La tendencia hacia entornos de trabajo híbridos ha obligado a las empresas a pensar en cómo proteger a sus organizaciones frente al aumento del uso de endpoints BYOD («trae tu propio dispositivo») y otros dispositivos nuevos. El reto está lejos de ser menor, como bien saben los MSP. El auge de los trabajadores remotos supone uno de los mayores cambios en el panorama general de la ciberseguridad que jamás hayamos conocido.
Y todos estos nuevos dispositivos remotos presentan un riesgo único para tus clientes. De media, los endpoints BYOD no descubiertos tienen un 71% más de probabilidades de ser blancos de una brecha cibernética. Sabemos el porqué, por supuesto. Cuando los equipos de seguridad y TI no tienen una visión completa de los dispositivos de una red, tienen poca capacidad para establecer los ajustes y configuraciones de seguridad adecuados, ejecutar actualizaciones y parchear las vulnerabilidades del sistema operativo y del software.
Los dispositivos no gestionados suponen una amenaza que todo profesional de TI debe conocer. En este artículo, analizaremos las formas más comunes de localizar dispositivos no detectados y no gestionados, protegerlos y aplicar políticas que minimicen esta amenaza concreta.
¿Cuáles son los riesgos de los endpoints no gestionados?
Los dispositivos BYOD y los trabajadores remotos no son un fenómeno nuevo. Los MSP llevan muchos años gestionándolos, ya que las redes empresariales añaden un flujo constante de nuevos dispositivos que escapan al control del departamento de TI. Los avances hacia la movilidad y el IoT han dado lugar a una gran cantidad de endpoints difíciles de manejar que representan un claro riesgo para la seguridad.
La iluminación inteligente, los teclados Bluetooth, los televisores inteligentes, las cámaras de vigilancia, las impresoras, los switches y los routers son todos dispositivos conectados que a menudo carecen de seguridad integrada. Cuando los agentes de amenazas buscan puntos débiles en una red, estos dispositivos ofrecen un ángulo muerto fácil de explotar.
¿Qué es un «dispositivo no gestionado»?
Los dispositivos no gestionados pueden definirse como dispositivos conectados por IP que no tienen instalado un agente o una solución de configuración y que no están protegidos por un agente de endpoint.
En esta encuesta de Forrester, el 69% de los encuestados afirmaron que la mitad o más de los dispositivos de sus redes eran dispositivos no gestionados o dispositivos IoT fuera de su visión. Además, el 26% indicaron que tenían tres veces más dispositivos no gestionados que gestionados en sus redes. El estudio también puso de manifiesto que el 79% de los profesionales de la seguridad de las empresas estaban muy o extremadamente preocupados por la seguridad de los dispositivos
Cómo descubrir dispositivos no gestionados en la red
Hay una razón por la que se pierden tantos dispositivos en estas redes: encontrar dispositivos no gestionados no es fácil. Un MSP no puede simplemente pedirle a Active Directory que muestre cualquier dispositivo que no esté siendo gestionado. Es posible comparar manualmente los datos de AD y el software de gestión de redes, pero se trata de un método lento y propenso a errores.
Lo que la mayoría de los MSP utilizan (o necesitan) es una solución que pueda correlacionar y deduplicar datos automáticamente para ayudarles a ser más rápidos a la hora de corregir el problema.
Tipos de datos necesarios para buscar dispositivos no gestionados
Para hacer una búsqueda manual de dispositivos no gestionados clásica, necesitarás las siguientes fuentes de datos:
- Datos sobre las redes/infraestructuras: obtén visibilidad de todos los dispositivos de un entorno accediendo a la infraestructura de red
- Servicios de directorio: servicios como Active Directory o Azure AD que autentican usuarios y dispositivos
- Soluciones de gestión de endpoints: servicios como SCCM y Jamf Pro
Usar Microsoft Defender para detectar dispositivos no gestionados
Microsoft ha añadido a Microsoft Defender para punto de conexión la capacidad de descubrir y proteger endpoints no gestionados y dispositivos de red. Al tratarse de una función integrada, no es necesario instalar hardware ni software en entornos de TI compatibles.
