Beating Log4Shell How the Kiteworks Hardened Appliance Lived Up to Its Name

Superando Log4Shell: Cómo el Dispositivo Reforzado de Kiteworks Hizo Honor a Su Nombre

Si le preguntas a un profesional de seguridad o a un CISO al azar si recuerdan lo que hicieron el 9 de diciembre de 2021, hay una muy buena probabilidad de que la respuesta sea sí. Ese es el día en que organizaciones de todo el mundo se apresuraron a actualizar y mejorar urgentemente casi todos los sistemas críticos e infraestructuras que tenían debido a la publicación de la vulnerabilidad Log4Shell; la vulnerabilidad crítica en la popular biblioteca Log4j que permite a cualquiera con conexión a internet ejecutar remotamente comandos arbitrarios en los sistemas operativos de productos vulnerables.

Kiteworks no requirió un parche urgente ese día, aunque sí utiliza Log4j. Debido al enfoque de seguridad multicapa de Kiteworks en la construcción de su dispositivo reforzado, la puntuación CVSS de la vulnerabilidad de 10.0 se redujo automáticamente a un 4.0 (como máximo) en Kiteworks. Esto proporcionó a los clientes de Kiteworks el conocimiento y la seguridad de que su información más crítica y sensible estaba segura y protegida.

Protección Desde el Interior

Para parafrasear al poeta inglés John Donne, “ningún sistema es una isla completa en sí misma”, y Kiteworks no es diferente. Por su propia naturaleza, Kiteworks es un sistema conectado, permitiendo a sus usuarios colaborar con colegas (tanto internos como externos) de manera segura, protegida y conforme. Esto significa que Kiteworks debe conectarse a otros sistemas y permitir que otros sistemas y usuarios se conecten a él. El desafío es poder hacerlo de una manera completamente zero-trust, asegurando que nada ni nadie entre o salga sin autorización y sin ser notado.

Para ese fin, creamos el dispositivo reforzado de Kiteworks.

Sistema Operativo Minimalista

Un dispositivo reforzado de Kiteworks comienza su vida como una instalación básica del sistema operativo Linux, con solo el número mínimo absoluto de bibliotecas y aplicaciones del sistema necesarias para su operación. El equipo de DevOps de Kiteworks luego instala un conjunto altamente seleccionado de bibliotecas de terceros, cada una de ellas absolutamente necesaria para el funcionamiento de Kiteworks y aprobada por el equipo de seguridad.

La lista de bibliotecas utilizadas se escanea continuamente contra una base de datos de vulnerabilidades conocidas, asegurando que el dispositivo reforzado de Kiteworks esté siempre actualizado con los parches de seguridad y mejoras requeridos.

Al final del día, un dispositivo reforzado de Kiteworks tiene cero puertos o servicios activos innecesarios.

Reforzamiento del Sistema Operativo

El reforzamiento del sistema operativo es la práctica de asegurar un sistema operativo reduciendo sus vulnerabilidades, minimizando amenazas y disminuyendo su superficie de ataque. El objetivo de reforzar un sistema operativo es hacerlo más seguro, confiable y resistente a los ciberataques. Aquí hay algunas prácticas comunes para el reforzamiento del sistema operativo:

¿Cómo Reduce la Superficie de Ataque el Reforzamiento del Sistema?

El reforzamiento del sistema es el proceso de asegurar un sistema informático reduciendo su superficie de ataque, que se refiere al área total que un hacker puede explotar para obtener acceso no autorizado o robar información sensible. Hay varias formas en que el reforzamiento del sistema reduce la superficie de ataque, incluyendo:

