La experiencia de muchos responsables de seguridad informática muestra que solo un reducido número de incidentes de seguridad son resultado de ataques dirigidos sofisticados y meticulosamente planificados, y que la mayoría se deben a la falta de medidas efectivas de seguridad y control. Este articulo da inicio a una serie de publicaciones sobre amenazas a la seguridad informática asociadas con el uso de software legítimo.
TeamViewer
Muy populares, fáciles de usar y prácticas, las herramientas de acceso remoto son muy apreciadas tanto por los administradores de sistemas como por los desarrolladores, y por cualquiera que en algún momento haya necesitado ingresar a un ordenador en su oficina desde un lugar remoto, ya sea durante un viaje de negocios, trabajando desde casa, o en caso de una emergencia en plenas vacaciones. Sin embargo, el uso irrestricto de este software significa una amenaza contra la seguridad corporativa y puede ocasionar incidentes de seguridad.
Por ejemplo, TeamViewer, una herramienta de acceso remoto relativamente popular, se usó para espiar en Europa del Este. Sin embargo, el uso de software de acceso remoto para penetrar una red corporativa constituye en potencia más que una amenaza externa (implica acciones ciberdelictivas y programas maliciosos). Cada bit de una amenaza interna es significativo: los empleados corporativos pueden potencialmente abusar el acceso remoto con el software instalado y usado por un infiltrado con propósitos ilegítimos.
Echemos un vistazo a algunas de las amenazas potenciales con un estudio de caso de la vida real realizado por los expertos de Kaspersky Lab.
Estudio de caso. Una historia de la vida real
En una compañía grande de software, un empleado se quedaba a trabajar varias horas fuera de su horario habitual. Solía ir a la oficina los fines de semana para cumplir con sus trabajos pendientes. Cansado de esta agotadora rutina, hizo caso al consejo de sus colegas y se instaló TeamViewer. Ahora ya no tenía que trabajar horas extra en la oficina ni ir los fines de semana: podía hacerlo desde su casa, gracias al acceso remoto a su ordenador en su oficina.
TeamViewer le facilito la vida, pero le complicaba el trabajo al responsable de seguridad informática de la compañía, quien al poco tiempo observo que ocurrían más incidentes en la red corporativa: la solución antivirus comenzó a detectar más programas maliciosos, intentos más frecuentes para acceder sin autorización a datos confidenciales, etc. Un somero análisis revelo que la mayor parte de las acciones maliciosas estaban relacionadas con el ordenador de un determinado usuario.
Un análisis más profundo realizado en el equipo sospechoso no revelo ningún programa malicioso. El responsable de seguridad sospecho que quizás algún colega hubiese accedido a la cuenta del empleado y la usara para ocultar sus actividades delictivas. Sin embargo, cuando analizo los datos del portal de acceso y la vigilancia CCTV, descubrió que nadie había estado en la oficina en los momentos en que se llevaban a cabo las acciones maliciosas. Existía otra posibilidad: la existencia de un troyano puerta trasera en el equipo afectado. Un análisis del tráfico de red arrojo que los incidentes de seguridad ocurrían al mismo tiempo que los aumentos de actividades de red en el mismo equipo. Aunque el tráfico a través de los puertos 80 y 443 estaba codificado, se estableció que el trafico malicioso se comunicaba con servidores con dominios como ‘serverXXX.teamviewer.com’.
Un examen del equipo sospechoso mostro que un servidor TeamViewer se ejecuta en el equipo. El responsable de seguridad entrevisto al empleado y se enteró sobre el acceso remoto a la red corporativa, pero el empleado aseguro que no estaba conectado a la red corporativa cuando sucedían los incidentes de seguridad.
Una inspección del ordenador domestico del empleado mostro que hace algún tiempo se había detectado y eliminado un programa spyware. El empleado no le había dado mucha importancia ya que su solución de seguridad había neutralizado con éxito la amenaza. Otro análisis en profundidad demostró que este programa spyware estaba diseñado para registrar la información que se generaba en el teclado, y que capturaba áreas de la pantalla.
El responsable de seguridad concluyo que un programa spyware instalado en el ordenador domestico del empleado había transmitido al ciberdelincuente los datos necesarios para acceder al equipo en la oficina.
Con esta información, el ciberdelincuente accedió a la red corporativa, la analizo, instalo programas maliciosos, busco vulnerabilidades e intento copiar archivos desde los recursos de la red.
Afortunadamente, estas actividades maliciosas se neutralizaron rápidamente gracias a las acciones del equipo de seguridad informática, por lo que el daño causado por el ciberdelincuente fue limitado. Al empleado se le llamo la atención, y el jefe de seguridad tomo medidas rápidas para prevenir que incidentes similares ocurriesen en el futuro.
Solución
Un paso importante al procesar los incidentes de seguridad consiste en corregir los defectos en las políticas de seguridad corporativa que dan lugar a posibles incidentes. Entonces, ¿que es lo que un responsable de seguridad debe hacer en este caso?
Análisis primario
Cuando se detecta un incidente de seguridad, la primera tarea de un responsable de seguridad informática es averiguar si se trata de un incidente aislado, o si potencialmente podría repetirse en otros equipos de la red. Un inventario de programas permite al responsable recopilar información sobre todos los programas instalados en los ordenadores de los usuarios, mientras que el monitoreo de programas le ayudara a determinar la frecuencia con que se usan. Un análisis preliminar le proporciona, entre otras cosas, un cuadro general sobre cómo se usan en la red los programas de acceso remoto, quien los usa, y con qué frecuencia.
