post

¿Cómo anda la seguridad en el home office de sus proveedores? P2

Siguiendo con esta lluvia de ideas publica sobre el cómo evaluar la seguridad en los entornos de home office de nuestros proveedores pero antes de adentrarnos en el primer tópico creo que es importante hablar un poco de los métodos más comunes de acceso remoto. Por eso dedicaré esta segunda parte a hablar un poco de cada una, no planeo entrar en detalles ya que sé que existe mucha información disponible sobre cada uno de ellos y apenas busco seguir con un poco de lógica esta serie de notas.

Los diferentes métodos de acceso pueden estar disponible tanto desde la perspectiva del BYOD como la perspectiva más convencional desde dispositivos corporativos. Sin embargo algunas generalidades se aplican de forma pareja:

  • Dependencia de la seguridad física de los dispositivos de usuario;
  • Se pueden utilizar variados tipos de servidores y de métodos de autenticación;
  • El utilizar cifrado no es un lujo es una necesidad, aunque en muchas soluciones la misma no esté habilitada por defecto;
  • Pueden permitir el almacenamiento de datos de manera permanente en los dispositivos de usuario;

Tunneling

 

Tunneling típicamente se establecen por medio de las Virtual Private Networks (VPN). Una vez que un túnel VPN se ha establecido entre el dispositivo del usuario y el VPN gateway de la compañía, el usuario puede acceder a la variedad de recursos que le este disponibles desde la red corporativa. Para hacer uso de la VPN los usuarios deben contar con el software apropiado en sus dispositivos o estar en una red que ya cuenta con un VPN gateway. Un cliente VPN se debe instalar en cada uno de los dispositivos mientras que el VPN gateway comúnmente corre en un solo servidor (desconsiderando temas de HA).  El mismo gateway se puede cargar con las diferentes tareas como autenticación, controles de acceso, entre otras funciones de seguridad.

Los túneles hacen uso de la criptografía para asegurar la confidencialidad e integridad de la información en tránsito entre el gateway y el dispositivos del usuario, sin embargo no ofrecen la misma protección en las comunicaciones entre el gateway y otros recursos de la red interna. Los tipos de VPN más comunes hacen uso túneles basados en Internet Protocol Security (IPSec) y Secure Sockets Layer (SSL). En algunos casos también se utiliza Secure Shell (SSH) Otro punto importante en este tipo de solución es que los datos en reposo van a residir en los dispositivos de los usuarios.

 

Portals

Poco menos común pero quizás bastante utilizado sin que los usuarios se den cuenta están los Portals. Básicamente son servidores que ofrecen acceso de manera directa a una o varias aplicaciones desde una interfaz centralizada. Comúnmente son interfaces web por lo que para muchos pasa desapercebido ya que a la percepción del usuario solo es un sitio web más al que acceden. En estos casos la aplicación “cliente” se instala en el servidor del portal y la misma se comunica con los servidores de aplicación correspondiente. Una importante diferencia entra los Portals vs VPN se encuentra el almacenamiento de los datos, en la gran mayoría de los casos los datos no permanecen en los dispositivos de usuario ya que apenas son desplegados de manera temporal desde el navegador. Implementado con las configuraciones adecuadas el acceso por medio de un portal puede lograr que la retención de datos de lado del usuario sea mínima.

Algunas soluciones de acceso remoto de tipo Portal que comúnmente vemos son los portales de VPN SSL. Otro tipo común son los denominados terminal server access, los cuales básicamente le ofrecen al usuario un escritorio virtual que simula un sistema operativo convencional. Quizás la opción más de moda en la actualidad dentro de este tipo son los virtual desktop infraestructure las famosas VDIs. Estas le permiten al usuario conectarse a máquinas virtuales (no simuladas). Las VDIs se han popularizado porque son muy prácticas para soportar el acceso remoto también en situaciones de BYOD aún logrando mantener la seguridad de las información corporativas que se resguardan en el ambiente virtual.

