VPN

Si bien las VPN pueden manejar cosas como empleados remotos o oficinas conectadas, sus capacidades se desmoronan rápidamente cuando las usa para brindar acceso a socios, proveedores y otros usuarios de terceros.

Lo que su empresa necesita es un enfoque más estructurado para la autorización, el control de acceso y la auditoría de terceros. Para obtener más información sobre cómo las VPN desempeñan un papel en las filtraciones de datos cuando se piensa en el acceso remoto de terceros y la administración de acceso de proveedores, consulte nuestro útil y detallado libro electrónico que habla sobre los principales métodos de ataque.

Asesoría en Ciberseguridad

DC CIBER.- Expertos en CIBERSEGURIDADDC CIBER

Le ayudamos a minimizar los riesgos y vulnerabilidades de su empresa en CIBERSEGURIDAD – Asesores en seguridad cibernética

Conseguir el conocimiento y las capacidades organizativas necesarias para poder gestionar la ciberseguridad en la organización. Esta fase supone las bases para las demás.
• Desarrollo normativo, Plan Director y SGSI
• Definición de controles, indicadores y cuadros de mando
• Auditorías de cumplimiento (GDPR, ENS, PIC, …)
• Análisis y gestión de riesgos

Implementar las contramedidas y salvaguardas que aseguren los servicios corporativos. Se trata de tener la capacidad de limitar o de contener el impacto de un suceso o evento de ciberseguridad.
• Asesoramiento en la incorporación de nuevas tecnologías
• Implantación de soluciones tecnológicas de Ciberseguridad
• Fabricación de soluciones y servicios propios

Identificar la ocurrencia de un suceso o evento de ciberseguridad, a tiempo.
Diagnósticos especializados (hackings, código fuente, …)
• Gestión de vulnerabilidades
Red team
• Infraestructuras de monitorización continua
• GMV SOC´s

Medidas de actuación ante un suceso o evento de ciberseguridad para tratar de contener el impacto.
GMV-CERT
SERVICIOS PROACTIVOS:
– Assessments
– Gestión de la configuración
– Inteligencia
SERVICIOS REACTIVOS:
– Gestión de incidencias
– Análisis forense

Enfocado a la recuperación y resiliencia, minimizando el factor tiempo.
Definición y ejecución de:
• BIA
• Plan de Continuidad de Negocio
• Pruebas

Póngase en contacto con nosotros y consúltenos todas sus dudas y preguntas sin compromiso

Contactar
Contactar

VPN para un acceso web privado y seguro? Desde la perspectiva de la protección de datos, la privacidad y el Compliance, es posible que haya que volver a pensarlo. John Klassen de Authentic8 explica cómo el uso de VPN puede dejar expuesta a su organización.

Contrariamente a la creencia común, incluso entre los profesionales de TI, la tecnología VPN es una mala elección para proteger los datos de una organización y garantizar la seguridad de TI cuando los empleados y contratistas se conectan a la red corporativa y a la web.

En teoría, la VPN puede hacer que la conexión con redes y recursos sea más segura. Crea un túnel de datos cifrados entre la computadora del usuario (en casa o en un punto de acceso WiFi público, por ejemplo) y un servidor seguro (en la red corporativa) que también puede servir como trampolín hacia la web.

En realidad, los informes de incidentes de violaciones de datos y violaciones de privacidad cuentan una historia más oscura. VPN todavía pasa el código web al navegador web instalado localmente. Debido a la debilidad de seguridad inherente de los navegadores tradicionales, esto a menudo frustra el propósito mismo de la VPN y facilita la infiltración de malware y spyware, así como la exfiltración de datos y la desanonimización por parte de terceros.

