7 soluciones VPN alternativas para asegurar el acceso remoto a la red

Las redes privadas virtuales (VPN), que alguna vez se vieron como una forma clásica de proteger a los trabajadores remotos, brindan acceso seguro a los datos y sistemas corporativos para una pequeña cantidad de personas que se conectan desde el exterior, a diferencia de la mayoría de los empleados que trabajan en espacios de oficina tradicionales. diseñado con el propósito de
Ⓒ Banco de imágenes de Getty

Sin embargo, la situación ha cambiado drásticamente a principios de 2020 debido al trabajo remoto masivo provocado por COVID-19. Desde la pandemia de COVID-19, muchas empresas han comenzado a utilizar el trabajo remoto como una forma estándar de trabajo, y muchos empleados no vienen a la oficina en absoluto, o incluso lo hacen ocasionalmente.

Las VPN no son suficientes para su uso en entornos híbridos y de teletrabajo, y depender de las VPN para proteger a un gran número de trabajadores remotos presenta riesgos importantes. Joseph Carson, Científico Jefe de Seguridad y CISO Asesor de ThycoticCentrify, dijo: “Originalmente, las VPN se crearon para trabajar de forma remota y para administrar una pequeña cantidad de empleados o contratistas externos que necesitaban acceso remoto a sistemas específicos. También dijo que las VPN tienen un impacto negativo en la productividad de los empleados y la experiencia del usuario debido al aumento de la fricción.

“El uso de VPN en nubes a gran escala es algo que nadie previó, y la superficie de ataque potencial que crea es una pesadilla de seguridad para los equipos de TI”, dijo Matthew Gracie McMinne, jefe de investigación de amenazas en Netacea.

Felipe Duarte, investigador de seguridad de Appgate, dijo: “La pandemia de COVID-19 ha obligado a la mayoría de las empresas a adaptarse rápidamente a un entorno de trabajo completamente remoto, y algunas han implementado soluciones VPN comunes para que los empleados puedan acceder a los mismos sistemas desde casa. Lo manejamos de manera insegura, confiando en sus dispositivos “.

Dado que los métodos de trabajo remotos e híbridos se convertirán en la norma durante algún tiempo, las empresas no solo deben reconocer las deficiencias y los riesgos de las VPN en la era del teletrabajo, sino también cómo las soluciones alternativas pueden hacer que el futuro del trabajo remoto e híbrido sea más seguro. .


VPN para trabajo remoto, cuál es el problema

Sean Wright, jefe de seguridad de aplicaciones de Immersive Labs, dijo que las VPN suelen extender las redes corporativas, lo que las hace más propensas a ser explotadas por atacantes si la red que está utilizando no es segura. Cuanto más, mayor es el riesgo “.

Otra desventaja de las VPN es que las VPN solo proporcionan cifrado para el tráfico que pasa entre dos puntos, por lo que debe crear una pila de seguridad completa e independiente para la inspección del tráfico en un extremo de cada conexión VPN.

“Con un número cada vez mayor de recursos corporativos alojados en la nube y de acceso remoto, este requisito se vuelve cada vez más difícil de cumplir”, dijo Wave Money, CISO de Dominic Grunden. Además, las VPN no proporcionan un medio para proteger el acceso de terceros, el vínculo de ataque más débil “.

La mayoría de las VPN brindan una seguridad mínima al encriptar el tráfico, pero no fuerzan el uso de la autenticación multifactor (MFA). “Si la computadora de un empleado se ve comprometida mientras trabaja a distancia, un actor malintencionado podría usar las credenciales del empleado para obtener acceso de confianza total a la red de la empresa a través de una VPN”, dijo Gracie-Macmin de Netasia. “Y debido a que no tiene una capa completa de la pila de seguridad mientras trabaja desde casa, es menos probable que su equipo de seguridad detecte tal comportamiento”.

Vemos este problema en un reciente ataque de ransomware Colonial Pipeline. “En este incidente, los atacantes simplemente usaron el nombre de usuario y la contraseña robados de un dispositivo VPN inseguro para obtener acceso a la red interna”, dijo Duarte de Appgate. Duarte también citó ejemplos de atacantes que apuntaban y explotaban vulnerabilidades conocidas de dispositivos VPN.

Más recientemente, el caso CVE-2021-20016 (que afecta a SonicWall SSL VPN) de la organización ciberdelincuente DarkSide y CVE-2021-22893 (Pulse Secure) explotados por más de una docena de variantes de malware. ) que afectan a la VPN).

