Por qué el monitoreo de dispositivos de red es crítico para la seguridad de la red

Una infraestructura de red segura es crítica para las organizaciones, y eso requiere mantener un seguimiento cercano de lo que está sucediendo con enrutadores, conmutadores y otros network devices. Necesitas poder detectar e investigar rápidamente amenazas a tu seguridad perimetral, como cambios no autorizados en configuraciones, intentos sospechosos de inicio de sesión y amenazas de escaneo. Por ejemplo, no detectar cambios inapropiados en las configuraciones de tu network device de manera oportuna dejará tu red susceptible a que los atacantes la penetren e incluso ganen control sobre ella.

En esta entrada de blog, comparto los 4 problemas principales que la auditoría de dispositivos de red puede ayudar a resolver y ofrezco un procedimiento de 3 pasos para comenzar con la auditoría de tus dispositivos de red de manera efectiva.

Los 4 problemas de seguridad principales para dispositivos de red

Problema # 1: Dispositivos mal configurados

Los cambios de configuración inadecuados son una de las principales amenazas asociadas con los dispositivos de red. Un único cambio inadecuado puede debilitar la seguridad de su perímetro, generar preocupaciones durante las auditorías regulatorias e incluso causar costosas interrupciones que pueden paralizar su negocio. Por ejemplo, un firewall mal configurado puede dar a los atacantes acceso fácil a su red, lo que podría llevar a daños duraderos en su organización.

La auditoría de dispositivos de red combinada con capacidades de alerta le proporcionará la perspectiva y el control que necesita. Al permitirle detectar rápidamente cambios de configuración inapropiados y comprender quién cambió qué, la auditoría mejora la responsabilidad del usuario y le ayuda a detectar posibles incidentes de seguridad antes de que causen problemas reales.

Problema # 2: Inicios de sesión no autorizados

La mayoría de los intentos de iniciar sesión en un dispositivo de red son acciones válidas por parte de los administradores de red, pero algunos no lo son. La incapacidad para detectar rápidamente intentos de inicio de sesión sospechosos deja a su organización vulnerable a atacantes que intentan hackear su camino hacia su red. Por lo tanto, necesita ser alertado inmediatamente sobre eventos inusuales, como un dispositivo que es accedido por un administrador en un día festivo o fuera del horario laboral, intentos fallidos de inicio de sesión y la modificación de derechos de acceso, para que el personal de TI pueda tomar medidas y prevenir un compromiso de seguridad.

Tener un monitoreo y alertas de network device monitoring también es esencial para las auditorías de cumplimiento, de modo que pueda proporcionar evidencia de que mantiene una vigilancia estricta sobre los usuarios privilegiados y sus actividades en sus dispositivos (por ejemplo, quién inicia sesión y con qué frecuencia).

Problema # 3: Inicios de sesión VPN

Muchas organizaciones implementan acceso a redes privadas virtuales (VPN) para mejorar la seguridad de las conexiones remotas, pero hay muchos riesgos asociados que no deben pasarse por alto. La práctica demuestra que las VPN no son 100% seguras y cualquier conexión VPN es un riesgo. Idealmente, los derechos para acceder a recursos de la red a través de VPN se otorgan solo después de las aprobaciones adecuadas y los usuarios pueden acceder solo a aquellos activos que necesitan para realizar su trabajo. En realidad, las conexiones VPN generalmente pueden ser utilizadas por cualquier persona en la organización sin ninguna aprobación.

Por lo tanto, necesitas poder identificar amenazas, como un usuario que se conecta a través de Wi-Fi público (ya que alguien podría robar sus credenciales) y un usuario que normalmente no trabaja con VPN y de repente comienza a usarlo (lo que puede ser una señal de que un usuario ha perdido su dispositivo y alguien más está intentando iniciar sesión con él). Monitorear cuidadosamente tus dispositivos de red y llevar un registro detallado de cada intento de conexión VPN te ayudará a comprender rápidamente quién intentó acceder a tus dispositivos de red, la dirección IP desde la que se hizo cada intento de autenticación y la causa de cada fallo en el inicio de sesión VPN.

