La actual situación provocada por la expansión del coronavirus está provocando que muchos trabajadores no puedan desplazarse a sus lugares de trabajo y, por lo tanto, las empresas se están viendo forzadas a proporcionar mecanismos y herramientas de trabajo remoto de forma masiva.

Aunque es cierto que actualmente muchas empresas disponen de estos medios, lo habitual es que los utilicen un reducido número de empleados. La nueva situación va a provocar que se comience a hacer un uso masivo de estos medios, incluso para usuarios que no están acostumbrados a ello, y para situaciones que no estaban preparadas para el trabajo en remoto.

Muchos departamentos de TI están improvisando pasarelas temporales, desplegando concentradores de VPN para aguantar picos grandes de sesiones no habituales y dando permisos adicionales para permitir este nuevo método de trabajo.

Esta situación está provocando muchos cambios en poco tiempo, prisas, dudas, que si no tenemos bien organizados pueden ser el origen de un incidente de seguridad.

LA AMENAZA: ¿DÓNDE SOMOS MÁS VULNERABLES?

Por un lado, hay que ser conscientes que los sistemas de monitorización que se tengan desplegados van a empezar a ver un tráfico al que no está para nada acostumbrado, por lo que puede provocar muchos falsos positivos y una ligera sobrecarga de alarmas.

Por otro, estamos ante un gran enemigo de la seguridad: las prisas. Los cambios de permisos o despliegues de sistemas temporales pueden ser una puerta al exterior. Los ciber-criminales pueden aprovecharse de algunos descuidos como:

  • Reglas de firewalls más permisivas que de costumbre.
  • Usuarios trabajando en sus casas que probablemente no pasan por las pasarelas y sistemas de seguridad de su empresa para navegar por internet. Esto podría provocar desde equipos sin los últimos parches o sistemas antimalware desactualizados. Recordemos que Microsoft ha sacado parches nuevos este martes y su despliegue por todos los equipos no suele ser inmediata.
  • Equipos o pasarelas expuestos al exterior con el objetivo de permitir el trabajo remoto. Por ejemplo, es muy típico el uso de servidores de Terminal Server para permitir conexiones remotas. Esto, junto a las conocidas vulnerabilidades que tienen estos servicios, puede suponer un riesgo muy alto.
  • Un cambio de permisos demasiado flexible, para que todo pueda funcionar, junto a los riesgos anteriormente expuestos, puede provocar desde usuarios que puedan acceder a información confidencial a que una cuenta comprometida que antes era muy limitada ahora pueda permitir un compromiso mayor. A esto se suma que debemos ser capaces, a la vuelta a la normalidad, de ponerlo todo como estaba antes.

Los criminales pueden aprovechar estos momentos que estamos en casa para realizar campañas de phishing, con el objetivo de que sea más sencillo infectar un equipo corporativo, o utilizar las debilidades de los sistemas generadas por las prisas.

A continuación, os damos unos consejos para no perder de vista estos riesgos e intentar aplicar unos controles mínimos de ciberseguridad.

CIBERCONSEJOS PARA HACER FRENTE A ESTA SITUACIÓN

Es importante que tengamos en cuenta los siguientes consejos:

  • Nunca deberíamos exponer servidores de Terminal Server u otro tipo de servidor que no esté aislado directamente a Internet. Siempre hay que forzar el uso de las VPN para acceder a cualquier sistema corporativo.
    • Si no queda más remedio que publicarlo, hay que limitar los orígenes de las conexiones.
    • Por lo general, los Firewalls actuales permiten realizar conexiones VPN a través de HTTPS que dan acceso a las aplicaciones dadas de alta en el portal SSL. Esto es un medio más seguro que publicar el servicio directamente a internet.
  • Del mismo modo, deberíamos configurar el equipo corporativo a que siempre levante la VPN al arrancar y pueda actualizarse las firmas del Antimalware.
  • La navegación a internet, siempre que podamos, se debería realizar por la VPN, de forma que este pase por los sistemas de seguridad y puedan detectarse posibles amenazas.
  • Los cambios de permisos se deberían evitar de hacer sobre los grupos actuales. En lugar de añadir usuarios a nuevos grupos de Directorio Activo, se pueden crear grupos temporales y usar estos grupos, de forma que a la vuelta tengamos identificados qué cambios se han hecho y como revertirlos.
  • No dejar las reglas del Firewall permisivas, siempre ajustarlas lo máximo necesario para evitar sorpresas.

Si necesita asesoramiento sobre esta u otras cuestiones, no dude en ponerse en contacto con nosotros.

Contactar con ITS Security