La frase “el conocimiento es poder” se aplica perfectamente al mundo IT. Tener un panorama completo de todo el hardware y software que opera dentro de las redes es imprescindible. Y también forma parte de las mejores prácticas de Gestión de Activos de IT.
Sin embargo, incluso las organizaciones comprometidas con esto se enfrentan con el problema de tener dispositivos no autorizados dentro de sus redes, resultando en una amenaza para la seguridad general de la organización.
Pero por suerte, esto tiene solución. Continúa leyendo para enterarte en detalle cómo detectar dispositivos no autorizados en la red de tu compañía.
¿Por qué es importante la detección de dispositivos no autorizados?
Lo primero a considerar es que trabajar sobre la detección de activos minimizará los riesgos, aumentará tu puntuación de seguridad general y te brindará una comprensión real de los elementos que componen tu red.
Además, tendrá un impacto positivo en la higiene general de tu gestión de activos de IT (ITAM). Al igual que ocurre con la higiene dental, realizar la labor de detección de dispositivos puede resultar molesto después de un largo día de trabajo, pero a la larga repercutirá favorablemente en la salud bucal –o en las redes de la empresa.
Es que, en líneas generales, ITAM tiene un propósito claro:
ITAM también ayuda a la organización a gestionar sus recursos IT de forma más eficiente: al conocer los servicios clave de una organización, se ahorra tiempo y dinero evitando la compra de activos duplicados o innecesarios y al garantizar que las licencias de software se reutilicen.
ITAM no es sólo una herramienta, ni un conjunto de procesos: es una capacidad empresarial.
Por lo tanto, una visión clara de tu inventario de equipos de cómputo te permitirá:
- Eliminar los puntos ciegos, quitando o etiquetando activos desconocidos.
- Prevenir posibles amenazas de ciberseguridad auditando tu inventario de activos.
- Detectar amenazas con informes exactos.
Ahora sí, empecemos por el comienzo y echemos un vistazo a la definición de dispositivos no autorizados.
¿Qué es “shadow IT”?
Los activos no autorizados (o, como se lo conoce en inglés, shadow IT) son elementos desconocidos que se encuentran en tu infraestructura de IT.
Algunas de sus causas son las políticas BYOD (Bring Your Own Device) y el Internet de las Cosas (IoT), que se combinan para crear una “tormenta perfecta” de elementos ocultos conectados a las redes corporativas.
Dichas prácticas aumentan el riesgo de seguridad, porque cuantos más elementos se conectan sin tu conocimiento, mayores son las amenazas potenciales. En este sentido, si retomamos la analogía de la higiene dental, tener elementos desconocidos y no gestionados en tu red es como dejar caries sin atender.
Por lo tanto, la detección de activos y su etiquetado es también un gran paso hacia la construcción de una sólida línea de base de seguridad de IT: es por donde debe comenzar cualquier programa de seguridad.
Mejores prácticas para mantener tu red limpia
De acuerdo al Centro de Seguridad de Internet (CIS Controls):
"Los Controles Críticos de Seguridad del CIS son un conjunto prioritario de salvaguardas para mitigar los ciberataques más frecuentes contra sistemas y redes. Están asignados y referenciados por múltiples marcos legales, reglamentarios y políticos.
La versión 8 de CIS Controls ha sido mejorada para adaptarse a los sistemas y software modernos. El movimiento hacia la computación basada en la nube, la virtualización, la movilidad, la subcontratación, el home office y los cambios en las tácticas de los atacantes han impulsado esta actualización, además de apoyar la seguridad de las empresas cuando operan en entornos en la nube e híbridos".
En la iteración más reciente de estas salvaguardas, el CIS presenta algunas novedades en lo que llamamos "control del CIS", es decir, nuevas formas de hacer frente a las brechas y al acceso no autorizado en general.
También la versión 8 tiene menos controles que la anterior (7.1), pasando de 20 a 18. Esto se debe, por una parte, a la simplificación del proceso y, por otra, a que algunos controles han sido absorbidos por otros.
Aunque el alcance de los controles escapa al objetivo de este artículo, merece la pena consultarlos, ya que contienen información importante que te ayudará a configurar y monitorear correctamente tu marco de seguridad informática.
Así que, según este modelo, ¿cuál es la mejor manera de abordar el descubrimiento de activos –especialmente cuando se trata de activos de hardware, ocasionales dispositivos no autorizados y activos de software?
