Professional Documents
Culture Documents
Kirill Kruglov
Comentar
La experiencia de muchos responsables de seguridad informtica muestra que solo un reducido nmero de incidentes de
seguridad son resultado de ataques dirigidos sofisticados y meticulosamente planificados, y que la mayora se deben a la falta de
medidas efectivas de seguridad y control. Este articulo da inicio a una serie de publicaciones sobre amenazas a la seguridad
informtica asociadas con el uso de software legtimo.
TeamViewer
Muy populares, fciles de usar y prcticas, las herramientas de acceso remoto son muy apreciadas tanto por los administradores
de sistemas como por los desarrolladores, y por cualquiera que en algn momento haya necesitado ingresar a un ordenador en su
oficina desde un lugar remoto, ya sea durante un viaje de negocios, trabajando desde casa, o en caso de una emergencia en
plenas vacaciones. Sin embargo, el uso irrestricto de este software significa una amenaza contra la seguridad corporativa y puede
ocasionar incidentes de seguridad.
Por ejemplo, TeamViewer, una herramienta de acceso remoto relativamente popular, se us para espiar en Europa del Este. Sin
embargo, el uso de software de acceso remoto para penetrar una red corporativa constituye en potencia ms que una amenaza
externa (implica acciones ciberdelictivas y programas maliciosos). Cada bit de una amenaza interna es significativo: los empleados
corporativos pueden potencialmente abusar el acceso remoto con el software instalado y usado por un infiltrado con propsitos
ilegtimos.
Echemos un vistazo a algunas de las amenazas potenciales con un estudio de caso de la vida real realizado por los expertos de
Kaspersky Lab.
Afortunadamente, estas actividades maliciosas se neutralizaron rpidamente gracias a las acciones del equipo de seguridad
informtica, por lo que el dao causado por el ciberdelincuente fue limitado. Al empleado se le llamo la atencin, y el jefe de
seguridad tomo medidas rpidas para prevenir que incidentes similares ocurriesen en el futuro.
Solucin
Un paso importante al procesar los incidentes de seguridad consiste en corregir los defectos en las polticas de seguridad
corporativa que dan lugar a posibles incidentes. Entonces, que es lo que un responsable de seguridad debe hacer en este caso?
Anlisis primario
Cuando se detecta un incidente de seguridad, la primera tarea de un responsable de seguridad informtica es averiguar si se trata
de un incidente aislado, o si potencialmente podra repetirse en otros equipos de la red. Un inventario de programas permite al
responsable recopilar informacin sobre todos los programas instalados en los ordenadores de los usuarios, mientras que el
monitoreo de programas le ayudara a determinar la frecuencia con que se usan. Un anlisis preliminar le proporciona, entre otras
cosas, un cuadro general sobre cmo se usan en la red los programas de acceso remoto, quien los usa, y con qu frecuencia.
Control de aplicaciones
El control de aplicaciones es evidentemente una herramienta apropiada para disminuir el riesgo de penetraciones en una red
corporativa mediante TeamViewer, ya que puede detener el uso descontrolado.
TeamViewer es una herramienta conveniente. Por ejemplo, le permite al administrador de sistemas prestar asistencia a los
usuarios desde cualquier lugar. El uso de TeamViewer (o una alternativa segura) puede permitirse a los usuarios que realmente
necesiten el acceso remoto a su red corporativa. Para los otros empleados, no debe permitirse el acceso remoto.
Esta decisin parece compleja: la bsqueda, compilacin y mantenimiento de una lista completa y actualizada de todos los
programas de acceso remoto consume tiempo y esfuerzo. Sin embargo, el uso del control de aplicaciones en Default Deny
mode resuelve el problema de mantener y actualizar listas de programas no autorizados.
Cuando se resuelve el asunto de quien no necesita TeamViewer, la tarea del responsable de seguridad informtica se simplifica al
control de un determinado grupo de empleados que estn en la zona de riesgo.
2.
Restringir acceso a TeamViewer y sus capacidades, para reducir la posibilidad de que los ciberdelincuentes penetren
la red corporativa.
Supongamos que un empleado tiene la autorizacin y permiso para usar TeamViewer, pero que un ciberdelincuente logra
robrselos. Como se puede minimizarse el dao potencial?
Aparte de bloquear ciertas actividades, el control de aplicaciones le permite al responsable de seguridad restringir las capacidades
de la aplicacin con la aplicacin de las polticas HIPS, como la restriccin a los recursos de la red, la restriccin de privilegios
para ejecutar y/o cargar aplicaciones, desactivar cualquier cambio en las configuraciones, etc. Esto ayuda a limitar las
capacidades de TeamViewer en caso de que caiga en manos de un ciberdelincuente.
Polticas de seguridad:
Aunque Teamviewer posee una amplia lista de capacidades funcionales, no incluye herramientas para que el administrador ejerza
un control centralizado en una red corporativa. Algunas configuraciones en TeamViewer que ayudan a reducir el riesgo de
penetraciones son: la generacin de una nueva contrasea de conexin cuando se ejecuta TeamViewer, la opcin de limitar la lista
de ID de clientes a los que se permite conectarse, y el establecimiento de una conexin VPN entre dos clientes TeamViewer. Sin
embargo, es el usuario quien decide si se usan o no determinadas restricciones. Por supuesto que el administrador puede instalar
y configurar TeamViewer, y protegerlo con una contrasea para evitar cambios en su configuracin. Sin embargo, no tiene sentido
imponer un control sobre las modificaciones a la configuracin, ya que los usuarios pueden recurrir a una versin porttil y liviana
en un dispositivo USB.
Todos los empleados deben estar conscientes de las polticas corporativas de seguridad. Una de las tareas del responsable de
seguridad informtica consiste en informar a los empleados sobre la seguridad con regularidad y asegurarse de que se estn
cumpliendo las polticas vigentes. Por ejemplo, los usuarios deberan:
Ejecutar TeamViewer con un mnimo de autorizaciones, sin posibilidad alguna de que aumenten;
Conclusin
Desde el punto de vista de la seguridad informtica, los programas de acceso remoto comprometen la seguridad del permetro de
la red corporativa. Este es el caso cuando estos programas se usan sin control, y cuando se omiten las regulaciones de seguridad
al conectarse a la red corporativa desde el exterior. Las actividades de estos programas en la red complican mucho la
identificacin de actividades maliciosas entre las actividades legtimas. La deteccin del uso programas de acceso remoto sin
previa autorizacin del departamento de seguridad informtica debe considerarse como evidencia suficiente de penetracin de un
ciberdelincuente.
Para minimizar los riesgos de estos incidentes de seguridad, se debe restringir en lo posible el uso de programas de acceso
remoto, lo cual se logra con la ayuda del control de aplicaciones. Cuando los empleados realmente tienen que usar estos
programas por razones empresariales, se deben tomar todas las precauciones para minimizar el riesgo de ciberataques. El
establecimiento de polticas HIP, la ejecucin con autorizaciones mnimas, y la autorizacin obligatoria de dominios,
preferiblemente en dos etapas, ayudan a disminuir a un nivel aceptable los riesgos derivados de los programas potencialmente
peligrosos.