This post is also available in: Português Español
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y la Agencia de Seguridad Nacional (NSA), se juntaron para lanzar documento de orientación para ayudar a empresas y fortalecer soluciones VPN (Red virtual privada).
Según las agencias, los servidores VPN son puntos de entrada en redes protegidas, por lo que son objetivos atrayentes para cibercriminales. Varios creadores de amenazas avanzadas han creado vulnerabilidades y exposiciones comunes (CVEs) para obtener acceso a dispositivos VPN vulnerables.
Además, añaden que estos agentes de amenazas suelen explotar las CVEs, sin parche, como puerta de entrada para todo tipo de campaña contra redes corporativas, desde robo de credenciales, a exfiltración de datos confidenciales.
El documento enlista instrucciones para ayudar a empresas a seleccionar una solución VPN que siga las mejores prácticas y garantice la integridad de su infraestructura.
Puerta de entrada para ataques mayores
El documento sugiere el uso de productos VPN testados y certificados, presentes en la Lista de Compatibilidad de Productos da National Information Assurance Partnership (NIAP). También, sugiere procurar soluciones que empleen métodos de autenticación multifactor.
Al mismo tempo, el servicio no debe presentar demora en aplicar parches y actualizaciones, y garantizar se que reduzca el área de superficie de ataques a servidores VPN, deshabilitando recursos no relacionados a la VPN.
En un correo electrónico dirigido al sitio web BleepingComputer, Rob Joyce, director de ciberseguridad de NSA dijo que explotar VPNs se puede convertir en una puerta de entrada para ataques a gran escala.
Al analizar el documento, BleepingComputer observa que las agencias sugieren que los proveedores de servicios VPN utilicen una criptografía fuerte y mecanismos de autenticación en sus servidores, ejecuten el número mínimo de recursos, mientras protegen y monitoreen el acceso de y para la VPN.
Fonte: BleepingComputer.
This post is also available in: Português Español