De la solución “Mejor que nada” …

Los defectos y limitaciones inherentes de la VPN están bien documentados. 1 Se han hecho evidentes durante los más de 20 años que la tecnología ha existido, sin embargo, incluso en campos regulados como el sector financiero o el cuidado de la salud, la VPN todavía se promueve como una “solución rápida” para proteger los activos digitales corporativos y el acceso remoto para principalmente tres razones:

  1. Privacidad, anonimato y enmascaramiento de la ubicación : la organización quiere asegurarse de que las direcciones IP y las geolocalizaciones de los empleados permanezcan ocultas y que sus direcciones IP no se divulguen a los sitios web, por ejemplo, para evitar ciberataques dirigidos a “abrevaderos” 2 o para evitar que se objetivo de la investigación en la web por especialistas ALD / BSA o investigadores de la UIF. 3
  2. Protección contra malware y spyware : la empresa espera que VPN proporcione una capa de aislamiento entre el usuario y la web que evite comprometer el entorno de TI local, por ejemplo, cuando los trabajadores remotos se conectan a través de WiFi pública.
  3. Capacidad de administración : el equipo de TI o de cumplimiento espera que los nodos VPN los ayuden a eliminar el punto ciego 4 del uso de la web cada vez más amplio en su organización y recuperar el control sobre cómo los usuarios acceden a la web y a los recursos de la red corporativa, a menudo desde dispositivos BYOD.

Recientemente, más empresas que implementaron VPN basándose en una o más de estas consideraciones están reconsiderando ese enfoque. ¿Qué les está causando que lo piensen mejor?

Aquí parecen entrar en juego múltiples factores. Las advertencias recientes del Departamento de Seguridad Nacional 5 y las empresas de seguridad 6 destacan las deficiencias de la VPN. Estas alertas impulsan a muchos profesionales de TI, cumplimiento y riesgos a reevaluar el enfoque de “mejor que nada” para la seguridad en línea que VPN todavía representa en muchas organizaciones.

Lo que encuentran es que VPN puede no ser lo que necesitan en el futuro.

… Al cumplimiento y riesgo de seguridad

Una ventaja clave de los servicios VPN es que muchos cifran gran parte de los datos transmitidos de un punto a otro dentro de la VPN. Otros, y esta es la mala noticia, no lo hacen. Con algunos servicios VPN, no todos los datos se cifran. Los administradores tienen la carga de verificar exactamente qué está cifrando un servicio VPN determinado y qué no.

Otra característica de los servicios VPN que con frecuencia se malinterpreta es su capacidad para ocultar la verdadera identidad y ubicación del usuario. En algunos casos, pero no en todos, alguien que accede a Internet puede parecer estar en un lugar completamente diferente a su ubicación física real.

No estás tan enmascarado como crees

En cambio, al proporcionar la información del servidor en la “salida del túnel” de VPN, se supone que VPN oculta dicha información sobre el usuario o la red de origen. Para los especialistas en lucha contra el lavado de dinero (ALD) o los investigadores de fraude, por ejemplo, esta última capacidad sería crucial, si funcionara de manera confiable.

El problema aquí es que con frecuencia no lo hace y también depende de factores básicos como la calidad de la conexión. 6

Como resultado, los especialistas en cumplimiento de AML / BSA o los analistas de FIU que dependen de VPN se arriesgan a revelar su dirección IP, información de red corporativa o coordenadas de ubicación a un sitio web sospechoso, y la información filtrada desde el navegador local utilizado con VPN permite a los adversarios identificar a los usuarios y intención a través de “huellas digitales del navegador”. Esto puede poner en riesgo el cumplimiento y la seguridad operativa y también conducir a resultados de investigación incompletos o contaminados.

VPN: canalización de malware a su TI

Un concepto erróneo común sobre las VPN es que protege contra malware, como registradores de pulsaciones de teclas, ransomware o archivos adjuntos ejecutables de phishing. No es asi.

VPN simplemente protege los datos en tránsito, que incluye el malware encontrado en un sitio web infectado o en un correo electrónico. Una vez que el navegador local lo descarga y lo procesa, puede infectar la computadora del usuario y propagarse desde allí. En un informe técnico titulado “Las VPN no son tan seguras como cree”, los investigadores de seguridad de la red de distribución de contenido Akamai concluyeron: “Las VPN son una solución de seguridad débil”. 8

Nuevos riesgos, políticas fragmentadas

A nivel empresarial, se sabe que VPN introduce nuevas vulnerabilidades de red. Un ejemplo son las aplicaciones empresariales que se implementan en diferentes ubicaciones, en el sitio o en la nube pública. Con frecuencia, requieren puertas de enlace VPN independientes que deben configurarse manualmente.

