¿Están los errores críticos de ZTNA comprometiendo su red?

Written By Xiid Dev

El Acceso a la Red de Confianza Cero (ZTNA) suele considerarse una "solución mágica" para la seguridad de la red y, si se hace bien, puede suponer una mejora notable respecto a la seguridad de la red perimetral. Desafortunadamente, los despliegues de ZTNA suelen sufrir vulnerabilidades importantes, aunque fáciles de pasar por alto. Concretamente:

  • Mantener abiertos los puertos de entrada

  • Una dependencia excesiva de las VPN

  • Uso de conexiones máquina a máquina

  • Confiar en los servicios de Romper e Inspeccionar (Break-and-Inspect)

The Life of a Sys Admin | Photo by Christian Erfurt on Unsplash

Vulnerabilidades comunes en despliegues de ZTNA

Error #1: Mantener abiertos los puertos de entrada

Muchas organizaciones están tan acostumbradas a configurar los cortafuegos (firewall) con reglas complejas que controlan puertos abiertos, que este juego de configuración se convierte en lo que es la seguridad de red, o simplemente se ve como la "naturaleza del asunto". Se implementan productos de Inteligencia Artificial (IA) avanzados para establecer las reglas en el cortafuegos, o el tráfico se descifra, inspecciona y clasifica (a menudo incorrectamente) como bueno o malo; un solo error puede permitir que malware, ransomware y otros ataques dañinos se propaguen libremente por toda su red.

El verdadero riesgo, sin embargo, es que en primer lugar ya hay puertos entrantes abiertos.

Como dice la famosa cita de la película, el error es empezar a jugar a este peligroso juego de “seguridad”.

“La única jugada ganadora es no jugar." — WarGames

Lo cierto es que existen nuevos productos en el mercado que permiten lograr una red con accesos robustos y repletos de funcionalidades, al tiempo que bloquean todo el tráfico entrante en cada recurso, protegiendo así su red de intrusiones.

Error #2: Dependencia excesiva de las VPN

Las VPN se utilizan a menudo para conectar oficinas remotas o trabajadores con sedes corporativas o centros de datos, y se emplean sin considerar otras alternativas. Al igual que la creación de reglas complejas para cortafuegos, la mentalidad de "siempre se ha hecho así" lleva a que la mayoría de las empresas utilicen VPNs de forma extensa sin dudarlo. Esto es jugar con fuego ¡las VPN son, esencialmente, agujeros en el cortafuegos!

El tráfico entrante, permitido por la VPN, puede ser (y a menudo es) explotado por atacantes o dispositivos comprometidos. Las VPN también introducen problemas de rendimiento y escalabilidad, ya que requieren cifrado y descifrado de todo el tráfico.

Las VPN a veces están justificadas, por ejemplo, para subredes con servidores que necesitan realizar sincronización en tiempo real. Supongamos que tiene un clúster de servidores con máquinas de todo el mundo que necesitan comunicarse entre sí con frecuencia. Como los servidores están en LANs diferentes, podría crear una VPN que incluya solo esos servidores sincronizadores, sin clientes.

Permitir que cada cliente tenga acceso sin restricciones a toda la red a través de VPN es increíblemente inseguro, y existen soluciones mucho más seguras para permitir que los clientes accedan a recursos y se comuniquen entre sí.

Error #3: Uso de conexiones máquina a máquina

Dado que las VPN crean conexiones máquina a máquina, cualquier proceso en una máquina puede comunicarse con cualquier otro proceso, ¡incluidos los maliciosos! Esto puede provocar ransomware generalizado, malware, infecciones virales o filtración de datos, ya que un proceso malicioso en una máquina podría empezar a atacar cualquier otro recurso de la VPN.

En su lugar, las conexiones deberían restringirse para permitir solo la comunicación proceso a proceso. Esto significa que solo procesos específicos designados y destinados a comunicarse entre sí pueden hacerlo, limitando significativamente el potencial de propagación de ciberataques.

Dejar el alcance de la comunicación abierto es una enorme e innecesaria responsabilidad.

Error #4: Confiar en los servicios de "Break-and-Inspect"

Utilizar servicios de romper e inspeccionar para proteger el tráfico de su red introduce una enorme puerta trasera de seguridad en la red.

Cuando se depende de un servicio o dispositivo externo que busca mantenerle seguro rompiendo e inspeccionando el tráfico, está compartiendo todo su tráfico claramente con esa entidad y confiando en ella para todo. Está confiando en el software o hardware de un tercero con todo el tráfico de su red abierto. Secretos de la empresa, credenciales, correos electrónicos, datos de clientes ... todo. Esto aniquila el espíritu de Zero Trust en toda tu red.

Aunque algunas grandes organizaciones pueden hacer el (extremadamente arriesgado) compromiso de seguridad para utilizar estos servicios para la vigilancia de empleados, ya existen en el mercado otras soluciones como los  Protocolos Híbridos Inteligentes sensibles a aplicaciones que protegen contra la inyección de código malicioso sin comprometer la seguridad de la red.

close up of a face with the eye peering through a jagged hole in a wall

Break-and-Inspect Vendor Viewing Network Traffic | Photo by Dmitry Ratushny on Unsplash

¿Y ahora qué?

Implementar ZTNA puede aportar enormes beneficios a las organizaciones, pero los despliegues exitosos requieren una planificación y ejecución cuidadosas para evitar estos y otros errores comunes que socavan su eficacia.

Si ya tiene un despliegue existente, es posible (o incluso probable) que su red sufra de estas vulnerabilidades clave y explotables, y desde luego no es culpa suya, ya que los productos de la mayoría de los grandes proveedores de ZTNA son susceptibles a algunas o todas ellas.

Una nueva plataforma de control de acceso a la red, Terniion, ofrece la misma funcionalidad que los despliegues típicos de ZTNA, pero está diseñada desde cero por expertos en seguridad para estar libre de estos y otros obstáculos comunes que limitan la seguridad de la red.

Xiid Dev
Previous

Are critical ZTNA mistakes compromising your network?
Next

The internet is not secure by design. What can we do?