Varios tipos de malware tienen la capacidad de moverse lateralmente dentro de la infraestructura de la empresa, infectando máquinas conectadas dentro de la empresa. Me preguntaba cómo es posible que una computadora infectada (BYOD) que se conecta a una organización a través de VPN pueda infectar otras computadoras.
Una VPN real conecta un dispositivo a nivel de red a la red de la empresa. Los datos confidenciales se procesarán en el sistema local, similar a un escritorio dentro de la empresa. A menos que haya protecciones adicionales en su lugar, este tipo de configuración hace que el movimiento lateral para un atacante sea tan fácil como el movimiento lateral dentro de las redes de otras compañías. Y dado que los dispositivos BYOD usualmente pasan mucho tiempo fuera de la red de la empresa (tipo) bien protegida, esto esencialmente significa que este tipo de configuración debe ser una buena idea desde el punto de vista de un atacante y, por lo tanto, debe verse como una muy mala. Idea desde el punto de vista de la empresa.
Se pueden realizar varias mejoras para aumentar la seguridad y disminuir el riesgo. Una forma sería agregar un firewall restrictivo y un sistema de detección / prevención de intrusiones entre la VPN y la red de la otra empresa con la esperanza de que el firewall evite algún tipo de movimiento y el IDS / IPS, el resto. El registro detallado de la actividad de la red permitiría al menos detectar la causa de los ataques más adelante, si alguien tiene el tiempo y el conocimiento para investigar todos esos registros. Sin embargo, la conexión de un dispositivo en el que no se debe confiar, incluso de manera limitada a una red sensible, no parece realmente una buena idea, es decir, el riesgo aún debe considerarse alto.
Una mejor opción en la mayoría de los casos es probablemente no usar una VPN "real" en absoluto. En su lugar, use algún software de escritorio remoto, donde toda la actividad se está ejecutando en algún sistema dentro de la empresa y el sistema local es esencialmente un simple monitor que muestra lo que sucede a distancia y el teclado y el mouse proporcionan una interacción limitada. De esta manera, todos los datos se procesan en un tipo de sistemas bien protegidos en la empresa y los datos confidenciales no salen de la red de la empresa. El malware similar en el dispositivo BYOD no puede simplemente moverse a la red de la empresa ya que la única ruta a esta red es la actividad del teclado y el mouse. Todavía existe un riesgo considerable con este tipo de configuración, ya que un atacante podría obtener acceso a las credenciales del escritorio remoto y, por lo tanto, conectarse a la red de la empresa. Pero es menos riesgoso que una conexión VPN directa y el uso de la autenticación de dos factores puede reducir el riesgo aún más (pero no eliminarlo por completo).
Otra forma sería no conectar un dispositivo arbitrario a través de VPN a la red de la empresa, sino solo a los dispositivos de confianza y administrados por la empresa, es decir, no a BYOD. Por supuesto, es necesario garantizar que estos dispositivos no sean modificados por un atacante. Pero hay formas de proteger la integridad de estos dispositivos incluso si no están dentro de la empresa, por ejemplo, combinando el arranque seguro, el disco cifrado y la autenticación basada en hardware (tarjetas inteligentes personalizadas o similares).