1. Mantener un inventario detallado de los activos de la empresa
Crear una forma de contabilizar y organizar con precisión cada activo de IT con capacidad para almacenar o procesar datos debería ser el punto de partida de todo este proceso.
Dicho inventario puede incluir todo lo relacionado con hardware (o lo que llamamos dispositivos de usuario final), así como dispositivos no informáticos/IoT, dispositivos de red y servidores.
El paso siguiente es asegurarse de que la herramienta de inventario registre e identifique correctamente la dirección de red correspondiente, la dirección de hardware, el nombre de la máquina, la propiedad (incluido el departamento) de cada activo, y si se trata de software o hardware autorizado, incluso si se le permite estar en la red en primer lugar.
Cuando se trata de dispositivos móviles, muchas herramientas de descubrimiento y gestión de activos ofrecen posibilidades de tipo MDM que ayudan en este proceso.
Además, una buena herramienta de inventario de equipos de cómputo proporcionará información sobre las diferentes formas en que un activo puede conectarse a una red:
- Virtualmente
- Remotamente
- Físicamente
- Dentro de un entorno de nube
Este inventario de activos también debería incluir cualquier activo que se conecte o sea usado regularmente por la infraestructura de red, aunque no forme parte de la "lista de activos" de la empresa per se.
Por último, hay que tener en cuenta que estos inventarios son dinámicos: se trata de entidades que salen, se mueven y, por lo tanto, deben revisarse periódicamente.
También es una parte crucial cuando se desea establecer una CMDB, en particular cuando la compañía empieza a crecer. Aunque al principio utilices un archivo .csv, en algún momento necesitarás construir una base de datos de activos.
2. Utilizar una herramienta de descubrimiento de activos
Las herramientas de descubrimiento y gestión de activos como InvGate Insight son muy importantes para asegurarse de que nada se escape del radar. Al utilizarlas todos los días, te darás cuenta fácilmente si aparece de pronto algún invitado inesperado o aplicación furtiva en tu red.
Ten en cuenta que una buena herramienta usará técnicas de descubrimiento tanto activas como pasivas, ya que incluso después de ejecutarlas, algunos activos pueden no mostrarse si están ocultos tras un firewall o una conectividad transitoria.
Brevemente, las herramientas de descubrimiento activo envían paquetes a los hosts para monitorear la respuesta, mientras que las pasivas monitorean el tráfico del servidor y las tendencias para crear un tipo diferente de imagen de los activos.
Ambas son importantes cuando se trata de tener una visión general, especialmente cuando apuntamos a la detección de dispositivos no autorizados.
3. Utiliza el registro de DHCP para actualizar tu inventario
Se debe utilizar DHCP en todos los servidores o herramientas IP disponibles para actualizar tu inventario. Una vez hecho esto, puedes revisar y actualizar los registros para actualizar tu inventario según sea necesario.
DHCP ofrece ventajas a las organizaciones por su capacidad de gestión centralizada de direcciones IP, así como por la posibilidad de añadir rápidamente nuevos dispositivos a la red utilizando direcciones recicladas.
Detección de activos no autorizados con InvGate Insight
InvGate Insight puede ayudarte a mantener los componentes de tu sistema bajo control, al tiempo que mantendrá a tu equipo de seguridad tranquilo.
Su función de detección de dispositivos no autorizados te permitirá descubrir fácilmente toda tu infraestructura de IT –incluyendo hardware y software– para mantener una visibilidad fiable y actualizada de tus datos de gestión de activos y configuración. Esto incluye una imagen completa y actualizada de aquellos activos que puedan ser vulnerables a exploits.
Esta visión dinámica de 360 grados de las relaciones entre tus sistemas te ayudará a prevenir y detectar activos no autorizados en tu red, avisándote cuando algo requiera tu atención. Pero esto no es todo: también detectará los cambios en tu software y en los parámetros de configuración.
Conclusiones finales
Vigilar tu inventario de activos es mantener tu casa en orden. Aunque puede resultar tedioso, la detección de dispositivos no autorizados es imprescindible para garantizar la seguridad.
Lo que no sabes puede matarte, y eso se aplica especialmente a la salud de tu empresa y tu infraestructura de TI. Aunque todos los activos no autorizados o aquellos que no son seguros probablemente no sean una amenaza, es preciso mantener el mayor número de puertas cerradas posible para evitar intrusos no deseados.
El resto consiste en utilizar las herramientas adecuadas para el trabajo y desplegarlas de forma eficiente.