Control del tráfico en la red
Un control inadecuado de las conexiones que se realizan en la red corporativa es una fuente de incidentes de seguridad. La herramienta más apropiada para controlar las conexiones de red es un cortafuegos, así como los es IPS para controlar el tráfico en la red. Sin embargo, aunque las herramientas que controlan el perímetro de la red corporativa son importantes, su efecto es limitado en un caso como el que acabamos de describir. Un cliente TeamViewer estableció una conexión con otro a través de servidores remotos, mientras que los datos en forma de paquetes codificados HTTP pueden comunicarse mediante los puertos 80 y 443. No es factible bloquear este tráfico ya que esto provocaría la paralización total de la red. Por otra parte, el bloqueo de las conexiones a todos los dominios o direcciones IP de los servidores TeamViewer significa mucho trabajo, ya que se deben identificar todos los nombres de dominios y direcciones IP relacionados, y estas listas se deben mantener actualizadas.
Control de aplicaciones
El control de aplicaciones es evidentemente una herramienta apropiada para disminuir el riesgo de penetraciones en una red corporativa mediante TeamViewer, ya que puede detener el uso descontrolado.
El control de aplicaciones le permite al responsable de seguridad informática atender dos problemas:
- El control del uso de TeamViewer.
TeamViewer es una herramienta conveniente. Por ejemplo, le permite al administrador de sistemas prestar asistencia a los usuarios desde cualquier lugar. El uso de TeamViewer (o una alternativa segura) puede permitirse a los usuarios que realmente necesiten el acceso remoto a su red corporativa. Para los otros empleados, no debe permitirse el acceso remoto.
Esta decisión parece compleja: la búsqueda, compilación y mantenimiento de una lista completa y actualizada de todos los programas de acceso remoto consume tiempo y esfuerzo. Sin embargo, el uso del control de aplicaciones en Default Deny mode resuelve el problema de mantener y actualizar listas de programas no autorizados.
Cuando se resuelve el asunto de quien no necesita TeamViewer, la tarea del responsable de seguridad informática se simplifica al control de un determinado grupo de empleados que están en la zona de riesgo.
- Restringir acceso a TeamViewer y sus capacidades, para reducir la posibilidad de que los ciberdelincuentes penetren la red corporativa.
Supongamos que un empleado tiene la autorización y permiso para usar TeamViewer, pero que un ciberdelincuente logra robárselos. ¿Como se puede minimizarse el daño potencial?
Aparte de bloquear ciertas actividades, el control de aplicaciones le permite al responsable de seguridad restringir las capacidades de la aplicación con la aplicación de las políticas HIPS, como la restricción a los recursos de la red, la restricción de privilegios para ejecutar y/o cargar aplicaciones, desactivar cualquier cambio en las configuraciones, etc. Esto ayuda a limitar las capacidades de TeamViewer en caso de que caiga en manos de un ciberdelincuente.
Políticas de seguridad:
Aunque Teamviewer posee una amplia lista de capacidades funcionales, no incluye herramientas para que el administrador ejerza un control centralizado en una red corporativa. Algunas configuraciones en TeamViewer que ayudan a reducir el riesgo de penetraciones son: la generación de una nueva contraseña de conexión cuando se ejecuta TeamViewer, la opción de limitar la lista de ID de clientes a los que se permite conectarse, y el establecimiento de una conexión VPN entre dos clientes TeamViewer. Sin embargo, es el usuario quien decide si se usan o no determinadas restricciones. Por supuesto que el administrador puede instalar y configurar TeamViewer, y protegerlo con una contraseña para evitar cambios en su configuración. Sin embargo, no tiene sentido imponer un control sobre las modificaciones a la configuración, ya que los usuarios pueden recurrir a una versión portátil y liviana en un dispositivo USB.
Todos los empleados deben estar conscientes de las políticas corporativas de seguridad. Una de las tareas del responsable de seguridad informática consiste en informar a los empleados sobre la seguridad con regularidad y asegurarse de que se estén cumpliendo las políticas vigentes. Por ejemplo, los usuarios deberían:
- Ejecutar TeamViewer con un mínimo de autorizaciones, sin posibilidad alguna de que aumenten;
- Generar una nueva llave con cada ejecución;
- Usar TeamViewer solo cuando sea necesario y no dejarlo en funcionamiento si no se usa;
- No guardar autorizaciones de conexión ni pasarlas a otros en forma descodificada;
- Informar inmediatamente al departamento de seguridad informática si se sospecha de un ciberataque.
Conclusión
Desde el punto de vista de la seguridad informática, los programas de acceso remoto comprometen la seguridad del perímetro de la red corporativa. Este es el caso cuando estos programas se usan sin control, y cuando se omiten las regulaciones de seguridad al conectarse a la red corporativa desde el exterior. Las actividades de estos programas en la red complican mucho la identificación de actividades maliciosas entre las actividades legítimas. La detección del uso programas de acceso remoto sin previa autorización del departamento de seguridad informática debe considerarse como evidencia suficiente de penetración de un ciberdelincuente.
Para minimizar los riesgos de estos incidentes de seguridad, se debe restringir en lo posible el uso de programas de acceso remoto, lo cual se logra con la ayuda del control de aplicaciones. Cuando los empleados realmente tienen que usar estos programas por razones empresariales, se deben tomar todas las precauciones para minimizar el riesgo de ciberataques. El establecimiento de políticas HIP, la ejecución con autorizaciones mínimas, y la autorización obligatoria de dominios, preferiblemente en dos etapas, ayudan a disminuir a un nivel aceptable los riesgos derivados de los programas potencialmente peligrosos.
Políticas de seguridad: programas de acceso remoto