 

Remote Desktop Access

Esta quizás sea una de las opciones más populares en empresas de pequeño porte y también para uso personal. Básicamente son soluciones que nos permiten controlar de forma remota a otro dispositivo que se encuentra en la red corporativa de manera directa. Este escenario es común que se tenga control total del dispositivo y sus aplicaciones. Para este tipos de conexiones comunes, la conexión por medio directo de dispositivo a dispositivo y la conexión que pasa por un sistema intermedio. En este segundo escenario es donde encontramos soluciones populares como LogMeIn y TeamViewer. Mientras que para el primer tipo el caso más común son las aplicaciones que corren por medio del Remote Desktop Protocol (RDP) que si bien existe un “servidor” corriendo en el equipo remoto al que buscamos acceder, esta conexión no pasa por un servidor intermediario con el caso de los ejemplos antes mencionados.

Bajo este tipo de acceso le corresponde al software de remoto desktop proteger la confidencialidad e integridad de la comunicación, además de autenticar al usuario. Se encuentra también al nivel software en ambos puntos el cifrar la comunicación, por lo que desde el punto de vista la seguridad corporativa no es una opción muy bien vista ya que puede inhibir la capacidad de monitoreo del tráfico entre el dispositivo interno y el externo. Otra desventaja de este tipo de soluciones es que cada dispositivo que se habilite para acceso remoto deberá tener controles de seguridad implementados individualmente, lo que en el caso de los gateways de VPN suele ser menos complejo. Asegurar muchos vs asegurar a unos cuantos.

 

Direct Application Access

El último de los métodos nos permite lograr acceder remotamente a recursos sin la necesidad de utilizar software para acceso remoto. Se trata del acceso de forma directa a una aplicación. Bajo este concepto la aplicación debe proporcionar todo lo necesario desde el punto de vista de la seguridad (comunicación, almacenamiento, cifrado, control de accesos, etc). El ejemplo más común de este tipo de método son las aplicaciones de webmail. En este tipo de conexión es de suma importancia que las organizaciones identifiquen cuales aplicaciones tienen un perfil de riesgo bajo en caso de ser expuestas para acceso desde redes públicas.

En mi opinión personal todos convivimos con una mezcla de estos métodos en algún momento o aún lo hacemos. No existe un método perfecto, simplemente existen los métodos que cubren mejor con las necesidades de acceso y obviamente el nivel de riesgo que cada organización está dispuesto a aceptar. Para fines prácticos y bajo la idea de que la seguridad se debe implementar en capas, estos métodos se pueden combinar en algunos casos justamente para mitigar los niveles de riesgos a niveles aceptables.

En fin, esta ha sido la segunda parte. Para la siguiente nota empezaré exploremos más a detalle los controles de seguridad a nivel solución.

¡Hasta la próxima!

Photo by Svilen Milev from FreeImages

post

¿Cómo evaluar la ciberseguridad en el home office de sus proveedores? P1

Que tal amigos,

Pues una vez más les vengo a compartir algo con lo que me encuentro entretenido últimamente.

Seguro muchos o más bien la gran mayoría de ustedes se encuentra trabajando desde la (in)comodidad de sus hogares. Y me supongo que así como yo en el momento que fueron forzados a iniciar actividades remotamente se preguntaron qué tan seguros estarían. Obvio primero todos nos preocupamos por nuestras propias compañías. Sin embargo para nosotros que nos dedicamos al tema de Third-Party Risk el pensamiento estaba en nuestros proveedores. Obviamente sin dejar de ser conscientes de que todo empezó en un contexto de urgencia y manteniendo un apetito de riesgo considerablemente alto en muchos casos por saber que muchos de nuestros proveedores no estarían en las mejores condiciones para mantener la triada.

