Los CISO y los equipos de ciberseguridad de todo el mundo están viendo cómo se multiplica su amenaza a medida que millones de empleados se encuentran trabajando desde casa por primera vez para ayudar a limitar la propagación del coronavirus.
La eliminación de estas personas del entorno de trabajo seguro y controlado que se encuentra en sus oficinas y arrojarlas a la naturaleza, por así decirlo, significa una mayor dependencia de las VPN, lo que puede resultar problemático ya que la mayoría de las grandes empresas no están preparadas para albergar la mayoría de las su fuerza de trabajo en línea, y es posible que las empresas más pequeñas no estén configuradas para este tipo de acceso.
Luego está la amenaza adicional que plantean los trabajadores que operan fuera de la supervisión directa de los equipos de seguridad y TI, posiblemente haciendo decisiones catastróficas que podría poner en peligro a toda la organización.
Stan Lowe, CISO global de Zscaler, señaló que la mayoría de las empresas tienen suficiente hardware de VPN para manejar, en general, entre el 20 y el 30 por ciento de su fuerza laboral que trabaja de forma remota. Sin embargo, ahora que corporaciones enteras se han visto obligadas a enviar a sus empleados a casa con sus computadoras portátiles, esto está demostrando no estar lo suficientemente cerca.
Tampoco es un asunto simple ni económico salir y comprar equipo adicional, al menos del tipo que necesitan las firmas más grandes que requieren un alto grado de seguridad, dijo Lowe. Zscaler es un proveedor de un software de acceso remoto basado en la nube.
“Si necesita más equipo, lleva tiempo: tiene que comprarlo, esperar a que se envíe y llegue, luego implementarlo, actualizar el hardware y mantenerlo actualizado. Y eso es solo la pila de VPN. Intentar escalar las VPN y otras tecnologías de acceso remoto heredadas, agregando decenas de miles de usuarios, puede llevar meses y romper una red corporativa ”, dijo, agregando de tres a cinco meses es una buena estimación para tal actualización.
Para aquellas empresas que no pueden aumentar su capacidad de VPN, podría ser necesario poner a sus trabajadores en turnos para que la capacidad de VPN que está disponible se extienda, dijo Lowe.
Incluso las empresas bien equipadas para manejar una afluencia en el uso de VPN se enfrentan a la abrumadora tarea de poner al día a quienes normalmente ocupan espacio de oficina sobre cómo usar su VPN y asegurarse de que su red doméstica pueda manejar el ancho de banda adicional.
“TI debe asegurarse de educar a sus usuarios, para que sean conscientes del impacto en todos y para limitar su actividad de gran ancho de banda, como la transmisión de Netflix, fuera del horario de oficina. Esto garantizará que la productividad no disminuya y que los usuarios no intenten renunciar a la VPN por completo, lo que podría tener graves consecuencias para la seguridad del negocio ”, dijo Justin Jett, director de auditoría y cumplimiento de Plixer.
Otra situación única que debe abordarse, dijo Jett, es que no solo los empleados están en casa, sino también el resto de su familia. Una persona que intenta trabajar en la mesa de la cocina está compitiendo con su cónyuge que trabaja desde el estudio y sus hijos que pueden estar jugando o transmitiendo video en otra habitación. Todas estas demandas deben equilibrarse para que se pueda trabajar, tal vez requiriendo que los niños se limiten a los juegos de mesa durante el día y al vapor cuando terminen las horas de oficina.
Luego está el aspecto de ciberseguridad de esta nueva realidad. El uso de una VPN por sí solo no hace que trabajar desde casa sea más seguro. Lowe señaló que con personas que se conectan desde todo el mundo, posiblemente a través de un enrutador inseguro, la superficie de ataque de una empresa aumenta enormemente. Incluso aquellos con una conexión segura pueden causar problemas, ya que los ciberdelincuentes están trabajando horas extras en este momento para crear nuevos señuelos de phishing diseñados para obtener las credenciales de inicio de sesión de todas las personas que ahora trabajan a distancia a tiempo completo.
“Una VPN solo protege el canal de comunicación entre la estación de trabajo del empleado y la red corporativa. Sin embargo, dado que una gran cantidad de trabajadores a domicilio ahora comienzan a usar sus estaciones de trabajo personales para acceder a los activos corporativos, es solo cuestión de tiempo hasta que veamos un número creciente de ataques cibernéticos que se originan en estos dispositivos personales y que se pueden violar fácilmente ”, dijo Tal. Zamir, cofundador y CTO de Hysolate.
Si solo una persona comete un error, un actor malintencionado podría obtener la información necesaria para acceder a una red corporativa. Lo que ejerce aún más presión sobre el individuo es el hecho de que no hay nadie del departamento de TI o del equipo de seguridad de la empresa al alcance del oído para preguntar si un correo electrónico es malicioso o legítimo.
“Si los dispositivos están infectados con malware, incluso los trabajadores que usan un cliente VPN no pueden evadir a los atacantes que pueden utilizar su conexión VPN para causar estragos en las redes empresariales. Cuantos más usuarios trabajen desde casa, mayor será el riesgo. Las organizaciones deben instruir a los empleados para que utilicen estaciones de trabajo dedicadas de confianza para acceder a activos corporativos confidenciales y evitar el uso de sus dispositivos personales multipropósito ”, dijo Tamir.
Una violación de VPN es tan mala como puede ser, la capacidad de que alguien viaje internamente desde la infraestructura de VPN a datos confidenciales es extremadamente fácil, dijo Aaron Zander, director de TI de HackerOne.
Las empresas que pueden agregar capacidad VPN no son seguras, pero deben tomar varias medidas adicionales para garantizar que no se cometan errores en su prisa por implementar el nuevo hardware.
“Verifique tres veces todas sus configuraciones de red, ACL, reglas de firewall, etc. Sin lugar a dudas, en 9 meses a partir de ahora, veremos noticias sobre dos impactos resultantes de COVID-19: todos los bebés que nacen y todos las infracciones que han ocurrido debido a la negligencia en la infraestructura ”, dijo Zader.
