Todos cometemos errores. Esa frase fue inculcada en nuestro primer trabajo en tecnología, y se ha mantenido cierta desde entonces. En el mundo de la ciberseguridad, las configuraciones incorrectas pueden crear problemas explotables que pueden perseguirnos más adelante, así que veamos algunas configuraciones incorrectas de seguridad comunes.
El primero son los permisos de desarrollo que no se modifican cuando algo se activa. Por ejemplo, a los buckets de AWS S3 a menudo se les asigna acceso permisivo mientras se desarrolla el desarrollo. Los problemas surgen cuando las revisiones de seguridad no se realizan cuidadosamente antes de publicar el código en vivo, sin importar si ese impulso es para el lanzamiento inicial de una plataforma o para actualizaciones.
El resultado es sencillo; un balde se activa con la capacidad de que cualquiera pueda leer y escribir en él. Esta configuración incorrecta en particular es peligrosa; Dado que la aplicación está funcionando y el sitio se está cargando para los usuarios, no hay indicios visibles de que algo esté mal hasta que un actor de amenazas que busca cubos abiertos se topa con él.
Las revisiones de seguridad cuidadosas de todas las aplicaciones y sitios antes de que se envíen al entorno en vivo, tanto para el lanzamiento inicial como para los ciclos de actualización, son fundamentales para detectar este tipo de configuración incorrecta. Cada depósito debe verificarse para asegurarse de que tenga los permisos menos viables establecidos para permitir que la plataforma funcione, y nada más.
En el lado de la casa que no está relacionado con la nube, una de las configuraciones erróneas más comunes es no hacer cumplir la Política de grupo, el antimalware y otras reglas y actualizaciones de administración centralizada. Los equipos portátiles que rara vez se conectan directamente a la red de una empresa pueden pasar meses sin recibir estos cambios críticos, dejándolos indefensos a medida que cambia el panorama de seguridad.
Un ejemplo común es una computadora portátil que ha estado en itinerancia durante un período prolongado. Es posible que una computadora portátil de este tipo no pueda recibir actualizaciones de la Política de grupo de Active Directory cuando no está en una VPN u otra conexión segura, lo que haría que su GPO se desactualice con el tiempo. Esto significa que las acciones u operaciones prohibidas pueden ser posibles en dicha computadora portátil, dejando la red protegida expuesta cuando ese dispositivo finalmente se conecta de tal manera que una vez más tenga acceso a los recursos protegidos.
La solución para esto es garantizar que los dispositivos con acceso a los recursos de la organización deban aceptar los cambios de gestión de la organización. Herramientas como AzureAD y las plataformas antimalware descentralizadas pueden permitir que los dispositivos remotos reciban actualizaciones de forma segura. La conectividad HTTPS generalmente es suficiente para que estas herramientas impulsen actualizaciones y apliquen cambios en las políticas.
El uso de la administración distribuida de dispositivos garantiza que se mantengan en línea con la política, incluso los dispositivos que solo se utilizan para acceder a recursos disponibles en la nube, como Office365, y no se conectan directamente a las redes protegidas de la organización con regularidad.
Muchas de estas herramientas, especialmente cosas como los sistemas anti-malware, ni siquiera requieren que el dispositivo sea administrado por plataformas de administración de dispositivos móviles. Esto significa que incluso si el dispositivo no es «propiedad» de la organización, aún se puede mantener actualizado y protegido.
Ya que estamos en el tema de los trabajadores remotos, hay otra configuración incorrecta que ocurre con regularidad. Los sistemas VPN permiten que los trabajadores remotos accedan a los datos de la empresa de forma segura, pero una gran cantidad de clientes VPN tienen una configuración predeterminada de fábrica insegura. Las configuraciones de VPN de túnel dividido enrutan el tráfico del usuario a través de la red segura solo cuando se accede a los sistemas protegidos, pero envían el resto del tráfico directamente a Internet.
Esto significa que cuando un usuario intenta acceder a un servidor de archivos, lo hace a través de la VPN, pero una llamada a Salesforce pasa por Internet desprotegido. Si bien esto beneficia al rendimiento, el problema que crea es que el dispositivo de un usuario puede crear un puente entre el mundo exterior y la red interna. Con un poco de ingeniería social, un actor de amenazas puede crear una conexión persistente con el dispositivo del usuario y luego aprovechar el túnel VPN de ese usuario para ingresar a la red protegida.
La gran mayoría de los clientes VPN admiten configuraciones de túnel único. Esto significa que mientras la VPN esté activa, todo el tráfico se enrutará a través de las redes organizativas, incluido el tráfico destinado a fuentes externas. También significa que todo el tráfico también estará sujeto a los mismos controles que el tráfico que se origina en usuarios conectados directamente a las redes protegidas.
Si bien las configuraciones incorrectas pueden ocurrir con mucha facilidad, representan una clara amenaza para la seguridad de la organización. Tomarse el tiempo para revisar la seguridad cuando las herramientas se ponen en funcionamiento o se actualizan puede detectar tales configuraciones incorrectas.
Además, las empresas pueden implementar herramientas de validación de seguridad continua que desafían y evalúan continuamente los entornos digitales de la misma manera que lo hace un actor de amenazas para descubrir errores de configuración rápidamente.
La combinación de estos dos enfoques de revisiones y validación de seguridad continua agrega algo de complejidad a los proyectos, pero vale la pena dedicar cada momento a garantizar que las cosas estén configuradas adecuadamente en cada paso del camino.
