BLOG

Consecuencias imprevistas de COVID-19: exposición operativa

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 20 de abril de 2020

Tiempos extraordinarios requieren medidas extraordinarias.

Muchas personas han pronunciado esta frase a la luz del COVID-19. Una de esas medidas extraordinarias ha sido el giro hacia el trabajo remoto para muchos de nosotros. En este contexto, a menudo se habla del acceso a aplicaciones críticas. Pero rara vez escuchamos los detalles sobre cómo se ha permitido ese acceso.

Una de las formas en que se ha habilitado el acceso es abriendo RDP. No sorprende que SANS haya notado que Shodan vio un marcado aumento en la cantidad de puertos RDP abiertos en Internet a fines de marzo. Mucha gente confía en esta opción más básica para habilitar el acceso remoto directo a los escritorios.

Si bien RDP es probablemente el protocolo más mencionado cuando se trata de acceso remoto en estos momentos, parece que a las consolas operativas de TI también se les está permitiendo un paso sin restricciones a través del perímetro corporativo. El mismo blog de SANS contiene un gráfico muy interesante que, además de los aumentos en los puertos RDP abiertos, muestra un aumento significativo en los puertos abiertos que se ejecutan en 8080.

Actualmente, 8080 es el puerto "alternativo al HTTP". Cualquiera que haya implementado aplicaciones web reconocerá que es prácticamente la opción predeterminada para los marcos y las consolas operativas.   

En términos generales, las consolas operativas tienen sus propios métodos para controlar el acceso. Se requieren credenciales, por lo que existen maneras de limitar quién puede iniciar repentinamente un clúster, cerrar una aplicación o modificar una configuración en ejecución. El problema, por supuesto, radica en que, al observar la cantidad de incidentes ocurridos debido a la falta de control de acceso ( es decir, la falta de credenciales) en las consolas operativas, es indudable que algunas de esas aplicaciones operativas se ejecutan de forma totalmente abierta, sin protección entre ellas y el ciberespacio.

Es importante recordar que las consolas operacionales son, fundamentalmente, aplicações . Se componen de componentes externos, como cualquier otra aplicación. Se desarrollan utilizando las mismas bibliotecas y frameworks que cualquier otra aplicación. Se implementan en la misma plataforma que cualquier otra aplicación. 

Lo que significa que necesitan protección, como cualquier otra aplicación, porque son vulnerables a los mismos ataques que cualquier otra aplicación.

No podemos confiar simplemente en trasladar aplicaciones operativas a un puerto diferente. En la era de la automatización, donde los actores maliciosos tienen acceso a vastas redes de bots para buscar puertos abiertos, serán encontrados. Junto con la capacidad de identificar una respuesta en cualquier puerto determinado, las aplicaciones se encontrarán en puertos no estándar. La seguridad a través de la oscuridad no es una estrategia viable hoy en día porque el tiempo y la inversión financiera necesarios para encontrar objetivos son mínimos.

Sabemos por nuestras investigaciones que un porcentaje significativo de aplicações están protegidas por un firewall de aplicação web. Lo que no sabemos es qué porcentaje de esas aplicações son operativas o están orientadas al negocio.

Quizás sea momento de empezar a descubrirlo.

A medida que las organizaciones avancen en su viaje de transformación digital , dependerán más de las aplicaciones operativas para crear, implementar y operar las aplicaciones y los servicios de aplicaciones que representan al negocio. Estas aplicaciones operativas deben tratarse con la misma criticidad que cualquier otra aplicación que exprese una función comercial. Es necesario protegerlos contra el uso malicioso porque pueden tener y tendrán un impacto directo en el negocio si se utilizan indebidamente. 

Mucha gente dice que esta es la nueva normalidad; que el trabajo remoto será más aceptable e incluso preferible para muchas organizaciones después de que pase esta pandemia. El trabajo remoto incluye a los operadores de aplicações e infraestructura que necesitan acceso a las consolas que les permiten tener el control. Pero esas consolas, esas aplicações operativas, necesitan estar protegidas del abuso y el uso indebido para que eso sea una realidad.  Un conjunto básico de protecciones debería:

  • Requerir autenticación
  • Utilice SSL/TLS para proteger la comunicación
  • Tenga en cuenta el acceso a la API y protéjalo también
  • Protéjase contra la explotación de vulnerabilidades y el abuso por parte de bots con los servicios de aplicación adecuados

Ya es hora de asegurarse de que su estrategia de seguridad incluya tanto las aplicaciones operativas como las aplicaciones críticas para el negocio. Porque a largo plazo, las aplicaciones operativas serán aplicaciones críticas para el negocio.

Manténgase a salvo ahí fuera.Personalmente y operativamente.