  1. Deshabilitar servicios y protocolos innecesarios: Al deshabilitar servicios y protocolos innecesarios, reduces el número de puntos de entrada que un hacker puede explotar para obtener acceso no autorizado. Cada servicio o protocolo que está ejecutándose en un sistema puede potencialmente introducir vulnerabilidades, por lo que eliminar aquellos que no son necesarios para las operaciones comerciales puede reducir la superficie de ataque.
  2. Actualizar software y firmware: Mantener el software y el firmware actualizados ayuda a parchear vulnerabilidades o debilidades conocidas que podrían ser explotadas por atacantes. Esto reduce la probabilidad de que los atacantes puedan explotar vulnerabilidades conocidas en software desactualizado.
  3. Configurar controles de acceso: Configurar adecuadamente los controles de acceso puede limitar el número de usuarios que tienen acceso a datos sensibles, reduciendo la superficie de ataque al limitar el número de posibles objetivos para los atacantes.
  4. Implementar autenticación fuerte: Mecanismos de autenticación fuertes, como la autenticación multifactor, pueden dificultar que los atacantes obtengan acceso no autorizado, reduciendo aún más la superficie de ataque.
  5. Aplicar políticas de contraseñas: Al implementar políticas de contraseñas fuertes, como requerir contraseñas complejas y cambios regulares de contraseña, puedes reducir la probabilidad de que los atacantes obtengan acceso a través de ataques de fuerza bruta.
  6. Eliminar cuentas de usuario innecesarias: Al eliminar cuentas de usuario que ya no son necesarias, reduces el número de posibles objetivos para que los atacantes obtengan acceso no autorizado.

El reforzamiento del sistema es una parte importante de la estrategia de ciberseguridad de cualquier organización. Al reducir la superficie de ataque, puedes dificultar que los atacantes obtengan acceso a datos o sistemas sensibles, protegiendo a tu organización de posibles amenazas.

Reforzamiento de Dispositivos vs. Dispositivos de Seguridad Reforzados

El reforzamiento de dispositivos se refiere al proceso de asegurar dispositivos individuales eliminando o deshabilitando servicios innecesarios, aplicando parches de seguridad e implementando controles de seguridad como firewalls, cifrado y controles de acceso. Los dispositivos de seguridad reforzados, por otro lado, son dispositivos especializados que están diseñados y optimizados para realizar tareas de seguridad específicas, como firewalling, detección y prevención de intrusiones, y filtrado de contenido.

Estos dispositivos vienen con características de seguridad integradas y están preconfigurados para proporcionar la máxima protección contra una variedad de amenazas. En resumen, mientras que el reforzamiento de dispositivos implica asegurar dispositivos individuales, los dispositivos de seguridad reforzados proporcionan una capa adicional de protección al ofrecer funcionalidades de seguridad especializadas dentro de un entorno de red.

Confianza Cero (Va en Ambos Sentidos)

Continuando con la noción de acceso mínimo, los internos del dispositivo reforzado de Kiteworks solo pueden ser accedidos por exactamente una cuenta del sistema. Existe un número muy pequeño de otras cuentas del sistema, pero su conjunto de permisos es extremadamente limitado a la luz del “Principio de Menor Privilegio”, y no se les permite el acceso interactivo al dispositivo.

Para asegurar la integridad del dispositivo reforzado de Kiteworks, la cuenta de soporte solo puede ser utilizada por un ingeniero de soporte certificado de Kiteworks. Ningún cliente recibe nunca la contraseña de esa cuenta, ni siquiera para un dispositivo instalado en su centro de datos en las instalaciones.

Sin embargo, Kiteworks también asegura que esta conexión solo se puede lograr con la aprobación explícita y activa del cliente. Durante las operaciones normales, solo el administrador del cliente puede acceder a una cuenta; Kiteworks no conoce ni tiene acceso a la contraseña de la cuenta. Cuando se requiere una sesión de soporte, un administrador del sistema puede generar una nueva contraseña de acceso cifrada al instante y pasarla al ingeniero de soporte. Ellos, a su vez, tienen la capacidad de descifrarla y usarla para conectarse.

El resultado es una confianza cero completa y de doble sentido.