Pues bien, no se para ustedes pero para quien les escribe estamos por entrar en el 5to mes de trabajo remoto y sé que me esperan al menos 2 más como mínimo. En estos 5 meses que han pasado me ha tocado gestionar innúmeros cuestionamientos de tanto compañeros de lado del negocio sobre los posibles riesgos de sus proveedores trabajando 100% remoto, como ver a muchos proveedores no solo en EUA como también de algunos países de LATAM alzar la mano para compartir lo que están haciendo desde la perspectiva de ciberseguridad para mantener un entorno seguro de trabajo remoto para sus empleados y que a la vez atiendan a nuestros requerimientos de seguridad. Algunos casos fueron positivamente ejemplares, mientras que otros no tanto. Sin embargo esto sucedió apenas en las primeras 4-6 semanas de encierro.

¿Qué pasa en la actualidad? ¿Qué esperar en el mediano y largo plazo?

Para la realidad en estos rumbos la segunda pregunta ya se volvió la primera. Me refiero a que ya nos han llegado los primeros casos de proveedores que indiferente al fin de la pandemia han decido mantener el trabajo remoto de manera permanente. ¿Esto que significa? Básicamente el riesgo que muchos ejecutivos hasta hace algunos meses aceptaron desde la mentalidad de que era un riesgo temporal y con sus días contados siempre y cuando se controle la pandemia, se pronto se puede volver una situación permanente. ¿Sería el momento de ajustar el apetito al riesgo? Quizás aún no lo sea de manera generalizada, quizás para algunas regiones o para algunos tipos de proveedores más que otros.

La cuestión está en que independiente de lo que decidan los altos mandos alguna información tenemos que empezar a recopilar y analizar para apoyarlos en su toma de decisiones. Por esta razón tomando como base la publicación especial del NIST 800-46 empecé a hacer algo de brainstorming sobre como empezar a obtener información específica sobre los esquemas de trabajo remoto y que nos permita como equipo evaluar de manera un poco mejor fundamenta los riesgos de cada proveedor. Obviamente contemplando aplicarlo no solo a aquellos interesados en mantener operaciones 100% remotas de manera permanente, pero también aquellos que por las circunstancias de combate a la pandemia y la falta de vacuna seguirán de manera remota en el mediano plazo.

Entonces vayamos al grano. ¿Qué encontraremos en la NIST 800-46? Esta guía del NIST nos proporciona contenido en 3 tópicos principales considerando además no solo el contexto de conectividad de dispositivos operativos, pero también el contexto del BYOD. Les recuerdo que es una guía agnóstica, así que no esperan ver información detallada sobre ningún producto.

    1. Seguridad a nivel solución de acceso remoto: Cubriendo y explicando los 4 principales tipos de soluciones de conectividad remota en uso actualmente.
    2. Seguridad a nivel dispositivo de usuario:  Consideraciones de controles para asegurar los dispositivos en manos de los usuarios, tanto corporativos como personales.
    3. Seguridad en los controles de acceso:  Creo que no hace falta explicar esto.

Mi objetivo es hace una corta serie de publicaciones en blog para cada uno de estos tópicos con los puntos que he estado considerando promover con los analistas de mi equipo.

Cuestiones como la forma en la que levantaremos información que responde a cuestionamientos dentro de cada uno de esos tópicos aún están por verse. Sin embargo les comparto algunas áreas de oportunidad que ya tengo identificadas dentro del programa que gestiono.

    1. Información ya proporcionada por medio de nuestra versión del Standardized Information Gathering : Como parte de nuestro programa ya le solicitamos a nuestros proveedores de manera recurrente el llenado o actualización de sus información en un cuestionario bastante extenso. Es probable que varias informaciones la podremos obtener de ahí.
    2. Documentación adicional: Muchos proveedores acompañan sus respuestas al cuestionario con sus políticas y estándares. Dichos documentos también pueden contener respuestas a lo que estamos buscando.
    3. Hacer cuestionamientos directos a los proveedores dirigidos a este tema específico.

