Estrategias para proteger los archivos de agencias gubernamentales del ransomware
A raíz de los ataques de ransomware, las agencias gubernamentales están bajo una amenaza constante. Los mecanismos heredados de acceso remoto, como VPN, ya no son suficientes para proteger los archivos contra el cifrado, el robo, las filtraciones de datos y el ransomware.
La migración de archivos a servicios en la nube como alternativa es un esfuerzo complicado y desafiante que puede no ser una opción viable para los gobiernos con requisitos normativos estrictos y restricciones presupuestarias. Las tecnologías VPN y Escritorio remoto ya no son suficientes para proteger adecuadamente los recursos compartidos de archivos gubernamentales si no se administran adecuadamente.
En este artículo, revisamos las diversas alternativas para conectarse de forma segura a recursos compartidos de archivos de forma remota mientras los protegemos del ransomware.
Contenido
VPN para acceso remoto a archivos
Con más y más empleados trabajando de forma remota, la seguridad VPN es una gran preocupación. Las agencias gubernamentales han utilizado tradicionalmente la tecnología de red privada virtual (VPN) para habilitar esta conectividad remota, pero las preocupaciones de seguridad requieren que las empresas aprovechen nuevas formas de habilitar el acceso remoto seguro a archivos compartidos mediante la revisión de Alternativas de VPN. Las noticias están llenas de historias diarias de empresas sujetas a riesgos de seguridad cada vez mayores. por ejemplo, el Krebsonseguridad El blog enumera numerosos informes de ransomware que cierran gobiernos e instituciones.
El problema de utilizar el software VPN para conectarse a los recursos del trabajo es que los usuarios finales están creando un túnel abierto entre sus redes domésticas y corporativas. Este método permite el acceso remoto completo a toda la red de trabajo desde fuera de la oficina, pasando por alto la mayoría de las reglas de firewall (técnicamente, la conexión VPN se inicia desde dentro de la LAN de trabajo). En la mayoría de los casos, el trabajador remoto puede acceder a toda la red interna del gobierno, lo que expone todos los servidores y escritorios en lugar de solo los recursos necesarios. Esto proporciona acceso lateral de malware a numerosos puertos de red en toda la red.
los Notas de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. "Los actores de amenazas usan SMB para propagar malware entre organizaciones... Bloquee todas las versiones de SMB para que no sean accesibles externamente a su red bloqueando el puerto TCP 445 con protocolos relacionados en los puertos 137-138 del Protocolo de datagramas de usuario y el puerto TCP 139".
En este escenario, cualquier vulnerabilidad de seguridad o malware presente en la red y la computadora del trabajador remoto puede infectar la red de trabajo mientras dure la conexión VPN. Esto incluye ransomware. Por ejemplo, si la PC remota está infectada con malware o un virus, puede propagarse a través de la VPN a la red corporativa y eludir las protecciones de firewall del trabajo. Además, si la PC remota se ve comprometida, podría usarse como un conducto directamente a la LAN de la oficina donde los piratas informáticos pueden explotar las vulnerabilidades de seguridad para obtener acceso no autorizado a los sistemas.
La implementación de un acceso remoto VPN seguro a los archivos en el entorno de alto riesgo actual es una alternativa compleja y costosa de mantenimiento y soporte.
Idealmente, el acceso VPN debería eliminarse en favor de tecnologías de confianza cero que brinden solo el acceso que los usuarios necesitan, y nada más.
Migrar organizaciones a soluciones basadas en la nube como una forma de asegurar archivos para acceso remoto, como SharePoint, es una tarea complicada y desafiante. Migrar recursos compartidos de archivos a servicios en la nube implica meses de planificación para clasificar e identificar datos para moverlos desde un grupo de recursos compartidos de archivos que puede remontarse a años, si no décadas. Por ejemplo; Para migrar archivos a SharePoint, los archivos deben convertirse para eliminar los caracteres no permitidos en SharePoint (~ ” # % & * : < > ? / \ { | }.) y asignarse a las bibliotecas de SharePoint para mantenerse dentro de los límites de almacenamiento de SharePoint mediante herramientas especializadas que debe adquirirse con un costo adicional. Como ejemplo, identificamos Los 5 principales costos de migración de SharePoint para que las empresas las consideren.
Internet está plagado de historias de migraciones de SharePoint y Cloud que salieron mal cuando no se ejecuta con una planificación cuidadosa y la debida diligencia. La migración es más complicada cuando se migran organizaciones con datos altamente confidenciales, como agencias gubernamentales, con una gran cantidad de regulaciones gubernamentales y de cumplimiento. Los gobiernos deberán presupuestar estos costos ocultos de desarrollo, abastecimiento e implementación al comparar SharePoint con otros uso compartido de archivos empresariales soluciones
Para los gobiernos preocupados por la migración de la soberanía de datos a un proveedor de almacenamiento en la nube con formatos de archivo patentados y bloqueo de proveedor, puede tener más sentido migrarlos a AWS o Recursos compartidos de archivos de Azure donde los permisos NTFS y los nombres de los archivos se pueden conservar y donde los límites de almacenamiento y el bloqueo del proveedor no son un problema. Sin embargo, la simple migración de archivos compartidos a la nube no los protegerá contra el ransomware o el robo y la pérdida de datos.