Monitoreo Interno

Todos los dispositivos reforzados de Kiteworks están equipados con mecanismos internos para monitorear y hacer cumplir políticas altamente estrictas con respecto al comportamiento esperado tanto de los sistemas operativos como de archivos. Si, por alguna razón, un dispositivo reforzado de Kiteworks se desvía de su estado original (por ejemplo, un archivo se cambia inesperadamente o se crea donde no se suponía, o un servicio comienza a escuchar en un puerto inesperado), se envía automáticamente una alerta al administrador.

El dispositivo reforzado también mantiene registros detallados de toda la actividad de servicios críticos, permitiendo a los administradores del sistema monitorear el funcionamiento interno de Kiteworks en tiempo real utilizando sus propias herramientas de gestión de información y eventos de seguridad (SIEM) y otras herramientas de orquestación, automatización y respuesta de seguridad (SOAR).

Sandboxing Interno

Como se mencionó antes, la operación de Kiteworks depende, a veces, de bibliotecas proporcionadas por terceros, ya sean de código abierto o comerciales. En la menor medida posible, Kiteworks utiliza estas bibliotecas dentro de un sandbox a nivel del sistema operativo. En otras palabras, aunque la biblioteca de terceros en cuestión está instalada, su acceso a otras partes del sistema operativo o sistemas de archivos está significativamente limitado. Esto asegura que, incluso si se encuentra una vulnerabilidad en una de estas bibliotecas, la amenaza potencial para el dispositivo reforzado de Kiteworks se reduce significativamente.

Aplicación de Políticas de Red

Para asegurar que el estado original del sistema operativo se aplique también en el lado de la red, todos los dispositivos reforzados de Kiteworks tienen una configuración de firewall interno muy estricta, permitiendo el tráfico de red entrante solo a través de los canales y puertos requeridos y esperados.

Protecciones Adicionales de Red

Todos los dispositivos reforzados de Kiteworks están equipados con mecanismos para monitorear y bloquear conexiones maliciosas y solicitudes web. Además de la configuración de firewall estática que bloquea conexiones de red en puertos inesperados, también utilizamos el bloqueo dinámico de solicitudes maliciosas. Además, los infractores reincidentes son bloqueados automática y completamente, para asegurar el funcionamiento fluido y seguro del dispositivo y la solución Kiteworks.

Dispositivo de Red para Seguridad de Red

Un dispositivo de red para seguridad de red es un dispositivo de hardware diseñado para proteger una red informática del acceso no autorizado, virus, malware y otras amenazas. Es esencialmente una computadora especializada que está optimizada para propósitos de seguridad y se coloca en la red para monitorear todo el tráfico que fluye a través de ella.

Típicamente, un dispositivo de seguridad de red incluirá una serie de características de seguridad, como firewalls, sistemas de detección/prevención de intrusiones, software antivirus/malware, soporte para redes privadas virtuales (VPN) y filtrado de contenido. Estas características trabajan juntas para identificar y bloquear tráfico malicioso, prevenir ataques y mantener la red segura.

Los dispositivos de seguridad de red son utilizados por empresas y organizaciones de todos los tamaños, desde pequeñas startups hasta grandes empresas. Son particularmente importantes para compañías que manejan datos sensibles o confidenciales, como instituciones financieras, instalaciones médicas y agencias gubernamentales. Al usar un dispositivo de seguridad de red, las organizaciones pueden asegurar que su red esté protegida y que sus datos permanezcan seguros.

Mejores Prácticas para el Reforzamiento de Redes

Para asegurar la máxima protección, los administradores de red deben adoptar mejores prácticas como implementar contraseñas fuertes, instalar firewalls, usar protocolos de cifrado, actualizar regularmente el software, monitorear el tráfico de red y realizar auditorías de seguridad regulares. También es importante restringir el acceso a datos sensibles basándose en principios de necesidad de saber y capacitar regularmente a los empleados sobre la concienciación en ciberseguridad. Siguiendo estas mejores prácticas, las empresas pueden asegurar que su red permanezca segura y protegida de amenazas potenciales.

