Prácticas para mitigar los riesgos asociados al acceso de terceros
El 84% de las organizaciones a nivel mundial ha experimentado una o más vulneraciones de ciberseguridad en los últimos 12 meses según el Reporte Global de Ransomware 2023 de BeyondTrust.
En los últimos años el mundo se ha enfrentado a diversos cambios que implican la hiperconexión y por lo tanto ser más digitales. De repente el trabajo híbrido o remoto se convirtió en una realidad y ahora los líderes de ciberseguridad de la región pueden estar preguntándose «¿Cuán seguro es mi entorno?».
Es claro que los proveedores y otros socios «de confianza» se conectan a diferentes entornos, los responsables de TI son conscientes de ello. Pero si pueden decir con confianza cuándo se conectan los empleados y qué hacen cuando se conectan, ¿pueden informar con una certeza similar sobre la actividad de terceros?
Actualmente, las leyes cada vez son más rigurosas, las empresas deben ser capaces de informar sobre lo que hacen los proveedores con sus datos y hasta qué punto su infraestructura tecnológica se ajusta a sus obligaciones legales.
Los riesgos
Proveedores de varias industrias suelen acceder a la red de una empresa diferente cada semana y algunas organizaciones consideran que esos accesos conducen directamente a una brecha. Consultores, proveedores de servicios, contratistas y muchos otros acceden rutinariamente a sistemas que se encuentran a pocos saltos laterales de las áreas sensibles.
Una auditoría inadecuada de las cuentas de terceros puede dar lugar a una serie de problemas. Puede que introduzcan malware directamente o una cuenta huérfana es utilizada semanas o meses después por un actor de amenazas. Es demasiado fácil, especialmente cuando una cuenta no se utiliza, que un malintencionado obtenga acceso a los sistemas controlados por el proveedor y explote sus vulnerabilidades, moviéndose de nodo en nodo, de recurso en recurso, obteniendo el control sobre los activos y estableciéndose como un «insider» autorizado.
Las VPN se utilizan habitualmente como método seguro de acceso de terceros, pero los privilegios que conceden restan controles vitales a la función de seguridad. “El malware puede seguir aprovechándose de las sesiones de los proveedores porque la cuenta de terceros tiene un acceso innecesariamente privilegiado. El principio del mínimo privilegio se aplica tanto a las agencias externas como a los empleados. Las mejores prácticas, como la gestión de contraseñas y la auditoría de sesiones, son fundamentales”, afirma Josué Ariza, Gerente de Territorio de BeyondTrust.
Los objetivos
Por difícil que pueda parecer, lo ideal aquí es aplicar una política, exigir y hacerla cumplir son, por supuesto, dos cosas diferentes, pero se debe encontrar una manera de asegurar que las contraseñas de los proveedores se roten con regularidad y que no se hayan visto comprometidas. Un sistema privilegiado de gestión de contraseñas es una opción.
Debe implementarse un acceso controlado y muy visible a la red de entrada, regido por modelos de acceso con mínimos privilegios. Los vendedores no suelen necesitar acceso de administrador para realizar sus tareas. También ayuda utilizar un modelo “just in time” concediendo privilegios de acceso a medida que se necesitan y asegurándose de que caducan en cuanto dejan de ser necesarios. Toda la actividad debe ser totalmente supervisada y auditable para permitir una sólida capacidad forense en caso de que se produzca una infracción.
La solución
Los equipos de TI deben ser capaces de controlar, gestionar y auditar el acceso y la actividad de cualquier cuenta de red, ya sea propiedad de un empleado o de un agente externo. Ariza comenta que “las soluciones deben, naturalmente, integrarse en los flujos de trabajo y las operaciones empresariales, por lo que no deben obstaculizar el rendimiento de las personas o los sistemas. Pero, como mínimo, deben permitir a los equipos de seguridad aplicar las mejores prácticas de mínimos privilegios, como lo hace la herramienta Zero trust”.
Las soluciones deben facilitar la automatización de la autenticación segura y la gestión de contraseñas. Las políticas de contraseñas deben poder ser controladas por el equipo de TI y aplicarse automáticamente después, y el sistema también debe cambiar automáticamente las contraseñas de los usuarios y las claves SSH (protocolo de red que permite acceso remoto a través de una conexión cifrada) con regularidad para prevenir o mitigar los ataques.
Los mercados actuales están llenos de competidores y la competencia es buena para todos. Que las compañías se queden fuera del mercado por una propuesta de valor obsoleta es una cosa, pero quebrar debido al coste alto de una violación de datos causada por un socio comercial al que se le dio un acceso innecesariamente amplio a la red… Pareciera una tragedia pero es una acción que todas las organizaciones requieren evitar.