Si bien los proveedores brindan herramientas para migrar archivos a su plataforma de almacenamiento en la nube, una vez migrados, todos los metadatos se pierden, lo que hace que sea complejo o impracticable exportar archivos nuevamente a recursos compartidos de archivos u otros sistemas. Las organizaciones querrán pensar detenidamente sobre las implicaciones de mover archivos a plataformas propietarias basadas en la nube, ya que pueden encontrar que, si por alguna razón, desean migrar a otro servicio, los costos futuros de cualquier intercambio de archivos de migración superarán con creces cualquier costo a corto plazo. ahorros.
Escritorio remoto/RDS
RDP es una alternativa adicional que utilizan las agencias gubernamentales para proporcionar acceso remoto a sistemas y recursos compartidos de archivos. Según el último informe de Coveware, casi 50% de ataques de ransomware fueron el resultado de problemas de seguridad relacionados con violaciones de la infraestructura de Servicios de escritorio remoto (RDS). El informe encontró que en el “primer trimestre de 2021, las conexiones de protocolo de escritorio remoto comprometidas recuperaron la primera posición como el vector de ataque más común. “
RDP sigue siendo una vulnerabilidad frustrantemente común a pesar de los esfuerzos para protegerla con las mejores prácticas de seguridad, que incluyen:
Parches de vulnerabilidades RDP
Mientras que RDP opera en un canal encriptado en los servidores, existe una vulnerabilidad en el método de cifrado en versiones anteriores de RDP, lo que lo convierte en la puerta de enlace preferida por los piratas informáticos. Microsoft estima que casi 1 millón de dispositivos son actualmente vulnerables a los riesgos de seguridad de escritorio remoto. La empresa emitió un parche heredado para sus plataformas obsoletas, incluidas Windows XP, Windows Server 2008, Windows 2003 y Windows 2007. (Para estas plataformas heredadas, RDP se conoce como servicios de terminal).
La aplicación de parches es una forma importante de mejorar la seguridad de RDP, sin embargo, debe realizarse de manera constante y oportuna para evitar las vulnerabilidades de ransomware de día cero.
Bloqueo de acceso al puerto 3389
El protocolo de mejores prácticas para evitar la exposición a problemas de seguridad RDP comienza con la creación de una política para manejar los puntos finales y asegurarse de que el puerto no sea accesible a Internet. Un enfoque proactivo puede ayudarlo a concentrarse en evitar el acceso inicial al minimizar los riesgos de seguridad de RDP.
Limitar usuarios de RDP
Puede limitar quién puede iniciar sesión a través de RDP y quién puede agregar o eliminar una cuenta de usuario del grupo Usuarios de escritorio remoto.
Use una red privada virtual antes de iniciar sesión en RDP
Cuando usas un Red privada virtual (VPN) conexión, agrega una capa adicional de seguridad RDP a su sistema. La VPN garantiza que antes de que se pueda realizar una conexión RDP a sus servidores, se debe realizar una conexión a la red privada segura, que está encriptada y alojada fuera de sus sistemas internos. Si bien las VPN ofrecen algunas mejoras sobre el acceso directo a RDS, no protegen los archivos compartidos una vez que los usuarios pueden ingresar a las redes internas en caso de que un usuario abra un correo electrónico de phishing y ejecute malware.
Usar una puerta de enlace de escritorio remoto
Una puerta de enlace RDP/RDS (junto con una VPN) mejora el control al eliminar todo acceso de usuario remoto a su sistema y reemplazarlo con una conexión de escritorio remoto punto a punto. El inicio de sesión de los usuarios en una puerta de enlace primero antes de conectarse a cualquier servicio de back-end. Esta puerta de enlace se puede mejorar aún más para requerir autenticación de dos factores para limitar aún más la exposición y mitigar los riesgos.
Limitar la exposición con estos métodos puede proporcionar protecciones adicionales contra ataques de ransomware de archivos compartidos de forma remota, pero no aborda las protecciones de acceso a archivos compartidos una vez que el usuario está dentro de la red. Los gobiernos querrán implementar bloqueos adicionales dentro de la red para limitar el acceso SMB al puerto TCP 445 y el acceso lateral a la red para evitar que los ataques de ransomware infecten los recursos compartidos de archivos y los sistemas internamente.