La realidad es que aún y que más del 80% se pueda obtener por medio de 1 y 2, es altamente probable que sigamos con la máxima del “Trust but verify” y terminemos por hacer los debidos cuestionamientos con la finalidad con confirmar los supuestos generados con base a los documentos que ya tenemos en manos.

¿Ustedes que piensan?

Creo que este post ya ha salido más largo de lo que inicialmente pensé pero las ideas siguieron fluyendo.

En los próximos días estaré soltando las continuación.

¡Hasta la pronto!

post

16 de Julio 2020: Streaming Wars |Third Party IoT | Twitter | Notas interesantes del día

Un día más con notas interesantes que compartir.

Empezando por la confirmación de parte de Twitter sobre lo sucedido el día de ayer. Comprando que la teoría que involucraba recursos internos era la más cercana a lo sucedido.  La nota publicada en Zdnet me parece un buen resumen del posible “como”.

Twitter confirms internal tools used in bitcoin-promoting attack

https://www.zdnet.com/article/twitter-confirms-internal-tools-used-in-bitcoin-promoting-attack/

Ahora la otra pregunta que mucho tenemos es el “quien” o “quienes” lo hicieron. El día de hoy Brian Krebs publico una interesante nota con evidencias que da indicios quienes pueden ser los posibles culpables del caos de ayer, además de Twitter y su mala gestión de privilegios claro.

Who’s Behind Wednesday’s Epic Twitter Hack?

https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/

Por cierto se han puesto a pensar que las personas que llevaron a cabo esto también tuvieron acceso a TODOS los DMs en Twitter.  Jeje tengo la conciencia tranquila sobre el uso de esos mensajes, pero se que muchas persona no.

En fin, otro par de temas que también me llamaron la atención el día de hoy fueron la nota publicada en Dark Reading denominada Third-Party IoT Vulnerabilities: We Need a Cybersecurity Paradigm Shift y una investigación publicada por Kaspersky denominada The Streaming Wars: A Cybercriminal’s Perspective

La primera me pareció bastante interesante como tratan la cuestión de las vulnerabilidades provenientes de los fabricantes de dispositivos que se catalogan dentro del concepto del internet de las cosas, el famoso IoT. Y como es una situación diferente a la que diariamente me corresponde tratar que son los Third Party Risks. Y es que los grandes responsables por tratar las vulnerabilidades relacionadas a los IoTs son los mismos fabricantes. Ahora la realidad es que a grandes rasgos este tema no esta tan alejando de las actuales discusiones sobre Huawei y la seguridad de sus dispositivos. Sigue siendo una situación de confianza y responsabilidad de los fabricantes. El libro

The Huawei and Snowden Questions: Can Electronic Equipment from Untrusted Vendors be Verified? Can an Untrusted Vendor Build Trust into Electronic Equipment? (cortito el nombre) habla de forma más amplia y en general sobre los aspectos de la seguridad en hardware y la confianza en los fabricantes. Obviamente en el contexto de Huawei, sin embargo considero que tiene mucha relación también con las discusiones de seguridad en IoT.

Third-Party IoT Vulnerabilities: We Need a Cybersecurity Paradigm Shift
https://www.darkreading.com/iot/third-party-iot-vulnerabilities-we-need-a-cybersecurity-paradigm-shift/a/d-id/1338333?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

Por último y no menos importante, me pareció bastante interesante la investigación de Kaspersky sobre como se va la guerra de los servicios de Streaming desde el punto de vista de los cibercriminales. En su investigación apuntan los diferentes métodos y estrategias de ataque utilizados para el robo de credenciales de acceso a estas plataformas. Métodos que van desde las típicas campañas de phishing hasta la distribución de malware utilizando el contenido original de dichas plataformas como anzuelo.

The Streaming Wars: A Cybercriminal’s Perspective
https://securelist.com/the-streaming-wars-a-cybercriminals-perspective/97851/

En fin, creo que es todo por hoy. Espero disfruten las lecturas.

Photo by Flavio Takemoto from FreeImages