Las soluciones de supervisión y gestión remotas (RMM) proporcionan métodos flexibles a los MSP para identificar de forma temprana anomalías en la red o en los dispositivos, permitiendo una vigilancia proactiva de los sistemas. Si bien estas herramientas son implementadas con fines legítimos, es común que ciberdelincuentes hagan un uso malicioso ellas. Este tipo de intrusión se conoce como ataques «living off the land» (LOTL), donde los atacantes no necesitan archivos, códigos o scripts intrínsecamente maliciosos, sino que aprovechan herramientas que ya están presentes en el entorno para ocultar su actividad.
En los últimos años, los criminales han intensificado el uso de estas herramientas como método para vulnerar las defensas de seguridad y obtener acceso persistente a las redes de sus víctimas. De hecho, un estudio reciente ha detectado una transformación significativa en las tácticas de ataque cibernético dirigidas a pequeñas y medianas empresas, con un énfasis creciente en el uso de software RMM. Así, un 65% de los incidentes de seguridad informática involucraron a atacantes que se valieron de herramientas RMM para obtener acceso no autorizado a los sistemas de sus víctimas. Estos datos reflejan la necesidad de tomar acción y establecer nuevas vías de protección para estas soluciones.
4 controles basados en la red para proteger tu RMM
En este contexto, el año pasado la CISA emitió una guía para la seguridad de los RMM donde destacaba, entre sus principales recomendaciones, la implementación de controles de seguridad basados en la red. A continuación, explicaremos en detalle cómo una solución cortafuegos sólida puede impulsar la protección de tu software de acceso remoto:
- Emplea la segmentación de la red: al utilizar un cortafuegos puedes segmentar la red para minimizar el movimiento lateral y restringir el acceso a dispositivos, datos y aplicaciones. De esta forma, también podrás controlar el tráfico entre las subredes e implementar listas de control de acceso (ACL) para permitir o denegar el acceso a recursos específicos.
- Bloquea los puertos y protocolos RMM: un cortafuegos te permite crear reglas que bloqueen el tráfico no deseado en los puertos y protocolos específicos que utilizan las herramientas RMM. De esta manera, solo se permitirá el uso legítimo de estas herramientas y se minimizará el riesgo de intrusiones. Esto protegerá tu red de accesos no autorizados, ya que se reduce el riesgo de que los atacantes exploten vulnerabilidades en el software RMM para obtener acceso a tu red, tus datos y los de tus clientes.
- Utiliza las soluciones RMM desde dentro de la red: implementa soluciones de acceso remoto seguras, como una VPN, para establecer una conexión protegida a una subred específica dentro de tu red local. Configura tu software RMM para que solo se conecte a los dispositivos dentro de esa subred, restringiendo su acceso a otros dispositivos en tu red local.
- Utiliza un cortafuegos en tu entorno de nube pública: esto te permitirá filtrar y monitorizar el tráfico HTTP, detectando y bloqueando ataques como la inyección de código SQL y otras amenazas web.
Si bien los RMM son un blanco para los ciberdelincuentes, no hay que negar que ofrecen numerosas ventajas en la gestión de la ciberseguridad. En lugar de descartarlos, como MSP, es crucial conocer los riesgos y tomar medidas preventivas como la implementación de un cortafuegos. Manteniéndote actualizado sobre las últimas tendencias de ataques y siguiendo las recomendaciones de entidades de renombre como la CISA, puedes minimizar las vulnerabilidades en estas herramientas y aprovechar al máximo sus beneficios.
Guillermo Fernández, Manager, Sales Engineering Southern Europe de WatchGuard Technologies