De acuerdo a Gartner, para 2023, 60% de Enterprises eliminará la mayoría de sus soluciones VPN de acceso remoto a favor de Zero Trust Network Access (ZTNA). Las VPN no pueden garantizar la seguridad, ya que los puertos de red abiertos pueden verse comprometidos y explotados. Con VPN, los piratas informáticos pueden obtener acceso a redes corporativas internas donde muchas empresas son vulnerables al cifrado de ransomware y otros ataques catastróficos que terminan con el negocio. Lo que poco a poco se estaba convirtiendo en una realidad para adaptarse al nuevo panorama Zero Trust se ha incrementado drásticamente desde que golpeó la pandemia, con trabajadores remotos creando una pesadilla logística para los departamentos de TI de todo el mundo. La seguridad de la red y el acceso remoto a archivos compartidos es una parte esencial del gobierno, así como la integridad y el gobierno de los datos.
A medida que ZTNA se convierte en el estándar de oro en seguridad de red, ¿qué se necesita para proporcionar ese nivel de seguridad y crear un santuario de archivos compartidos protegido de amenazas sin romper el banco y perder un tiempo precioso con migraciones de datos a alguna otra plataforma basada en la nube?
Un ejemplo de Zero Trust para el acceso remoto seguro a archivos compartidos es MyWorkDrive. MyWorkDrive proporciona acceso remoto Zero Trust Secure a archivos y recursos compartidos de archivos sin tener que usar VPN, migrar archivos a servicios en la nube o mantener una infraestructura de escritorio remoto compleja.
Los empleados gubernamentales pueden acceder a archivos y compartir archivos de forma remota desde cualquier lugar y en cualquier momento.
A diferencia de Sync & Share, MyWorkDrive se integra de forma exclusiva y nativa en una infraestructura existente de Windows File Share sin migrar archivos ni depender de un proveedor.
MyWorkDrive brinda acceso a través de https sin acceso remoto a los puertos o servidores de la red interna. Los métodos de acceso incluyen:
Administrador de archivos web
Acceda a sus recursos compartidos de archivos de forma remota utilizando cualquier navegador web con un Administrador de archivos basado en web. MyWorkDrive Web File Manager es el más elegante y fácil de usar de la industria, está cargado con las funciones que los usuarios necesitan sin necesidad de instalar nada. Los usuarios pueden acceder, ver, editar y colaborar en archivos sin dispositivos para administrar y sin riesgo de exponer las redes internas o los archivos compartidos al ransomware mediante una sesión segura del navegador web.
Unidad de red asignada
Conéctese a sus archivos de forma remota usando MyWorkDrive Cliente de unidad asignada que permite a los usuarios asignar de forma segura una unidad a sus archivos de trabajo desde cualquier lugar sin sincronización o VPN. Opcionalmente, habilite la autenticación de dos factores y SAML/SSO para mayor seguridad y cumplimiento.
MyWorkDrive también le permite enviar letras de unidad para cada recurso compartido, lo que coincide con su experiencia de usuario interna. Los usuarios simplemente inician sesión en la URL del sitio web de MyWorkDrive con sus credenciales existentes de Active Directory o inicio de sesión SSO. Todas las unidades asignadas a la red se muestran automáticamente. Con MyWorkDrive, el personal gubernamental puede trabajar de forma segura desde casa con una experiencia de unidad de red mapeada sin el soporte o las preocupaciones de seguridad de VPN o Escritorio remoto.
Mapped Drive Client agrega seguridad adicional y controles de protección a nivel de aplicación que no están disponibles con las unidades de red mapeadas tradicionales a través de VPN.
- Letras de unidad enviadas desde el servidor que reflejan las letras de unidad asignadas utilizadas en la oficina.
- Bloqueo de tipo de archivo
- Autenticación de dos factores
- SAML/Inicio de sesión único.
- Vista de prevención de fuga de datos de archivos con restricciones de descarga/copia/impresión.
- Permisos granulares.
- Permisos NTFS de Active Directory protegidos de forma predeterminada.
- Interfaz de carga masiva de archivos.
- Abra Documentos de Office en línea sin las aplicaciones locales de Office instaladas.
- Se conecta a través del puerto https 443 en lugar del puerto SMB 445, que normalmente está bloqueado por los ISP.
- Unidades de red asignadas protegidas por DLP
Vea y edite archivos en línea directamente desde el cliente de unidad asignada.
Esta función elimina los requisitos de capacitación para los usuarios finales y la necesidad de iniciar sesión desde el cliente web mediante el uso de una vista nativa de archivos y carpetas en el Explorador de Windows, al tiempo que agrega funciones de seguridad DLP para proteger los datos confidenciales.
Con MyWorkDrive, evite fácilmente las descargas de archivos y carpetas sin dejar de mostrar archivos y carpetas en una interfaz de cliente de unidad mapeada tradicional. Vea o edite archivos en línea mientras bloquea la descarga, el portapapeles, la impresión, la carga o el cambio de nombre de los archivos. Las marcas de agua y los detalles del usuario se muestran y registran en todos los archivos vistos. La seguridad y el cumplimiento de los datos es de suma importancia para los sectores público y privado. Cumple con los nuevos requisitos de CMMC, así como con NIST, FedRamp, HIIPA, Fina y GDPR.