Si echamos un vistazo a las peores fallas de seguridad, queda claro que los administradores de redes tropiezan con los mismos errores una y otra vez; muchos de esos errores son fáciles de evitar.
Los expertos de Dimension Data analizaron 90 fallas de seguridad que representaban 285 millones de registros confidenciales. La mayoría de estos incidentes están relacionados con el crimen organizado al encontrar la puerta abierta a una red y utilizándola para robar datos de tarjetas de crédito, números de seguridad social o cualquier otro tipo de información de identificación personal.
Lo impactante es que con frecuencia estas fallas son el resultado de descuidos en los procedimientos básicos de seguridad por parte de los administradores de redes, especialmente en los servidores que no son considerados como críticos.
Recientemente, Dimension Data evaluó las redes de 152 clientes y encontró que el 73% de las aplicaciones tienen vulnerabilidades que ya han sido identificadas por Cisco.
“No estamos haciendo lo básico”, comentó Carlos Mondragón, Director General de Dimension Data México, quien ha venido auditando estas fallas durante 18 años. Mondragón nos ayuda a enlistar los pasos que le permitirán al administrador evitar la mayoría de las fallas de seguridad. No seguir los consejos en la lista sería, simplemente, absurdo.
Uno de los errores más comunes es no cambiar los passwords que vienen de origen en las aplicaciones
Carlos menciona que es “increíble” la frecuencia con la que las empresas tienen un servidor, switch, enrutador o aplicación de red con el password de origen, por lo general es “password” o “admin”,. La mayoría de los CIOs piensan que este problema nunca les pasará a ellos, pero Carlos lo ve todos los días.
Para evitar este problema, se puede correr un scanner de vulnerabilidad para cualquier aplicación en la red con acceso a una dirección IP, no sólo las que se consideran críticas o las que cuentan con un portal, advierte Mondragón. Después cambiar las contraseñas originales que se encuentren en cualquier cosa. Más de la mitad de todas los registros que son confidenciales y se vieron comprometidos el año pasado fueron resultado de usar el password original en una aplicación de red, de acuerdo con el estudio de Dimension Data.
Tan sencillo como no localizar errores de codificación SQL
El ataque de hackers más común, representado por el 79% de todas los registros, es sobre una base de datos SQL conectada a un servidor Web. La forma en la que los hackers entran en estos sistemas es ingresando un comando SQL en una plataforma con base Web. Si la plataforma es codificada de manera adecuada, no deberá aceptar comandos SQL. Pero algunas veces los programadores crean accidentalmente lo que se llama errores de inserción SQL.
Carlos dice que la forma más fácil de prevenir estos errores es correr una aplicación de firewall en modo de “aprendizaje”, de tal manera que pueda observar cómo los usuarios ingresan a la base de datos y después poner la aplicación firewall en modo “operando” para que los comandos SQL no puedan ser introducidos en los campos. “El problema con la codificación SQL es que es muy amplia. Si una compañía prueba 100 servidores, probablemente encuentren un problema de inserción en 90 de ellos”, aseguró Mondragón.
A menudo, las empresas arreglan este error sólo en los servidores críticos, olvidando que la mayoría de los hackers entran en sus redes a través de los sistemas no críticos. Dimension Data sugiere que los administradores de redes las dividan utilizando listas de control de accesos para restringir a los servidores de operar aplicaciones no esenciales.
Compartir un solo password entre varias aplicaciones
Los departamentos de TI a menudo usan el mismo password en múltiples servidores, y hay mucha gente que lo conoce. Tal vez sea un buen password, una combinación complicada de números y letras, pero una vez que se ha compartido entre varios sistemas, todos los sistemas están en riesgo.
Por ejemplo, una de las personas que conoce el password cambia de empresa y lo reusa en la nueva empresa. O un consultor con acceso a un sistema no crítico, como el control de enfriamiento de un centro de datos, puede utilizar el mismo password en todos los sistemas que opera para todos sus clientes. En cualquier caso, si el password es descubierto por un hacker, podrá accesar a muchos servidores y ocasionar un gran daño.
Mondragón afirma que los departamentos de TI necesitan procesos, automáticos o manuales, para asegurarse que los passwords de los servidores no estén siendo compartidos en múltiples sistemas, que sean modificados regularmente y sean resguardados con seguridad. Dice que es tan simple como guardar las contraseñas del servidor actual escritas en cartas y guardarlas en una caja fuerte controlada por una sola persona.
No poner a prueba las aplicaciones no críticas con respecto a las vulnerabilidades básicas
Cerca del 80% de todos los ataques de hackers son resultado de agujeros en la seguridad de las aplicaciones Web, de acuerdo con el reporte de Dimension Data. Los administradores de redes saben que su mayor vulnerabilidad radica en las aplicaciones Web, así que enfocan todo su esfuerzo en monitorear lo más delicado así como los portales.
El problema es que la mayoría de estos ataques se apalancan con los errores de seguridad en los sistemas considerados de bajo riesgo en la red. “El asunto es que estamos monitoreando las aplicaciones de los sistemas críticos como locos y no estamos probando las aplicaciones que no son Web”, explicó Mondragón. Él recomienda que los administradores de redes pongan a prueba todas las aplicaciones para descartar vulnerabilidades básicas.
“La gente ha sido enseñada a priorizar lo crítico, pero los chicos malos no saben qué es crítico y qué no. Ellos van en el orden de lo más fácil”, reveló Mondragón. “Una vez que logran introducirse en tu red, ellos pueden ponerte a la venta, tomando su tiempo y analizando tu tránsito”.
