Cuatro Ivanti CVE... vaya, qué lugar tan difícil para estar. Pero estos son sólo los últimos ataques de día cero a la infraestructura crítica que subrayan los fallos de seguridad inherentes a las VPN. El jueves pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una directiva de emergencia sin precedentes que obliga a todas las agencias federales a desconectar los electrodomésticos Ivanti en 48 horas. Entonces, ¿cuántos CVE VPN críticos más se necesitarán para que los equipos de TI y de seguridad descarten las VPN riesgosas y de puerto abierto en favor de una infraestructura de encubrimiento con acceso universal a la red Zero Trust (ZTNA) universal y comprobado?.
Inicialmente, las fallas de Ivanti Connect Secure y Policy Secure surgieron a mediados de enero. Estaban siendo explotados activamente por piratas informáticos respaldados por China. Las fallas fueron un error de inyección de comandos (CVE-2024-21887) y una falla de omisión de autenticación (CVE-2023-46805). Ivanti informó la semana pasada de dos vulnerabilidades más (CVE-2024-21888 y CVE-2024-21893).
Estas CVE (vulnerabilidades y exposiciones comunes) de Ivanti sirven como un claro recordatorio de las debilidades de las VPN y los peligros de la infraestructura expuesta. A pesar de la urgencia de solucionar los problemas (no sólo para las agencias gubernamentales, sino para todos los clientes de Ivanti), los desafíos de Ivanti se han visto agravados por retrasos en un cronograma de lanzamiento de parches escalonado que actualmente se proyecta finalizar la semana del 19 de febrero.
Oculte su infraestructura con acceso universal a la red
Zero Trust
Seamos realistas, esos mismos dispositivos destinados a mantenerte seguro pueden cambiar y convertirse en la fuente del ataque... ¿qué sucede cuando los dispositivos de ciberseguridad son el vector de ataque? Ciberseguridad 101: asegúrese de que sus dispositivos de protección no sean el camino para la explotación.
Durante mi carrera, que incluyó seis años como CISO del FBI, me di cuenta de que debemos encontrar un camino diferente. La respuesta no es esperar a que se descubra un exploit para que un proveedor pueda publicar un parche. La respuesta es que las agencias federales y las empresas privadas oculten su infraestructura con acceso universal a la red Zero Trust (ZTNA) para que los piratas informáticos no puedan ver la infraestructura... si no pueden encontrarla, no pueden atacarla.
Ycpartamento de Defensa, otras agencias federales y empresas globales, hace precisamente eso con tecnología patentada de autorización de paquete único (SPA) . Esto significa que incluso si sus usuarios autorizados están comprometidos, los actores de amenazas no pueden buscar sistemas adicionales para moverse lateralmente, porque esos sistemas están ocultos y la infraestructura en sí es invisible. Este documento técnico es una introducción a SPA e incluye una lista completa de lo que hace que la implementación de SPA en Appgate SDP sea única.
¿Qué sigue?
Las vulnerabilidades de Ivanti son un toque de atención que resalta una tendencia que hemos estado siguiendo aquí en Appgate...las tácticas avanzadas de amenazas persistentes utilizadas por los adversarios han pasado de apuntar a puntos finales a apuntar a infraestructura expuesta. Necesitamos un sentido de urgencia cuando se trata de proteger nuestra empresa porque la mayoría de las organizaciones nunca serán tan rápidas como el adversario, especialmente los esfuerzos patrocinados por el estado que emplean vastos recursos.
No podemos pretender que las soluciones heredadas, como las VPN con acceso a Internet , sean seguras y que las estrategias de castillos y fosos sigan funcionando. Simplemente no es suficiente. Los CISO y sus equipos deben dar el siguiente paso para cubrir la infraestructura empresarial con la única solución ZTNA universal con SPA integrado... y esa es Appgate SDP.
Fuente: www.appgate.com
No hay comentarios.:
Publicar un comentario