Demasiada administración puede volver más débiles a las TI

Hay que partir de esta base: la parte más insegura de nuestro ecosistema tecnológico no es el número de sistemas sin parches que tenemos; ni tampoco la TI en la sombra, pues gran parte del software es propiedad de las empresas o forma parte del ecosistema SaaS; ni mucho menos se menciona el modelo de responsabilidad compartida o la dificultad a la hora de configurar los sistemas de forma segura. Como tampoco se puede atribuir a algún tipo de amenaza interna.

La parte más insegura de toda empresa es nuestro software de administración. Ya sea la configuración de administración de dominios de Windows, a menudo secuestrada por el ransomware para desplazarse lateralmente, o aplicaciones como SolarWinds o CrowdStrike, que pueden utilizarse para infectar de forma remota -o simplemente hacer colapsar- flotas enteras de sistemas, el software que nos hace más inseguros es, ironías de la vida, el que ha sido instalado por los mismos equipos responsables de seguridad.

¿Ha llegado la hora de un modelo de ‘Zero Trust’… aplicado contra nuestros equipos informáticos?

Zero Trust tuvo su apogeo, aunque en su ejecución nos encontramos con ciertas “trampas”. Las organizaciones implementaron el acceso a la red Zero Trust, que (con razón) se negaba a confiar en las máquinas de los usuarios finales simplemente por conectarse a una VPN, en lugar de requerir una autenticación continua y fuerte para participar con cualquier aplicación; y, a menudo empujaban los permisos hasta la aplicación en lugar dejar simplemente por defecto que “todos los empleados puedan acceder a todo”.

¿Qué ocurre? La mayoría de las empresas no han llevado más allá esta manera de actuar a su siguiente paso natural. ¿Por qué confiamos implícitamente en nuestros usuarios administrativos y en el software? Los puntos finales -ya sean portátiles en manos de los usuarios, servidores en la nube o dispositivos integrados que alimentan las pantallas de los aeropuertos- suelen estar configurados casi hasta el exceso con un sin número de herramientas. Así, a bote pronto, se pueden citar desde las que controlan la administración remota en el espacio de la gestión unificada de puntos finales (UEM), hasta las que se encargan de la gestión de activos para inventariar y rastrear el contenido de los dispositivos, pasando por administradores de dispositivos móviles para desplegar software, configurar políticas y claves, herramientas de administración remota de servidores (RSAT) para que los administradores autorizados puedan iniciar sesión (ojo: no confundir con los troyanos de acceso remoto (RAT), utilizados por los adversarios para hacer exactamente lo mismo). Incluso hasta navegadores de empresa para controlar el acceso de los empleados a Internet y EDR (Endpoint detection and response) para identificar cuando alguien ha comprometido la máquina, comprometiendo una de las otras herramientas administrativas del dispositivo.

Ahora imagine un endpoint que no confía en todas estas herramientas; que no permite la administración remota, tampoco el inicio de sesión remoto, y no está cargado con una docena de agentes diferentes que resuelven tareas dispares de seguridad y TI. En su lugar, se centra en su único trabajo: ya sea permitir a su usuario interactuar de forma segura con Internet, ejecutar un servidor de aplicaciones o colocar una pantalla en un quiosco. En definitiva, un dispositivo que no confía en el ecosistema del empleador, excepto como fuente de correo electrónico y archivos, según determinadas circunstancias. Por ser más claros: no confía en ningún otro cliente de la misma red; para él, un Starbucks es tan seguro como una red corporativa. Es decir, nada en absoluto. Está bloqueado frente a tantos terceros como sea posible, y se actualiza por sí mismo utilizando las actualizaciones de los proveedores (ignoremos, por un breve momento, el raro riesgo de la autoactualización, puesto de relieve por el incidente de Crowdstrike).

En ese mundo, el número de proveedores en nuestro ecosistema que pueden causarnos muchos problemas disminuye de manera significativa. Seguimos confiando en Apple, Microsoft y Google para nuestras operaciones de endpoint, pero esos tres son mucho más fiables en cuanto a seguridad que la colección de software de TI y seguridad desplegado en la empresa moderna.

En lugar de preocuparnos por unas pocas docenas de proveedores cuyos errores pueden afectar a nuestra economía, nos quedamos con tres que han demostrado un enfoque en la seguridad que tanto necesitamos: y en los que los reguladores podrían centrar su atención en la seguridad, en lugar de perseguir a CrowdStrike mientras pasan por alto todos los demás conjuntos de herramientas administrativas de riesgo que existen.

Todavía podríamos necesitar un solo EDR ‘Zero Trust’

En ese mundo, irónicamente, todavía podríamos necesitar un protocolo y una aplicación EDR. Los usuarios finales deberían tener una plataforma para, primero, asegurarse de que su dispositivo está realmente bloqueado; y segundo, para informar de ello (y nada más) a su empleador o empleadores.

Tal vez sea un producto del proveedor del sistema operativo o podría ser un tercero, pero no estaría de más centrarse únicamente en proteger el dispositivo de forma proactiva impidiendo que los adversarios consigan siquiera asentarse, en lugar de hacerlo de forma reactiva con el propósito de detectar a los adversarios cuando ya están a bordo. Y desde luego, que no requiera privilegios administrativos tan profundos como para paralizar el dispositivo cuando deje de funcionar.

Un EDR Zero Trust, cuyo usuario principal es el usuario final, también podría gozar de incentivos para centrarse en la facilidad de uso de la seguridad de cara a los usuarios finales. Tal vez se logre integrando múltiples gestores de contraseñas (como le gustaría a cualquier usuario de Apple que también utiliza Chrome y 1Password), detección de spearphishing, navegación empresarial, y cualquier número de otras capacidades.

Source: Computerworld.es