Fortaleciendo el borde de la red:las agencias Five Eyes asesoran a las empresas sobre la protección de dispositivos críticos

Dado que el aumento de los ataques a dispositivos periféricos permite nuevas incursiones de atacantes en las redes empresariales, es hora de que todos intensifiquen su juego de seguridad, dicen las agencias de la alianza Five Eyes

Los servicios de inteligencia nacionales de cinco países han ofrecido a las empresas consejos sobre cómo vencer a los espías en su propio juego en una serie de documentos destinados a ayudarlas a proteger dispositivos y dispositivos de borde de red, como firewalls, enrutadores, puertas de enlace VPN (redes privadas virtuales), dispositivos de Internet de las cosas (IoT), servidores conectados a Internet y sistemas OT (tecnología operativa) conectados a Internet contra ataques cibernéticos.

La alianza Five Eyes reúne a las agencias de inteligencia de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos. Cada una de las distintas agencias ha abordado el desafío de proteger el borde de la red desde un ángulo diferente y publicaron sus informes el martes.

"Los adversarios extranjeros explotan habitualmente las vulnerabilidades de software en los dispositivos de borde de la red para infiltrarse en redes y sistemas de infraestructura crítica. El daño puede ser costoso, consumir mucho tiempo y tener una reputación catastrófica para las organizaciones de los sectores público y privado", dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en su introducción a la guía. "Estos documentos de orientación detallan varias consideraciones y estrategias para una red más segura y resistente, tanto antes como después de un compromiso".

Los nuevos documentos se suman a las directrices estadounidenses que ayudan a los fabricantes a construir dispositivos que sean seguros por diseño. El Centro Canadiense de Seguridad Cibernética (CCCS) fue el líder en Consideraciones de seguridad para dispositivos perimetrales, que no solo proporciona una lista detallada de tareas pendientes para TI corporativa, sino que también vincula a orientación específica sobre seguridad para trabajadores remotos y organizaciones con modelos de traer su propio dispositivo (BYOD), así como orientación para fabricantes de dispositivos perimetrales.

Un problema resuelto

En un ataque no tan sutil a los fabricantes de productos con interfaces de administración de red (NMI) poco seguras, también señaló:"Es posible que los proveedores refuercen sus productos para que permanezcan seguros con NMI expuestas a Internet. Este es un problema resuelto, y los clientes deben exigir a los proveedores que refuercen sus dispositivos para proteger las NMI".

Las Especificaciones de monitoreo forense digital para productos de dispositivos y aplicaciones de red, dirigidas por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK), se centran en los requisitos mínimos para la visibilidad forense. Detalla qué se debe registrar, cómo se deben almacenar y proteger los registros y los requisitos para la adquisición de datos forenses en caso de un incidente.

"Al seguir los niveles mínimos de observabilidad y líneas de base de análisis forense digital descritos en esta guía, los fabricantes de dispositivos y sus clientes estarán mejor equipados para detectar e identificar actividades maliciosas contra sus soluciones", dijo. "Los fabricantes de dispositivos también deberían utilizarlo para establecer una base de características estándar para incluir en la arquitectura de los dispositivos y dispositivos de red, para facilitar el análisis forense a los defensores de la red".

Australia tomó la iniciativa en dos documentos:Estrategias de mitigación para dispositivos perimetrales:orientación ejecutiva y Estrategias de mitigación para dispositivos perimetrales:orientación para profesionales. Estas guías, dirigidas por el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD), brindan un resumen de las estrategias de mitigación y las mejores prácticas para proteger, reforzar y administrar dispositivos perimetrales de manera efectiva, y detalles técnicos sobre siete estrategias de mitigación que el personal operativo, de adquisiciones y de ciberseguridad deben implementar para reducir el riesgo para los dispositivos perimetrales.

"El Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia (ASD) ha notado un aumento preocupante en el número de incidentes que involucran compromisos de dispositivos de borde", dijo la guía profesional. "Los dispositivos perimetrales están expuestos a Internet, normalmente son difíciles de monitorear y pueden acceder a otros activos en la red, lo que proporciona un punto de entrada atractivo y un objetivo para actores maliciosos".