Problema #4: Escaneo de amenazas

El escaneo de red no es inherentemente un proceso hostil, pero los hackers a menudo lo utilizan para aprender sobre la estructura y el comportamiento de una red para ejecutar ataques en la red. Si no monitoreas tus dispositivos de red en busca de amenazas de escaneo, podrías pasar por alto actividades inapropiadas hasta que ocurra una data breach y tus datos sensibles se vean comprometidos.

El monitoreo y las alertas de dispositivos de red le ayudarán a defender proactivamente su red contra amenazas de escaneo respondiendo preguntas como qué host y subred fueron escaneados, desde qué dirección IP se inició el escaneo y cuántos intentos de escaneo se realizaron.

Estudio de caso: Fallos de seguridad en dispositivos de red D-Link dejan a los usuarios expuestos a ataques

La experiencia demuestra que muchos incidentes de seguridad comienzan con ataques a dispositivos de red. Por lo tanto, cualquier vulnerabilidad en estos dispositivos representa un riesgo importante para los sistemas y datos de una organización. Un ejemplo es un importante fallo de seguridad en dispositivos D-Link que fue descubierto en 2016 por investigadores de la empresa emergente de seguridad Senrio. Informaron que un problema de desbordamiento de pila en una cámara con Wi-Fi, D-Link DCS-930L, les permitió cambiar silenciosamente la contraseña del administrador para la interfaz de gestión basada en la web. Esta vulnerabilidad podría haber sido utilizada por atacantes para sobrescribir contraseñas de administrador e instalar malware en los dispositivos. En respuesta al informe, D-Link prometió lanzar una actualización de firmware para DCS-930L para corregir la vulnerabilidad y comenzó a probar el impacto del fallo en sus otros modelos.

Esta no fue la última vez que D-Link no logró descubrir por sí mismos vulnerabilidades graves en sus dispositivos. En 2018, un investigador de la Universidad Tecnológica de Silesia en Polonia informó que ocho modelos de routers D-Link de la gama para pequeñas oficinas/hogares “DWR” son vulnerables a una toma de control completa. Esta vez, D-link dijo que van a parchear solo dos de los ocho dispositivos afectados; los demás ya no contarán con soporte.

Comenzando con la auditoría de dispositivos de red

Tres pasos básicos le ayudarán a comenzar con el monitoreo adecuado de la infraestructura de red. Estas son recomendaciones generales que deben adaptarse a las necesidades de su organización; necesita conocer bien su entorno de TI y los procesos comerciales para auditar sus dispositivos de red de la manera más efectiva.

• Evalúe regularmente los riesgos y realice pruebas de penetración.

Necesitas comprender tu superficie de ataque y detectar vulnerabilidades que podrían ponerte en riesgo. Las evaluaciones regulares de riesgo ayudarán mucho aquí, pero, idealmente, también deberías realizar pruebas de penetración regulares para identificar fallos en tus dispositivos de red antes de que los hackers puedan descubrirlos y explotarlos.

• Determine qué dispositivos necesita auditar.

No hay una lista definitiva de dispositivos de red que necesite auditar; dependerá de los detalles específicos de su negocio, su industria, y el tamaño y arquitectura de su red. Definitivamente recomiendo que monitoree los dispositivos responsables de los activos más críticos en su organización, así como todos los dispositivos conectados a internet.

• Determine la frecuencia de la auditoría.

Una de las preguntas comunes es con qué frecuencia necesita auditar sus dispositivos de red. Ningún estándar de cumplimiento define un marco de tiempo específico para la auditoría de dispositivos de red, y la práctica muestra que depende de la naturaleza de su negocio y la complejidad de su infraestructura de red. Una pauta común es realizar controles mensuales del estado general de sus dispositivos de red y asegurarse de recibir alertas inmediatas sobre actividades sospechosas que podrían representar una amenaza para su entorno de red, como un cambio en la configuración de un dispositivo.