Entra Log4j

Log4j es una biblioteca de registro de eventos, que se proporciona como una solución de código abierto y de uso gratuito por la fundación Apache. La fundación en sí está respaldada por muchas de las principales marcas del mundo, incluidas Google, Microsoft, Amazon y Apple, entre otras. Debido a su proveedor de confianza, sus muchas fortalezas y su uso simple, Log4j rápidamente se convirtió en una de las bibliotecas más populares del mundo, incorporada por la mayoría de los principales proveedores en varias soluciones. Kiteworks es uno de esos proveedores.

En diciembre de 2021, se descubrió que Log4j tenía una vulnerabilidad de seguridad grave. Después de la investigación, la Base de Datos Nacional de Vulnerabilidades (NVD), operada por el Instituto Nacional de Estándares y Tecnología (NIST), le dio a la vulnerabilidad la puntuación CVSS más alta posible: un 10.0.

Este sistema de puntuación toma en consideración muchos factores, girando en torno a qué tan fácil es de explotar y el alcance del daño potencial. La vulnerabilidad de Log4j, apodada Log4Shell, prácticamente permitía a cualquier persona no autenticada en el mundo hacer que cualquier sistema vulnerable en el mundo ejecutara código malicioso.

Con la extrema popularidad de Log4j, es fácil ver por qué esto se convirtió en un incidente global de la noche a la mañana.

El Dispositivo Reforzado de Kiteworks al Rescate

Mientras muchos proveedores en todo el mundo luchaban por emitir parches de emergencia y alertar a sus clientes sobre la necesidad urgente de instalarlos, Kiteworks no lo hizo.

Después de una investigación exhaustiva, el equipo de seguridad de Kiteworks concluyó que, en el contexto del dispositivo reforzado, la puntuación CVSS de la vulnerabilidad sería de un 4 como máximo. De hecho, hasta el día de hoy, no existe prueba de que haya una forma de explotar la vulnerabilidad en Kiteworks. Los siguientes son algunos de los puntos clave:

  • Siguiendo el Principio de Menor Privilegio, la biblioteca vulnerable se implementó y utilizó en una configuración altamente restrictiva. Esto significaba que las API vulnerables estaban deshabilitadas y, por lo tanto, no eran explotables.
  • La biblioteca vulnerable se ejecutaba dentro de su propio sandbox, lo que significaba que era imposible que ejecutara cualquier código externo, y mucho menos uno malicioso. Por lo tanto, incluso si fuera explotada, la amenaza potencial se reducía significativamente.
  • La biblioteca vulnerable estaba altamente monitoreada, lo que significaba que cualquier desviación de su comportamiento esperado habría sido notada y alertada. Nunca lo fue.

Incluso con lo anterior en primer plano, no queríamos correr ningún riesgo. La siguiente versión de Kiteworks incorporó un parche y múltiples mecanismos para prevenir cualquier posibilidad de explotación, incluso si el riesgo era mínimo o inexistente.

Estos incluyeron:

  • Una versión actualizada y no vulnerable de la biblioteca vulnerable.
  • Se enmendó la configuración de la biblioteca para deshabilitar específicamente la configuración vulnerable. Incluso si las API vulnerables se habilitaran en el futuro, la seguridad seguirá intacta.
  • Una regla especial en nuestros mecanismos de protección de red interna, bloqueando cualquier solicitud web directa de Log4j.

Descubre Más Sobre el Dispositivo Reforzado de Kiteworks

Los clientes de Kiteworks facilitan la colaboración interna y externa y confían en nosotros con su contenido más sensible y crítico. Para estar a la altura de esa responsabilidad, el dispositivo reforzado de Kiteworks está meticulosamente diseñado con capas sobre capas de mecanismos de seguridad, permitiéndole resistir no solo ataques conocidos sino también ataques completamente desconocidos previamente.

Para obtener más información sobre el dispositivo reforzado de Kiteworks, programa una demostración personalizada de la Red de Contenido Privado de Kiteworks hoy mismo.

Recursos Adicionales

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks