O COVID-19 alterou o paradigma da cibersegurança nas organizações, em especial no vector acesso remoto, assegurado normalmente por redes virtuais privadas (VPN), uma tecnologia que ao longo dos anos se tornou estável e, por isso, muitas vezes menosprezada, não sendo devidamente avaliado o seu impacto na segurança da organização.
Com o aumento exponencial dos acessos remotos devido ao teletrabalho que a pandemia COVID-19 provocou, a nível global e local, nomeadamente em Angola, torna-se imprescindível que as organizações tenham atenção adicional às infraestruturas de acesso remoto e à utilização das soluções de VPN.
Quem são os utilizadores que acedem à infraestrutura de acesso remoto?
É necessário garantir que os utilizadores que acedem à infraestrutura são realmente quem dizem ser. A utilização de passwords estáticas e baseadas em dicionário, torna os acessos muito vulneráveis através de ataques de força bruta. Deste modo, torna-se necessário nos dias de hoje, implementar soluções de autenticação mais avançadas, que regulem todo o ciclo de vida dos utilizadores, Identity and Access Management (IAM), bem como utilizar técnicas de passwords dinâmicas, como por exemplo One Time Password (OTP) ou Two Factors Authentication (2FA) que permitem aumentar o nível de confiabilidade dos utilizadores.
Para isto, existe um portfolio de soluções, tais como Entrust Datacard ou Gemalto Safenet para soluções de OTP/2FA e IBM Security Identity and Access Assurance, Azure Active Directory ou Oracle Identity Cloud Service entre outros para IAM.
Quais os seus perfis?
Partindo do princípio de que nem todos os utilizadores são iguais, alguns necessitam de mais recursos do que outros, em linha com a sua criticidade para a continuidade do negócio. Com base nesta premissa, é necessário que a tecnologia escolhida possa diferenciar os diversos perfis de acesso, permitindo uma utilização eficaz dos recursos e garantindo a qualidade de serviço.
Trabalhando em conjunto com uma solução de IAM conforme mencionado no ponto anterior, a correcta identificação dos recursos associados a um utilizador, pode ser alocada a um equipamento de nova geração para terminação das ligações remotas, como por exemplo, Firewalls Check Point Quantum, Fortinet ou similares.
Que tipo de dispositivo está a ser utilizado para aceder e a quem pertence?
O facto de o acesso estar a ser feito de fora do ambiente controlado da empresa, levanta algumas questões de segurança devido aos diferentes tipos de dispositivos utilizados para aceder à rede corporativa através da VPN (portáteis, smartphones, tablets, etc).
Torna-se imperativo perceber a quem pertencem os dispositivos (corporativos ou pessoais), devido ao facto de os corporativos serem mais fáceis de proteger, comparativamente aos pessoais, por estarem abrangidos pelas políticas de segurança da instituição.
Com base no abordado acima, devem ser utilizadas soluções de acesso remoto de Nova Geração, fornecidos por diversos fabricantes tais como Check Point, Fortinet, F5, Cisco, etc, que permitam a criação de políticas de acesso, no sentido de adequar perfis e acessos, em conformidade com as restrições previamente estabelecidas, mitigando possíveis falhas de segurança.
Que tipo de aplicações e dados os utilizadores necessitam de aceder?
Numa perspectiva de desempenho, a utilização de aplicações cloud através de uma VPN always on para a empresa, não faz muito sentido. As tecnologias utilizadas têm que ser suficientemente poderosas para conseguir ser suficientemente inteligentes para encaminhar o tráfego pela cloud sem saturar os equipamentos on-premises.
Com base nesta necessidade, poderão ser utilizados Cloud Infrastructure Security Broker (CISB), que farão a gestão inteligente dos recursos on-permises e das diversas soluções de cloud, optimizando o acesso às mesmas.
Onde está o utilizador localizado?
Com a crescente globalização dos acessos, é necessário avaliar a origem geográfica dos acessos a uma empresa. Se os utilizadores que normalmente acedem à infraestrutura de acesso remoto são normalmente locais, o facto de um utilizador estar a aceder, por exemplo, da Coreia do Norte, é suposto levantar alertas, porque pode indicar um ataque cibernético.
Com base nisto, aquando da escolha das soluções de acesso remoto deverá verificar-se se o equipamento suporta informação IP geográfica e na implementação da política de acesso, deverá ser avaliado de que origem geográfica os acessos são permitidos.
O equipamento cumpre a política de segurança?
Nas redes corporativas a utilização de uma solução de controlo de acesso à rede (NAC), permite-nos fazer um assessment aos equipamentos que se ligam à rede:
- Têm o Antivirus Activo e Actualizado?
- O nível de patch está dentro da Baseline definida para a empresa?
- Têm protecção Malware activa?
- É um equipamento corporativo?
Ao fazer estas perguntas, será possível colocar este equipamento numa rede de quarentena para a posterior remediação ou negar o acesso por não cumprir a política.
Existem soluções complementares aos clientes de acesso remoto, tais como o Check Point Mobile Client, que permitem verificar se um equipamento está em compliance com uma política de acesso, recusando o acesso, caso não esteja.
Conclusão
Em suma, as implementações de acessos remotos levantam vários problemas que normalmente estariam controlados ou que não existiriam nos ambientes corporativos.
A correcta análise dos diversos factores a ponderar na escolha de uma solução e na definição da política de acesso, permitem implementar soluções seguras e evitar que o vector de acessos remotos seja um “buraco” na cibersegurança de uma empresa.
Sendo especialistas nesta área, com experiência na implementação das melhores soluções de cibersegurança no nosso mercado, a New Cognito coloca-se à sua disposição para eventuais esclarecimentos que possa necessitar.