El documento final, dirigido por CISA, es una actualización de una guía de 2023 sobre principios de seguridad por diseño para fabricantes con enlaces a recursos sobre implementación.

"Los productos diseñados con los principios de Secure by Design priorizan la seguridad de los clientes como un requisito comercial central, en lugar de tratarla simplemente como una característica técnica", decía la página web introductoria. "Durante la fase de diseño del ciclo de vida de desarrollo de un producto, las empresas deben implementar principios de Secure by Design para disminuir significativamente la cantidad de fallas explotables antes de introducirlos en el mercado para su uso o consumo generalizado. Los productos listos para usar deben ser seguros con características de seguridad adicionales como autenticación multifactor (MFA), registro e inicio de sesión único (SSO) disponibles sin costo adicional".

Un gran problema... si los fabricantes de dispositivos cumplen

La guía para los fabricantes entusiasma particularmente a Frank Dickson, vicepresidente del grupo de seguridad y confianza de IDC. "Esto es algo muy importante", dijo. "Es legítimamente enorme, especialmente si los fabricantes de dispositivos capitulan y cumplen con estos requisitos".

"Estos dispositivos son de misión crítica", añadió. "Y algunos de estos dispositivos tienen una vulnerabilidad ridícula en términos de cantidad de datos [que fluyen a través de ellos]". A pesar de eso, señaló, muchos no ofrecen visibilidad de lo que sucede en el interior, por lo que los clientes no pueden evaluar si el fabricante está haciendo un buen trabajo actualizando el firmware y siendo proactivo.

Katell Thielemann, distinguida vicepresidenta analista de Gartner, también está satisfecha con la orientación, pero señaló que es sólo un comienzo.

"Los avisos son positivos porque muestran que la comunidad Five Eyes está colaborando para generar mejores prácticas", dijo. Y continúan “recordando a la comunidad que cualquier cosa conectada a Internet está expuesta de forma predeterminada y es un objetivo potencial”.

OT no es TI

Sin embargo, no cree que agrupar firewalls, enrutadores, dispositivos IoT y sistemas OT conectados a Internet en un aviso sea útil para la comunidad, y "tampoco lo es llamarlos 'dispositivos de borde', porque se supone que la TI empresarial es el centro del universo y el 'borde' está ahí afuera".

"Eso puede ser cierto para los firewalls, enrutadores y puertas de enlace VPN, pero no para los sistemas OT", continuó. "Estos sistemas OT son sistemas ciberfísicos (CPS) que respaldan la producción de creación de valor y entornos de misión crítica. No son el borde; son el núcleo de las operaciones".

Muchos están conectados a Internet para respaldar las operaciones y el mantenimiento remotos, señaló, por lo que "el objetivo debe ser brindar asesoramiento sobre cómo acceder de forma remota a esos sistemas de forma segura, y el tono de los avisos debe estar dirigido a las realidades de producción donde las herramientas y procesos de seguridad de TI no siempre son una buena idea".

Dickson también cree que la guía es un buen primer paso, pero agregó:"si permitimos el registro y la visibilidad para análisis forense digital, también sería bueno, si hubiera un problema, que pudiéramos realmente hacer una reparación en ese dispositivo, algún tipo de interdicción".

"Ha sido un problema enorme desde hace algún tiempo", dijo. "El hecho de que haya una acción grande y coordinada en los múltiples países de Five Eyes es extremadamente significativo. Es fuerte, ruidosa, apropiada, todo son cosas buenas. Francamente, me impresionó tanto que hubieran estado anunciando esto, que simplemente dije:'Gracias a Dios, finalmente estamos abordando este problema'.

"Todo lo que necesitamos hacer es que un par de organizaciones realmente grandes implementen [la guía] como requisito para comprar algunos de estos dispositivos de vanguardia en el futuro y [el problema] se resolverá".

SUSCRÍBETE A NUESTRA NEWSLETTER

De nuestros editores directo a tu bandeja de entrada

Comience ingresando su dirección de correo electrónico a continuación.