Una vez descubiertos los dispositivos de red mediante este método, los administradores de TI reciben las últimas recomendaciones de seguridad y vulnerabilidades sobre ellos. Los endpoints detectados pueden incorporarse a Microsoft Defender para punto de conexión.
Las soluciones nativas de Microsoft tienen limitaciones evidentes. La mayoría de los MSP necesitan una solución que no dependa del sistema operativo ni de la tecnología y que sea capaz de detectar cualquier dispositivo en cualquier entorno.
Usar NinjaOne para descubrir endpoints no gestionados
NinjaOne hace que sea fácil asegurarse de que todos los endpoints están totalmente gestionados a través de la detección automatizada de activos y el despliegue utilizando Microsoft Active Directory. Se pueden programar análisis periódicos para identificar los dispositivos no gestionados y desplegar un agente de gestión en el activo sin problemas. Los dispositivos habilitados para SNMP también son fácilmente detectables por la sonda de monitorización de red integrada.
Todos los activos se pueden agrupar y buscar automáticamente por puntos de datos recopilados, lo que hace que sea increíblemente rápido y fácil encontrar y gestionar un activo. Gracias a la flexibilidad de los campos personalizados, puedes recopilar casi cualquier dato de un endpoint para la clasificación y gestión de dispositivos.
Cómo mantener los endpoints no gestionados fuera de la red
En un mundo perfecto, encontrar y gestionar dispositivos no autorizados no debería ser necesario. Pero sabes muy bien que, en las redes operativas reales, siempre se cuelan nuevos dispositivos en la red. Los MSP y sus clientes pueden tomar medidas para reducir el número de dispositivos no autorizados y no gestionados en la red y para averiguar quién es responsable de estos dispositivos.
Según las FAQ sobre gestión de accesos de la Agencia de Ciberseguridad y Seguridad de Intraestructuras de Estados Unidos (CISA),se pueden tomar las siguientes medidas para reducir el número de dispositivos no autorizados y no gestionados que aparecen en la red:
- La política puede requerir que los administradores pongan los nuevos dispositivos en el inventario de estado deseado antes de añadirlos. A menudo, los administradores de sistemas conectan nuevos dispositivos y luego los parchean y configuran en la red de producción. Esto abre una ventana a que los dispositivos resulten comprometidos.Además, los dispositivos a menudo se añaden a la red antes de ser registrados en Active Directory (o cualquier otra fuente de datos para el estado deseado que esté en uso). Conseguir que los administradores mantengan actualizado el estado deseado (editado antes de que aparezca la máquina) reducirá el número de condiciones de riesgo de la gestión de activos de hardware.
- El registro puede rastrear cuándo se conectan a la red dispositivos no autorizados y no gestionados, a qué se conectan y quién ha iniciado sesión en ellos. Todos estos datos pueden ayudar a investigar quién conectó los dispositivos. Una vez encontrada la persona, hacerle saber lo que se espera de ella puede prevenir la creación de estas condiciones de riesgo.
- Va a ser necesario formar a los empleados. Debe haber consecuencias para las personas que conectan dispositivos no autorizados con frecuencia y que lo hace tras haber sido notificados. Aunque estas acciones no eliminarán todos los dispositivos no autorizados y no gestionados, sí pueden reducir sus tasas de incidencia, lo cual es un paso positivo.
Retos en torno a los dispositivos no gestionados
Aunque los dispositivos no gestionados plantean riesgos de seguridad inherentes, hay varios factores que pueden influir en el grado de peligro que representan. Los proveedores de TI y las organizaciones deben ser conscientes de estos retos y multiplicadores de amenazas:
No realizar evaluaciones de riesgos
Al igual que con el resto de la red, es fundamental realizar evaluaciones de riesgos en los dispositivos no gestionados. ¿Existen vulnerabilidades conocidas o problemas de configuración? Esto puede resultar difícil cuando no se puede poner un agente en el dispositivo, por lo que una herramienta de descubrimiento de dispositivos y un agente flexibles (y tecnológicamente agnósticos) pueden ser muy útiles.
