Las redes VPN tradicionales se han convertido en un importante problema de seguridad para empresas y gobiernos. Las VPN requieren acceso entrante a las redes corporativas, lo que amplía significativamente la superficie de ataque del malware. Esto las convierte en objetivos principales para los perpetradores de amenazas, lo que aumenta el riesgo de interrupción de su negocio. Las VPN se construyen sobre una base de excesiva confianza implícita, que puede permitir inadvertidamente a los atacantes moverse lateralmente dentro de una red y escalar privilegios sin ser detectados, obteniendo acceso a sistemas de alto valor mucho más allá de su punto de entrada inicial. Tal vez lo más alarmante sea que las VPN están plagadas de un largo historial de vulnerabilidades de software que han sido explotadas persistentemente tanto por piratas informáticos individuales como por agentes de estados-nación.
La escueta advertencia de CISA: "Simplemente desconecte" los dispositivos VPN Ivanti Connect Secure
La ampliamente utilizada VPN Ivanti Connect Secure, antes conocida como Pulse Secure, pone claramente de manifiesto estos riesgos de seguridad. En los últimos años, Ivanti Secure Connect ha sido el caldo de cultivo de varias vulnerabilidades de día cero, que han sido ampliamente explotadas, provocando a veces consecuencias devastadoras. Ahora, Ivanti se encuentra de nuevo en el punto de mira, con atacantes que explotan activamente nuevas vulnerabilidades de día cero en su software.
Así que surge la pregunta acuciante: ¿por qué está ocurriendo esto ahora y por qué creemos que las VPN son un peligro claro y presente? La raíz del problema se encuentra en la antigüedad y evolución de la tecnología VPN. La mayoría de las VPN tradicionales llevan décadas en uso y están lastradas por una deuda técnica cada vez mayor. Con el tiempo, sus bases de código se han convertido en un mosaico de funciones obsoletas y actualizaciones parciales. Creemos que esta amalgama de código antiguo y nuevo crea un efecto de bola de nieve que conduce a vulnerabilidades críticas del software, como las que afectan actualmente a Ivanti.
Aunque Ivanti ha desplegado su primera ronda de parches para dos vulnerabilidades conocidas (apodadas colectivamente "ConnectAround"), descubrió dos nuevas vulnerabilidades críticas en el proceso y dejó muchas de sus versiones de código sin parchear. TLa situación llegó a un punto crítico la semana pasada, lo que llevó a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) a tomar una medida extraordinaria y emitir una directiva de emergencia a todas las agencias federales para que desconectaran de sus redes todas las instancias de los productos Ivanti Connect Secure e Ivanti Policy Secure en situación de riesgo lo antes posible (y a más tardar el 2 de febrero de 2024). Esta medida, aunque dirigida específicamente a los organismos federales, transmite un mensaje más amplio: las amenazas que plantean estas vulnerabilidades se ciernen sobre todas las empresas.
Hacer frente a la crisis actual requiere nuestra actuación inmediata (y al final de este artículo esbozamos lo que podemos hacer para ayudar), pero es igualmente crítico prevenir futuras crisis relacionadas con las VPN. Si la historia nos sirve de guía, las vulnerabilidades de día cero no son meras probabilidades, son inevitables. Esta cruda realidad exige que cambiemos radicalmente nuestro enfoque de la seguridad de red. No basta con poner parches a las vulnerabilidades a medida que surgen; tenemos que revisar nuestra arquitectura de seguridad para eliminar estos riesgos por completo. Rompamos el ciclo de parcheo interminable de vulnerabilidades y, en su lugar, construyamos un marco más sólido y resiliente – ahora.
Un toque de atención para ir más allá de las VPN tradicionales
El acceso a la red basado en confianza cero, o ZTNA, elude los retos inherentes a las VPN con un paradigma fundamentalmente diferente para proporcionar acceso remoto. En lugar del enfoque tradicional de conectar dispositivos directamente a la red, ZTNA ofrece un enfoque más seguro de conectar usuarios a aplicaciones a través de un agente de confianza. Al hacerlo, es capaz de ofrecer estas importantes ventajas:
- Reduce significativamente la superficie de ataque mediante la eliminación de túneles VPN abiertos de par en par que obligan a abrir escuchas entrantes que pueden ser explotadas por los atacantes.
- Limita el movimiento lateral no autorizado al sacar a los usuarios de la red y sustituir el acceso basado en IP por un acceso lógico basado en sesiones que impone el mínimo privilegio en los recursos de su empresa.
Netskope ZTNA Next: Ninguna aplicación se queda atrás
Netskope ZTNA Next se construyó desde cero y ofrece un camino claro para reemplazar las VPN de acceso remoto para todos los casos de uso de acceso a aplicaciones, proporcionando una conectividad segura y bidireccional y trayendo consigo una gran cantidad de beneficios:
- Moderniza la conectividad remota ZTNA Next proporciona acceso remoto seguro a todo tipo de aplicaciones privadas, incluidas las que requieren conectividad de servidor a cliente o bidireccional–una carencia de otras soluciones ZTNA–acelerando así la adopción de una arquitectura de confianza cero.
- Mejora la postura general de seguridad. ZTNA Next es intrínsecamente más seguro que las VPN porque proporciona acceso a las aplicaciones en lugar de acceso a la red. Aplica estrictamente el acceso con menos privilegios y concede de forma adaptativa la cantidad correcta de confianza en el momento adecuado con el motor Netskope Zero Trust Engine. El resultado reduce significativamente la superficie de ataque y minimiza el riesgo de movimiento lateral dentro de la red.
- Ofrece una gran experiencia a los usuarios finales. Garantice un acceso fiable y optimizado a las aplic