Otro problema importante son los dispositivos infectados con malware y sin parches. “Estos escenarios generalmente involucran botnets, puertas traseras y malware controlado por humanos, como los troyanos de acceso remoto (RAT)”, dijo Duarte. “El atacante se conecta al dispositivo de forma remota, y una vez que se conecta la VPN, el malware se hace pasar por el usuario y se propaga por la red interna, accediendo a cualquier sistema al que tenga acceso”.

Un dispositivo solo puede ser suficientemente seguro si se actualiza activamente. “Incluso el uso de la conexión VPN más segura del mundo es un riesgo para la empresa si el dispositivo no está correctamente parcheado”, explica Wright de Immersive Labs.

Las VPN también tienen importantes debilidades en términos de usabilidad y productividad. “Una queja común de las VPN es la lentitud de la red”, dice Money de Grunden. “La VPN redirige la solicitud a través de un servidor diferente, lo que aumenta la latencia de la red y, por lo tanto, ralentiza la conexión inevitablemente”.

Además, existen otros problemas de rendimiento relacionados con el uso de interruptores de interrupción y DHCP. Si bien la seguridad que proporciona una VPN es necesaria, a menudo conlleva una complejidad indebida, especialmente para las empresas que utilizan VPN empresariales.


Una alternativa VPN segura para el trabajo remoto

Ya sea que se trate de reemplazar completamente las VPN o complementarlas con otras soluciones, las empresas deben reconocer e implementar métodos de seguridad alternativos que se adapten mejor a la protección de operaciones remotas a gran escala. La cantidad y los tipos de alternativas de VPN que las empresas pueden considerar dependerán de varios factores, como su postura de seguridad y tolerancia al riesgo. Sin embargo, los expertos en seguridad coinciden en que es muy probable que las siguientes soluciones sean las más eficaces para las empresas.

1. ZTNA
El acceso a la red de confianza cero (ZTNA) es básicamente un acceso intermediario a las aplicaciones y los datos de la red. Apunte a usuarios y dispositivos antes de otorgar acceso. “Debe adoptar una mentalidad de confianza cero y asumir siempre que un dispositivo o la cuenta de un empleado podrían haberse visto comprometidos”, aconseja Duarte.

“El método de confianza cero puede realizar las funciones básicas de una VPN, como otorgar acceso a sistemas y redes específicos, pero proporciona acceso con privilegios mínimos a aplicaciones específicas, autenticación de identidad, verificación de empleados y almacenamiento de credenciales”, dice Grunden. Se agrega una capa de seguridad en forma de algo así “.

Como resultado, incluso si un atacante logra infectar un sistema, el daño se limita al rango al que puede acceder el sistema. “También debe implementar una solución de monitoreo de red para detectar comportamientos sospechosos como escaneos de puertos realizados por sistemas infectados, generando alertas automáticamente y apagando los sistemas infectados”, dijo Duarte.

2. SASE
En el modelo ZTNA, todos los usuarios y dispositivos se verifican y verifican no solo a nivel de red sino también a nivel de aplicación antes de permitir el acceso. Sin embargo, la confianza cero es solo una parte de la solución del problema y no es posible monitorear todo el tráfico de un extremo a otro.

“Secure Access Service Edge (SASE) resuelve este problema”, dice Gracie-McMin. Como modelo basado en la nube, SASE combina funciones de red y seguridad en un servicio arquitectónico, lo que permite a las empresas unificar sus redes desde un punto, una pantalla ”.

SASE es una solución moderna diseñada para satisfacer las necesidades de rendimiento y seguridad de las empresas de hoy, proporcionando administración y operación simplificadas, menor costo, mayor visibilidad, seguridad a través de capas adicionales de funciones de red y una arquitectura de seguridad básica nativa de la nube. “En última instancia, SASE brinda a los equipos de TI ya toda la fuerza laboral de la empresa la flexibilidad para trabajar de manera segura en la era Corona New Normal, donde todo es cibernético”, dice Grunden.

3. SDP
Los perímetros definidos por software (SDP), a menudo implementados en estrategias más amplias de confianza cero, son perímetros de red basados ​​en software en lugar de hardware, que reemplazan eficazmente las soluciones VPN tradicionales.

“Puede usar la autenticación de múltiples factores y segmentar su red, así como también perfilar los usuarios y dispositivos que se conectan y crear reglas para permitir el acceso solo cuando sea absolutamente necesario en una variedad de escenarios”, dijo Duarte.

SDP también facilita el bloqueo del acceso a los recursos cuando se detecta un comportamiento sospechoso en la red para aislar posibles amenazas, minimizar el daño causado por los ataques y deshabilitar completamente los dispositivos en caso de falsos positivos. En lugar de evitar que los usuarios trabajen correctamente, puede mantenerlos productivos.

4. SD-WAN
Las VPN se basan en un modelo centrado en el enrutador para distribuir el control a través de la red, donde los enrutadores enrutan el tráfico de acuerdo con las direcciones IP y las listas de control de acceso (ACL). Las redes de área amplia definidas por software (SD-WAN) permiten formas más inteligentes de redirigir el tráfico a través de las WAN al tratar el tráfico en función de los requisitos de prioridad, seguridad y calidad del servicio según las necesidades de la empresa. software y funciones de control central.

“Los productos SD-WAN están diseñados para reemplazar los enrutadores físicos tradicionales con software virtual que puede controlar las políticas de nivel de aplicación y proporcionar superposiciones de red”, dice Grunden. SD-WAN también puede automatizar la configuración continua de enrutadores de borde WAN y transportar tráfico a través de una red híbrida de enlaces MPLS privados y de banda ancha pública ”. Esto da como resultado una red empresarial de nivel de borde con menor costo, menor complejidad, mayor flexibilidad y mejor seguridad.

5. IAM 과 PAM
Las soluciones que utilizan un proceso de validación integral para validar los intentos de inicio de sesión generalmente brindan una protección más sólida que las VPN tradicionales que solo requieren una contraseña. Las funciones de seguridad de administración de identidad y acceso (IAM) vinculan la actividad de la sesión y los privilegios de acceso a usuarios individuales, lo que permite a los administradores de red verificar que cada usuario tenga acceso autorizado y rastrear cada sesión de red. “Las soluciones de IAM a menudo brindan un nivel adicional de acceso para que los usuarios solo puedan acceder a los recursos que están autorizados a usar”, dice Grunden.

IAM administra un protocolo de identidad que permite un monitoreo de actividad más granular, pero no brinda protección adicional para credenciales privilegiadas. “Para administrar de forma segura las credenciales de las cuentas privilegiadas, necesita Privileged Access Management (PAM)”, dice Grunden. “Si la gestión de identidades establece y autoriza las identidades de usuarios individuales, PAM proporciona acceso privilegiado a los sistemas y aplicaciones centrales”. La atención se centra en la gestión estricta de las credenciales “.

Estas cuentas de alto nivel plantean el mayor riesgo en términos de seguridad y requieren una administración y un monitoreo estrechos porque son el principal objetivo de los atacantes, ya que tienen sólidas capacidades de administración. Los beneficios clave de una solución PAM incluyen la seguridad avanzada de credenciales, como la reversión frecuente de contraseñas complejas, la ofuscación de contraseñas, el control de acceso al sistema y a los datos y la supervisión de la actividad del usuario. Estas funciones reducen la amenaza del uso no autorizado de credenciales privilegiadas y facilitan a los administradores de TI detectar actividades sospechosas o de riesgo.

6. UEM
El acceso condicional a través de las herramientas Unified Endpoint Management (UEM) puede proporcionar una experiencia sin VPN a través del acceso condicional, que permite a los agentes que se ejecutan en el dispositivo evaluar una variedad de condiciones y luego otorgar acceso a recursos específicos. .

Andrew Hewitt, analista senior de Forrester, dijo: “UEM puede determinar si un usuario tiene acceso a datos corporativos, por ejemplo, evaluando el cumplimiento de un dispositivo, la información de identidad y el comportamiento del usuario. Los proveedores de UEM a menudo se integran con los proveedores de ZTNA para mayor protección “.

7. VDI o DaaS
La infraestructura de escritorio virtual (VDI) o las soluciones de escritorio como servicio transmiten esencialmente la computación desde un servidor en la nube o local, sin dejar nada en el dispositivo. En ocasiones, Hewitt usa VDI como alternativa a la VPN en la empresa, pero hay cosas que deben verificarse a nivel del dispositivo y también se requiere la autenticación del usuario para proteger el acceso. La ventaja de este método es que, a diferencia de las VPN tradicionales, los datos no se pueden copiar de la sesión virtual al cliente local “. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!