En 2018, más de once infracciones importantes fueron causadas por la explotación de proveedores externos (Target, Saks 5th Avenue, Universal Music Group, Applebee, etc.). Fueron incidentes costosos y dañinos.

Si bien los administradores de TI, expertos y proveedores externos necesitan acceso privilegiado para realizar su trabajo de manera efectiva, esto no debería significar cederles el control de su entorno de TI. Las organizaciones permiten que terceros accedan a sus redes para que cambien o afecten el servicio operativo de estas organizaciones. Sin embargo, este acceso privilegiado debe estar protegido en la misma (o mayor) extensión que los usuarios privilegiados internos de su organización. No hacerlo deja a su organización con un vínculo muy débil en su seguridad, que puede ser fácilmente explotado por los ataques cibernéticos.

Para abordar el riesgo cibernético de un proveedor externo, debe tener un buen conocimiento del acceso remoto para poder implementar los controles adecuados para ayudar a asegurar su acceso a sus cuentas privilegiadas.

El desafío es que su organización utiliza productos y software de TI de una variedad de proveedores para mejorar su negocio principal, y esto exige que tenga acceso remoto seguro para esos proveedores para que puedan brindar mantenimiento y solucionar los problemas de esos productos.

Es ahí donde está atrapado en el dilema de cómo proporcionar el acceso necesario y al mismo tiempo proteger a su organización contra el malware y los malos actores que ingresan a través de conexiones de terceros. Los actores de amenazas cibernéticas aprovecharán los puntos débiles que puedan encontrar en su infraestructura para descubrir y explotar sus activos de información crítica.

Ellos continuamente explotan las vías de acceso remoto tradicionales, y asegurar este acceso es un desafío singularmente difícil. Es posible que los usuarios externos no empleen el mismo nivel de protocolos de seguridad que usted. Es posible que su política de contraseñas no sea tan sólida, e incluso pueden compartir un único conjunto de credenciales entre numerosas personas. Incluso si utilizan los protocolos de seguridad adecuados, los métodos de conectividad remotos tradicionales (por ejemplo, VPN) se pueden piratear fácilmente mediante credenciales de usuario robadas y secuestro de sesiones.

Como señalé anteriormente, algunas de las brechas más devastadoras en los últimos años han sido atribuidas directamente a las debilidades de seguridad de terceros. Los piratas informáticos incluso han declarado que se dirigen específicamente a los proveedores. Un estudio reciente descubrió que el 63% de las violaciones de datos estaban vinculadas a un proveedor externo responsable del soporte, desarrollo y / o mantenimiento del sistema.

8 consejos para reducir los riesgos de seguridad del acceso remoto

Con todo lo anterior en mente, quiero proporcionar algunos consejos sobre cómo puede obtener algo de control sobre las conexiones de red de terceros y reforzar su seguridad de acceso remoto.

Paso 1: La supervisión de las conexiones de proveedores de terceros es clave

En primer lugar, es esencial que supervise la actividad de sus proveedores externos. Es importante monitorear e investigar actividades de terceros para hacer cumplir las políticas establecidas para el acceso al sistema. Con eso, puede capturar la actividad básica para determinar si una violación de la política fue un simple error o una indicación de comportamiento malicioso. Realice grabaciones de sesión para proporcionar información completa sobre una sesión determinada y examinar la sesión en busca de problemas o violaciones de políticas conocidas. Y, finalmente, correlacione la información para revisar todos los datos desde un único punto de vista para detectar tendencias y patrones que están fuera de lo común.

Aquí hay algunos pasos a seguir para el monitoreo:

- Realice un inventario de las conexiones de proveedores externos para ayudarlo a determinar de dónde provienen estas conexiones, a qué están conectadas y quién tiene acceso a qué;

- Analice las reglas de su firewall para buscar reglas que permitan conexiones entrantes que no conoce;

- Ejecute exploraciones de vulnerabilidades en sus hosts externos para buscar servicios que escuchen las conexiones entrantes;

- Asegúrese de que las políticas de seguridad de la contraseña de su empresa se apliquen a las cuentas en las conexiones de red entrantes;

- Establezca estándares de seguridad específicamente para lidiar con problemas de terceros y aplíquelos mediante controles técnicos;

- Monitoree cualquier brecha de seguridad y luego mitigue.

A través del monitoreo diligente, puede hacer un mejor trabajo de contener los riesgos de terceros a través de una planificación y diligencia prudentes.

Paso 2 - Implemente protecciones internas y múltiples capas de protección

La mejor manera de proteger a su organización de las amenazas de seguridad que surgen de proveedores externos es adoptar una estrategia de defensa de múltiples capas que cubra toda su empresa: todos los endpoints, todos los dispositivos móviles, todas las aplicaciones y todos los datos. Aplique cifrado, autenticación multifactor y una política de seguridad de datos completa, entre otras medidas.