La escasez actual de profesionales de seguridad de TI agrava el desafío. Si las políticas no se aplican de manera uniforme en todas las puertas de enlace, la seguridad se ve afectada. En su informe técnico, los investigadores de Akamai señalan las consecuencias: “Las VPN dan como resultado políticas de seguridad fragmentadas para empresas distribuidas”. 9

“Amamos nuestra VPN”

…nunca dijo nadie. En cambio, los empleados se quejan de las lentas velocidades de conexión, que hacen de VPN sinónimo de “pérdida de productividad”. En las organizaciones que dependen de un acceso web rápido y seguro, políticas de acceso coherentes y no atribución cuando los miembros del equipo acceden a sitios web externos, la VPN no ha podido cumplir en varios niveles.

Las advertencias sobre VPN, como una carta bipartidista de dos senadores estadounidenses en febrero al Departamento de Seguridad Nacional 10 o la alerta del DHS mencionada anteriormente, dieron a las empresas más razones para reevaluar la VPN.

¿Harto de VPN?

Otro factor importante que impulsa este cambio parece ser la disponibilidad y la creciente popularidad de una solución que ofrece servicios donde la VPN se queda corta. Muchas organizaciones habían recurrido inicialmente a VPN por falta de una alternativa mejor. Ya no tienen que hacerlo.

Al igual que otras soluciones puntuales (piense en herramientas antivirus o filtros web), la VPN generalmente se agrega a una pila de seguridad cada vez más inflada. La mayoría de sus componentes tienen como objetivo proteger a la organización contra los riesgos asociados con el uso de navegadores tradicionales instalados localmente.

En muchos bancos y casas de inversión, firmas de abogados líderes y más de 100 agencias gubernamentales, esa imagen está cambiando rápidamente desde la llegada del navegador seguro en la nube. Con la tecnología de aislamiento de navegador remoto, todo el contenido web se procesa de forma remota, aislado en un contenedor en la nube.

Esto permite a las organizaciones maximizar la seguridad y el cumplimiento al mismo tiempo que evitan los problemas asociados con la VPN. La tecnología de aislamiento remoto del navegador realmente brinda los beneficios que VPN solo pretende brindar:

  • Privacidad, anonimato y enmascaramiento de la ubicación : con un navegador en la nube listo para el cumplimiento, la dirección IP y la geolocalización del usuario permanecen completamente ocultas. Como ejemplo, con Silo, el navegador en la nube creado por Authentic8, que fue pionero en la tecnología, solo se revela la dirección IP de Authentic8 a los sitios web.
  • Protección contra malware y spyware : el navegador en la nube adecuado crea una capa de aislamiento perfecta entre el usuario y la web al tiempo que evita que el código web ingrese al entorno de TI local o llegue al dispositivo final. Ningún código de la web puede tocar el punto final. Solo la información de visualización visual (píxeles) se transmite al punto final. Esto efectivamente desconecta a la organización y a sus usuarios de la zona de riesgo de la web.
  • Control, supervisión y auditabilidad : al incorporar políticas en el navegador remoto administrado de forma centralizada, desde los controles de acceso hasta la prevención de la pérdida de datos y la auditoría de cumplimiento, TI recupera el control sobre las actividades de los empleados en la web, independientemente del dispositivo, la red o la ubicación del usuario.

El aislamiento del navegador fuera del perímetro de TI de la empresa ofrece una protección amigable con el cumplimiento en lugar de las débiles garantías que ofrece VPN. En el sector de servicios financieros, permite a las organizaciones implementar las recomendaciones de la OCIE. [11] Por último, pero no menos importante, un año después de que el Reglamento General de Protección de Datos (GDPR) entrara en vigor en la Unión Europea, las organizaciones con intereses comerciales en la UE tienen aún más razones para considerar un navegador en la nube.

El cumplimiento de GDPR ha sido un punto delicado para muchos servicios VPN tanto como para los navegadores tradicionales con los que trabajan. En comparación, un navegador en la nube administrado centralmente para su uso en este espacio no debería tener problemas para proporcionar controles de privacidad que cumplan con los requisitos de la Directiva de Protección de Datos de la Unión Europea (Directiva 95/46 / EC) y cumplan con los requisitos de GDPR.

Información Sobre CIBERSEGURIDAD

Noticias de DAASEL Corporación Jurídica

Suscripción a DC News

Suscríbase de forma gratuita al newsletter de DAASEL Corporación Jurídica

Noticias de DAASEL Corporación Jurídica