Saltar al contenido
computerg

🥇 Al Implementar Un Enfoque De Confianza Cero, Recuerde Monitorear Los Niveles De Actividad De VPN

mayo 26, 2021


A medida que más empresas adoptan el trabajo remoto, el enfoque de confianza cero se vuelve cada vez más común. Creado hace poco más de una década por el estratega de ciberseguridad John Kindervag, Zero Trust Framework requiere que los usuarios tengan solo el nivel mínimo de acceso necesario para completar su trabajo.

Esto incluye a todos los integrantes de una organización, incluso a los que se encuentran en el nivel superior de administración. A pesar de su lugar en la parte superior del organigrama, los líderes de la C-suite deben ser responsables ante la administración del acceso privilegiado. Después de todo, sus cuentas son los objetivos más deseables para los piratas informáticos, los internos maliciosos y otros actores maliciosos.

Sobre el Autor

Rajesh Ganesan es vicepresidente de ManageEngine

Utilice siempre el principio de privilegio mínimo y mejora justo a tiempo

Al incorporar el principio de privilegio mínimo (PoLP), las organizaciones pueden reducir su superficie de ataque, proteger los datos corporativos confidenciales y evitar que los usuarios causen daños maliciosos o involuntarios a las aplicaciones y los sistemas. Otro componente importante del marco de confianza cero es la elevación de privilegios justo a tiempo (JIT). Como sugiere el nombre, JIT es la idea de que los usuarios solo deberían tener un alto acceso a una aplicación o sistema determinados cuando lo necesiten; además, este acceso debe limitarse a un período específico y los privilegios de usuario deben revocarse lo antes posible.

El monitoreo de VPN es la clave

Dado que muchos de nosotros estamos trabajando a través de VPN de acceso remoto en estos días, es esencial que participemos en un monitoreo de VPN frecuente y sólido. Las VPN (redes privadas virtuales que crean una conexión entre usuarios remotos y redes privadas) están protegidas por cifrado, y estas redes permiten que los datos fluyan a través de rutas protegidas, llamadas túneles VPN. Para identificar las limitaciones de ancho de banda y las amenazas de seguridad, es importante que el personal de TI participe no solo en monitorear el tráfico de VPN, sino también en monitorear túneles VPN. Además, se debe realizar un seguimiento de toda la actividad de los usuarios, incluida, y quizás lo más importante, la actividad de los usuarios de C-suite.

Centrarse en la gestión del ancho de banda de VPN, la supervisión del tráfico y la planificación de la capacidad

Con tantos usuarios accediendo a la red a través de una VPN de acceso telefónico, asegúrese de mantener la integridad de las conexiones VPN mediante el seguimiento de los niveles de uso del ancho de banda. Además de identificar el alto consumo de ancho de banda, asegúrese de realizar un seguimiento de las URL de destino y bloquear el tráfico no deseado. Además, es importante monitorear el tráfico de VPN en tiempo real, teniendo en cuenta la cantidad de sesiones de VPN activas y la duración de esas sesiones. Una vez que su organización haya analizado las tendencias del ancho de banda, es hora de participar en la planificación de la capacidad. Esto se hace estableciendo métricas, configurando umbrales, planificando las necesidades futuras de capacidad de ancho de banda y configurando alertas.

Tenga cuidado con los intentos fallidos de inicio de sesión del usuario y el comportamiento anormal

Si la herramienta de supervisión de VPN de su organización ofrece paneles con la actividad de los usuarios, asegúrese de compartir esta información con los usuarios de C-suite, especialmente si son responsables de las fallas de conexión. Desafortunadamente, algunos empleados de nivel C esperan acceso privilegiado a aplicaciones y sistemas en todo momento. Si hay un registro de fallas de inicio de sesión u otra actividad anormal proveniente de sus cuentas, estos puntos de datos pueden convencerlo de que ningún empleado debe tener privilegios especiales. Además de rastrear a todos los empleados, es importante configurar alertas. En el caso de un intento fallido de inicio de sesión del usuario, ataque de seguridad, virus o alguna forma de comportamiento anormal del usuario, estas alertas deben crearse para hacer ping al personal de TI. Finalmente, asegúrese de monitorear el estado de todos los enlaces VPN, así como todas las transmisiones de datos a través de túneles VPN.

Asegúrese de integrar la supervisión de sesiones privilegiadas y el análisis del comportamiento de usuarios privilegiados

Durante el monitoreo de su VPN, asegúrese de monitorear todas las sesiones privilegiadas. Con una buena solución de monitoreo de VPN, es fácil recuperar registros de VPN de un firewall y luego generar informes de tráfico y seguridad para ejecutivos de nivel C. Con el análisis de comportamiento del usuario privilegiado, puede establecer correlaciones contextuales, cuando combina los datos de acceso privilegiado con su registros de eventos de endpoint; estos tipos de correlaciones pueden resultar bastante reveladores. Nuevamente, a veces estos datos también pueden ayudar a rectificar la idea equivocada de un empleado de nivel C de que él o ella merece tener acceso a todo en todo momento.

A medida que continuamos adoptando entornos de trabajo híbridos, es importante no solo participar en las mejores prácticas de administración de acceso privilegiado, como el principio de privilegios mínimos y la escalada de privilegios justo a tiempo. Dado que dependemos en gran medida de las VPN de acceso remoto, la importancia de la supervisión de VPN no puede subestimarse. Después de todo, el abuso de privilegios es una gran amenaza cibernética. De hecho, es un vector de ataque preferido bastante popular, ya que puede proporcionar a un mal actor acceso a la parte más vulnerable de una empresa sin dar la alarma; es decir, si su organización no está lo suficientemente involucrada en el monitoreo de VPN. Al monitorear los niveles de actividad de VPN de todos los empleados, especialmente los usuarios privilegiados, puede estar seguro de proteger su red.


Source link