Paso 3- Enseñe Prevención

Enseñar a su organización, a sus clientes y proveedores sobre la prevención es esencial. Eduque toda la empresa y refuerce continuamente la realidad de que los riesgos son reales.

Paso 4 – Lleve a cabo evaluaciones de proveedores de terceros

La realidad es que incluso sus socios comerciales más confiables pueden representar una amenaza para la seguridad si no aplican las mejores prácticas. Revise regularmente el uso de credenciales con sus terceros, comprenda quién los está utilizando y limite el acceso temporal, ya que potencialmente abre la puerta a una mayor vulnerabilidad.

Además, evalúe continuamente los estándares de seguridad y las mejores prácticas de los proveedores para asegurarse de que cumplan con los de su organización y exija que realicen parches y análisis de vulnerabilidades actualizados. Confía, pero verifica que se cumplan sus obligaciones contractuales a la carta.

Paso 5 – Tenga un acuerdo de nivel de servicio

Cree un acuerdo de nivel de servicio (SLA) con proveedores externos que exija que los proveedores cumplan con las políticas de seguridad de su empresa.

Paso 6 - Autentica el comportamiento del usuario

Las credenciales de los proveedores y socios a menudo son muy débiles y susceptibles de divulgación involuntaria. Por lo tanto, la mejor manera de proteger las credenciales es administrarlas y controlarlas de manera proactiva. Para ello, elimine las cuentas compartidas, aplique la incorporación y utilice verificaciones de antecedentes para que terceros a prueba de identidad accedan a sus sistemas.

Paso 7 - Autenticación separada del control de acceso

La mayoría de sus proveedores solo necesitan acceso a sistemas muy específicos, por lo que para proteger mejor su organización, limite el acceso mediante la segmentación de red física o lógica y el acceso al canal a través de vías conocidas al aprovechar una solución de gestión de acceso privilegiado para restringir los protocolos no aprobados y dirigir las sesiones aprobadas a un ruta predefinida.

Paso 8 – Prevenga errores y comandos no autorizados

Usando una solución de administración de acceso privilegiado, habilite controles de permisos específicos y aplique el principio de privilegio mínimo (PoLP). Uno de los pasos que desea dar es intermediar los permisos a varios sistemas de destino utilizando diferentes cuentas, cada una con distintos niveles de permiso. También debe limitar los comandos que un usuario específico puede aplicar a través de listas negras y listas blancas para proporcionar un alto grado de control y flexibilidad.

Consideraciones finales

El riesgo de la seguridad y las violaciones de datos causadas por proveedores externos es demasiado grande para que usted lo ignore. Esta lista de 8 pasos es solo un punto de partida: depende de usted abordar de manera integral las vulnerabilidades de seguridad que pueden surgir de sus relaciones con los proveedores como una parte clave de sus políticas de administración de riesgos de TI.

Para profundizar en la mejora de la seguridad del acceso remoto y la marcación de un acceso privilegiado, consulte mi reciente seminario web: How to Securely Control Access for Your Vendors & Protect Privileged Accounts.

Temas Relacionados

The Perils of VPNs, & How to minimize Remote Access Threats with PAM (Blog)

Modernizing Your Privileged Password Security (Blog)

Top 10 Expert Tips for Securing Vendor & Remote Employee Access (Webinar)

Derek A. Smith, Founder, National Cybersecurity Education Center

Derek A. Smith is an expert at cybersecurity, cyber forensics, healthcare IT, SCADA security, physical security, investigations, organizational leadership and training. He is currently the Director of Cybersecurity Initiatives for the National Cybersecurity Institute at Excelsior College, responsible to perform complex duties relating to the development and coordination of cyber initiatives at NCI. Formerly, he has worked for a number of IT companies including Computer Sciences Corporation and Booz Allen Hamilton. Derek spent 18 years as a special agent for various government agencies and the military. He has also taught business and IT courses at several universities for over 20 years. Derek has served in the US Navy, Air Force and Army for a total of 24 years. He completed an MBA, MS in IT Information Assurance, Masters in IT Project Management, and a BS in Education.

Manténgase actualizado

Obtenga las noticia, ideas y tácticas más recientes de BeyondTrust. Puede darse de baja en cualquier momento.

Acepto recibir comunicaciones acerca de los productos de BeyondTrust como se detalla en la Política de Privacidad de BeyondTrust, y podré administrar mis preferencias o retirar mi consentimiento en cualquier momento.

Up next

You May Also Be Interested In: