La seguridad de la infraestructura y los servicios de acceso remoto en el momento de Covid-19

(Para Carlo mauceli)
15/06/20

El pasado mes de marzo 29 La República publicó un artículo cuyo incipit fue este: “La actual crisis social y de salud, provocada por COVID-19, ha llevado a un aumento exponencial en el número de personas que trabajan desde casa, que adoptan el trabajo inteligente para salvaguardar la salud pública. Al mismo tiempo, hay un aumento en los riesgos de seguridad cibernética. Esto se debe principalmente a dos factores. Por un lado, la redistribución de estaciones de trabajo fuera de las oficinas y el aumento en el uso de plataformas de colaboración virtual amplían enormemente la base de posibles ataques. Esto podría amenazar la infraestructura digital en la que, hoy más que nunca, confiamos en la continuidad del negocio. Si no se aborda de manera proactiva, incluso podría amenazar la infraestructura crítica y la provisión de servicios críticos. Por otro lado, la crisis de COVID-19 ofrece a los cibercriminales nuevas oportunidades para ataques dirigidos, ya sea correos electrónicos de phishing u otras estafas. Estas tácticas apuntan a aprovechar la situación de mayor vulnerabilidad en la que las personas se encuentran, ya que obviamente están preocupadas por su propia salud y seguridad ".

Personalmente, estoy de acuerdo a la mitad con lo que el conocido periódico dice que los ataques que presenciamos afectan, para la gran mayoría, a las infraestructuras privadas que, por desgracia, sufren las debilidades que siempre han sufrido y que, en un período como esto, en el que están sometidos a un estrés continuo, muestra toda su debilidad.
En este sentido, de hecho, me gustaría contarles sobre la seguridad de las plataformas de virtualización de escritorio, que es una de las más utilizadas y que, si no está configurada correctamente, representa un gran riesgo para todos aquellos a quienes no les gusta o no quieren usarlas. nube con el debido respeto a la cartera de inversiones en hardware y software, literalmente descartados.

Guía de seguridad para la adopción de escritorio remoto

El rápido aumento de la trabajo inteligente ocurrido en los últimos dos o tres meses ha llevado a muchas compañías a apresurarse a comprender cómo las infraestructuras y las tecnologías habrían podido gestionar el aumento de las conexiones remotas. Muchas empresas se han visto obligadas a mejorar sus capacidades para permitir el acceso remoto a los sistemas y aplicaciones corporativos, muy a menudo, confiando en el acceso remoto mediante el uso del protocolo de escritorio remoto, que permite a los empleados acceder directamente a estaciones de trabajo y sistemas.

Recientemente, John Matherly, fundador de Shodan, el primer motor de búsqueda del mundo para dispositivos conectados a Internet, ha realizado algunos análisis en los puertos accesibles a través de Internet, de los cuales han surgido algunas noticias importantes. En particular, ha habido un aumento en el número de sistemas accesibles a través del puerto tradicional en relación con el uso del protocolo Protocolo de escritorio remoto (RDP) y a través de un conocido puerto "alternativo" utilizado para RDP. Podríamos decir que la investigación de John tuvo el efecto de destacar un uso masivo del protocolo RDP y su exposición a Internet.

Si bien los servicios de Escritorio remoto pueden ser una forma rápida de permitir el acceso a los sistemas, se deben tener en cuenta una serie de posibles problemas de seguridad antes de utilizar Escritorio remoto para convertirse en la mejor estrategia de acceso remoto. Esto se debe a que, como se informó en un artículo mío anterior (Parinacota eCyber ​​Resilience), los atacantes intentan explotar el protocolo y el servicio relacionado, para comprometer las redes, infraestructuras, sistemas y datos corporativos.
Por lo tanto, es necesario hacer algunas consideraciones de seguridad para el uso del escritorio remoto y centrar la atención en una serie de elementos que necesariamente deben ser parte de la estrategia para mitigar los riesgos relacionados con el uso de RDP y que podamos resumir en:

  • Accesibilidad directa de sistemas en Internet público.
  • Gestión de vulnerabilidades y parches de sistemas expuestos.
  • Movimiento lateral interno después del deterioro inicial.
  • Autenticación multifactor (MFA).
  • Seguridad de sesión.
  • Control remoto de acceso y registro.

Con respecto a estas consideraciones, analicé el uso de los Servicios de escritorio remoto de Microsoft (RDS) como puerta de enlace para otorgar acceso a los sistemas. La puerta de enlace utiliza Secure Sockets Layer (SSL) para cifrar las comunicaciones y evitar que el sistema que aloja los servicios de protocolo de escritorio remoto quede expuesto directamente a Internet.
Para identificar si una empresa utiliza estos servicios, es necesario realizar una verificación de políticas en el firewall y escanear las direcciones expuestas en Internet y los servicios utilizados, para identificar cualquier sistema expuesto. Las reglas de firewall se pueden etiquetar como "Escritorio remoto" o "Servicios de terminal". El puerto predeterminado para Servicios de escritorio remoto es TCP 3389, el utilizado por el protocolo RDP, aunque, a veces, es posible usar un puerto alternativo como TCP 3388 en caso de que se haya cambiado la configuración predeterminada.

El Servicio de escritorio remoto se puede usar para la virtualización basada en sesión, para la Infraestructura de escritorio virtual (VDI) o para una combinación de estos dos servicios. El Servicio de escritorio remoto de Microsoft (RDS) se puede usar para proteger implementaciones locales, implementaciones en la nube y servicios remotos de varios socios de Microsoft, como Citrix, por ejemplo. El uso de RDS para conectarse a sistemas locales mejora la seguridad al reducir la exposición de los sistemas directamente a Internet.

La infraestructura podría ser local, en la nube o híbrida, según las necesidades, la disponibilidad de ancho de banda de la red y el rendimiento.

La experiencia que surge del uso de Virtual Desktop se puede mejorar aprovechando el servicio Windows Virtual Desktop, disponible en Microsoft Azure. La definición de un entorno en la nube simplifica la administración y ofrece la capacidad de escalar los servicios de virtualización para aplicaciones y escritorios virtuales. El uso de Windows Virtual Desktop, sin problemas de rendimiento debido a las conexiones de red locales que deben abordarse con el aumento en la disponibilidad de ancho de banda de la red, aprovecha las características de seguridad y cumplimiento inherentes a la plataforma Azure.

Acceso de administrador remoto seguro

Los servicios de escritorio remoto son utilizados no solo por los empleados para el acceso remoto, sino también por muchos desarrolladores y administradores de sistemas para administrar los propios sistemas y las aplicaciones locales y en la nube. Permitir el acceso administrativo a los servidores y sistemas en la nube directamente a través de RDP plantea un riesgo porque las cuentas utilizadas para estos fines suelen tener mayores privilegios de acceso a los sistemas e infraestructuras físicas y lógicas, incluido el acceso del administrador del sistema..
En este sentido, el uso de la nube de Microsoft Azure ayuda a los administradores del sistema a acceder de forma segura mediante Grupos de seguridad de red y Políticas de Azure que permiten la administración remota segura de servicios gracias a las características JIT (acceso justo a tiempo) ).

El acceso JIT mejora la seguridad a través de las siguientes medidas:

  • Flujo de trabajo de aprobación
  • Eliminación automática de acceso
  • Restricción de la dirección IP permitida para la conexión

Evaluación de riesgos

Las consideraciones para seleccionar e implementar una solución de acceso remoto siempre deben tener en cuenta el factor de seguridad y el apetito de riesgo de la organización. El uso de servicios de escritorio remoto ofrece una gran flexibilidad que permite a los trabajadores remotos tener una experiencia similar a la de trabajar en la oficina, ofreciendo cierta separación de las amenazas en los puntos finales (por ejemplo, dispositivos de usuario, administrados y no administrados por 'organización). Al mismo tiempo, estas ventajas deben compararse con las posibles amenazas a la infraestructura corporativa (red, sistemas y, por lo tanto, datos). Independientemente de la implementación del acceso remoto utilizado por la organización, es esencial implementar las mejores prácticas para proteger las identidades y minimizar la superficie de ataque para garantizar que no se introduzcan nuevos riesgos.

Imágenes: Guardia Nacional Aérea de EE. UU. / Microsoft