El Shadow IT a l'empremta digital corporativa: la lluita contra el Diògens digital
Juan Antonio Calles
El Shadow IT és un dels problemes més oblidats a les empreses. Amb el pas del temps i el Diògens digital, van quedant indexats i accessibles a Internet desenes de serveis i actius que podrien exposar important informació corporativa. Serveis que, si no estan correctament inventariats i controlats, podrien convertir-se a la porta d'entrada a les nostres xarxes. Aquest problema es veu augmentat per l'alta burocràcia interna i els intents de saltar-se certs passos administratius per sortir abans a producció (Us sona la foto?). Des de Zerolynx veiem molt habitualment com determinats departaments acaben contractant, per exemple, hostings externs, per estalviar-se temps a l'hora de publicar un nou servei que, internament, els comportaria passar per una sèrie de fluxos, auditories i controls. Òbviament, saltar-se aquests processos és una irresponsabilitat que acaba tenint conseqüències, i per això la conscienciació és una eina clau, però aquestes coses acaben passant i és la nostra responsabilitat lluitar contra això.
Davant d'aquest fet i en veure que era una cosa molt comuna al mercat, vam decidir incorporar al nostre servei de Petjada Digital Corporativa una fase prèvia de reconeixement d'actius digitals, molt similar a la realitzada als serveis d'intrusió pels nostres companys del Red Team. En aquesta fase, realitzem tant una detecció automatitzada dels actius com una tasca d'identificació manual que ens permet abastar un pla més ampli i, a més, fer una primera anàlisi d'aquests actius.
Durant aquest reconeixement d'anàlisi d'actius, identifiquem quins són vulnerables o susceptibles de ser-ho. Per exemple, encara que podria semblar comú trobar exposat un enllaç d'un subdomini del client a les capçaleres del qual apareix la tecnologia del servidor, així com la versió i programari del servei utilitzat, això pot suposar un risc. Per il·lustrar-ho amb un cas real: fa un temps durant l'anàlisi dels actius d'un client, identifiquem i us reportem interfície d'accés VPN amb versió obsoleta. Als mesos de la troballa, el nostre client es va posar en contacte amb nosaltres perquè analitzéssim un anunci a Raid Forums sobre un accés remot a la seva companyia i on s'observava que l'origen d'aquest accés estava relacionat amb l'enllaç que li havíem prèviament notificat.
Cal no oblidar que una peça important per contribuir a la disminució de la superfície d'atac és l'aplicació de mesures d'higiene digital. Davant la ingent quantitat d'actius digitals que presenten actualment les empreses, pot passar que no tots estiguin sota el seu control, la qual cosa dóna l'oportunitat a tercers per obtenir-ne un benefici. Des de l'explotació de les vulnerabilitats, l'adquisició de dominis que van ser propietat de la companyia (un cop s'han deixat de renovar) o, fins i tot, utilitzar-los com a mitjà per fer il·lícits en nom seu (aprofitant redireccions des d'un lloc aparentment lícit) a un altre). Tot això, amb conseqüències com l'afectació a la reputació i la provocació d'altres danys indirectes, com la pèrdua de confiança per part de proveïdors o clients.
De vegades, mesurar el nivell de risc és complex, però sempre hem d'atendre la magnitud de l'evidència identificada i la probabilitat d'ocurrència. Els analistes sabem que aquesta segona part és la més complicada. Avui dia, trobar individus motivats a trencar els accessos ia entrar als sistemes dels nostres clients no és tan complicat. Per això, malgrat que de vegades els riscos que identifiquem puguin ser baixos, sempre és recomanable la seva anàlisi, mitigació i esmena pel que puguin significar el dia de demà.
La veritat és allà fora!
Noelia Baviera , Analista d'Intel·ligència