Dispositivos que por su naturaleza implican riesgo
Ciertos dispositivos vienen con serios problemas contra los que es difícil protegerse. La seguridad de las redes P2P es particularmente difícil y los estudios demuestran que estos dispositivos pueden ser accesibles, incluso a través de un firewall, de forma remota a través de Internet, ya que están configurados para encontrar continuamente formas de conectarse a una red global compartida. Es importante evaluar las herramientas IoT y el hardware para descubrir posibles riesgos y evitar la explotación de vulnerabilidades de las P2P. También deberías estudiar la política de actualización del firmware del los dispositivos y mantenerlos actualizados (como siempre).
Configuraciones por defecto/configuración errónea
Los problemas de configuración han provocado muchas filtraciones de datos. Las configuraciones predeterminadas más conocidas pueden entregarle las llaves de tu red a los ciberdelincuentes. Algunos pasos sencillos, como cambiar o eliminar el nombre de usuario de administrador predeterminado de las cámaras de seguridad, pueden resultar muy útiles. Las contraseñas y credenciales deben gestionarse cuidadosamente, y hay que tener cuidado con las cuentas de puerta trasera no documentadas. Las configuraciones erróneas son otro gran problema. Aparte de los contratiempos en el control de acceso, los usuarios suelen dejar activadas funciones innecesarias, como el Universal Plug and Play (UPnP), o abrir sin querer puertos que pueden servir de puntos de acceso a los atacantes.
Falta de segmentación de la red
Colocar un firewall entre cada dispositivo e Internet puede evitar que los hackers se cuelen por la red. Los profesionales de TI deben clasificar los dispositivos no gestionados en sus propios segmentos de red, separados de los dispositivos corporativos y de la red de invitados. Esto impedirá que los actores de amenazas utilicen un dispositivo no gestionado como punto de entrada y luego se desplacen lateralmente para filtrar datos o instalar malware. Hay formas de sortear la segmentación de la red, pero sigue siendo una medida que merece la pena.
Gestión deficiente de los activos
Cualquier lista de buenas prácticas de ciberseguridad, incluyendo el Marco de Ciberseguridad del NIST, te dirá que identificar todos los dispositivos de tu red es fundamental para la seguridad. No basta con analizar tu red en busca de dispositivos conectados físicamente; también hay que gestionar los dispositivos que se conectan por Wi-Fi y via Bluetooth.
Falta de seguimiento continuo
La mayoría de los dispositivos no gestionados son más difíciles de analizar que los ordenadores tradicionales conectados a una red, por lo que es aún más importante supervisar su uso/comportamiento y buscar cualquier cosa sospechosa. La recopilación de registros, el aprendizaje automático y los sistemas SIEM/SOC, todos juegan un papel en la pila de ciberseguridad moderna por esa misma razón.
Colaborar con NinjaOne
Tener una visibilidad completa es fundamental para una gestión eficaz. NinjaOne está aquí para ayudar a los MSP a gestionar su negocio de forma eficiente y segura. Miles de usuarios confían en nuestra plataforma RMM de vanguardia para afrontar las complejidades de la gestión de TI moderna.
¿Aún no eres socio de NinjaOne? ¡Seguimos queriendo ayudarte a agilizar tus operaciones de servicios gestionados! Visita nuestro blog para obtener recursos y guías útiles para MSP, suscríbete a Bento para recibir orientación importante en tu correo electrónico y asiste a nuestros Live Chats para mantener conversaciones individuales con expertos del canal.
Si estás listo para convertirte en un socio de NinjaOne, programa una demostración o comienza una prueba de 14 días para descubrir por qué más de 10.000 clientes ya han elegido a NinjaOne como socio para una gestión remota segura.