A veces es tan común como no configurar correctamente la lista de control de accesos
Segmentar la red utilizando una lista de control de acceso es la manera más simple de asegurar que los sistemas se comuniquen únicamente con los sistemas que deben hacerlo. Por ejemplo, si permites que los socios accedan a dos servidores en tu red a través de tu VPN (Virtual Partner Network), podrías utilizar las listas de control de acceso para asegurarte que tus socios de negocio sólo tengan acceso a esos dos servidores. Después, si un hacker viene a tu red a través de los accesos para socios, el hacker sólo podrá ingresar a estos dos servidores.
“Por lo general cuando un chico malo entra a la red a través de VPN (Virtual Partner Network) tiene acceso a todo”, comentó el experto. De cualquier forma, configurando el control de acceso apropiado, podría proteger hasta el 66% de los respaldos del último año, de acuerdo al reporte de Dimension Data. La razón por la que los CIOs se brincan este simple paso es que incluye utilizar el enrutado como firewalls, y muchos administradores de redes no lo harán.
Permitir accesos remotos o software de administración no seguros
Una de las formas más comunes en que los hackers ingresan a las redes es utilizando un acceso remoto y software de administración como PCAnywhere, Virtual Network Computing (VNC) o Secure Shell (SSH). Estos a menudo interrumpen las medidas básicas de seguridad, como un buen password.
La forma más simple de localizar este problema es correr un scanner externo en toda la dirección IP para localizar tránsito de PCAnywhere, VNC o SSH. Una vez localizadas estas aplicaciones, se deben tomar medidas extra de seguridad como dispositivos electrónicos o certificados adicionales a los passwords. Otra opción es escanear los datos de Netflow de los enrutadores externos y ver si se tiene algún acceso remoto de administrador navegando en la red. Este problema es lo suficientemente común como para significar el 27% de las fallas en el reporte de Dimension Data.
Debes cuidar y proteger adecuadamente tus servidores de software malicioso
El software malicioso en los servidores llega a significar el 38% de las fallas de seguridad, dice Dimension Data. La mayoría del software malicioso es instalado por un agresor a distancia y es utilizado para capturar datos. Típicamente, el software malicioso viene disfrazado, de tal forma que no puede ser detectado por un software antivirus. Una alternativa para los administradores de redes de detectar el software malicioso como un keylogger o spyware en sus servidores, es correr un software de detección de intrusos en cada servidor, no sólo en los críticos.
Mondragón sugiere un camino simple para prevenir muchos de esos ataques: bloquear los servidores para que ninguna aplicación nueva pueda correr en ellos. “Los administradores de redes detestan hacerlo porque tal vez quieran agregar software nuevo más tarde”, agregó Carlos “Yo les diría, sólo hay que desbloquear lo bloqueado, instalar el nuevo software, y luego bloquearlo de nuevo”.
Tener cuidado de configurar adecuadamente tus ruteadores para prohibir el tránsito exterior no deseado
Una de las formas más populares de engañar con un software malicioso es colocando una puerta trasera o comando paralelo en un servidor. La manera en la que se pueden prevenir de que un hacker tome ventaja de esto, es utilizando listas de control de acceso. De esta manera se puede prevenir que a los servidores llegue tráfico que no debería transitar. Por ejemplo, un servidor de correo debería sólo mandar tráfico de correo. Otra opción es utilizar los enrutadores para denegar desde un principio que salga información, lo que bloquea todo el tráfico externo excepto lo que tú quieres dejar en la red.
“Sólo el 2% de las compañías hacen esto. Me frustra que el otro 98% no lo haga, es algo muy sencillo”, explica Carlos Mondragón.
Desconocer la ubicación donde están almacenadas las bases de datos de tarjetas de crédito o cualquier otra información crítica de los clientes es otra falla común
Muchas compañías creen saber dónde están los datos críticos como la información de tarjetas de crédito, números de Seguro Social o cualquier otra información de identificación personal, y ellos refuerzan a estos servidores con el máximo nivel de seguridad. Pero a menudo, estos datos son almacenados en algún otro lado en la red, como un site de backup o en el departamento de desarrollo.
Es justamente este servidor secundario, no crítico, el que es atacado y da paso a la mayoría de las fallas de datos. Lo más fácil para encontrar dónde es almacenada la información crítica, es hacer un reconocimiento por la red. “Tradicionalmente se le pone un rastreador a la red y vemos dónde se supone que está y después podemos ver a dónde va”, afirmó Mondragón.
Finalmente, otra de las fallas más comunes es no dar seguimiento a los estándares de la Industria de datos de tarjetas de pago
Dimension Data asegura que la mayoría de la gente no intenta siquiera conocer los estándares de Interconexión de Componentes Periféricos (PCI por sus siglas en inglés). Algunas veces, una compañía sigue estos controles por los servidores donde sabe que se almacenan estos datos, pero no en los otros servidores desconocidos donde guardan la información crítica.
Aún cuando el 98% de los respaldos involucran pagos con tarjetas, sólo el 19% de las organizaciones con fallas de seguridad siguieron los estándares de PCI, de acuerdo con el reporte de Dimension Data. “Es obvio, seguir los lineamientos de PCI; trabajan fácilmente”, finalizó Carlos Mondragón de Dimension Data México.
