El Shadow IT es uno de los problemas más olvidados en las empresas. Con el paso del tiempo y el Diógenes digital, van quedando indexados y accesibles en Internet decenas de servicios y activos que podrían exponer importante información corporativa. Servicios que, de no estar correctamente inventariados y controlados, podrían convertirse en la puerta de entrada a nuestras redes. Este problema se ve acrecentado por la alta burocracia interna y los intentos de saltarse ciertos pasos administrativos con tal de salir antes a producción (¿Os suena la foto?). Desde Zerolynx vemos muy habitualmente cómo determinados departamentos acaban contratando, por ejemplo, hostings externos, para ahorrarse tiempo a la hora de publicar un nuevo servicio que, internamente, les conllevaría pasar por una serie de flujos, auditorías y controles. Obviamente, saltarse estos procesos es una irresponsabilidad que acaba teniendo consecuencias, y para ello la concienciación es una herramienta clave, pero estas cosas acaban ocurriendo y es nuestra responsabilidad luchar contra ello.
Ante este hecho y al ver que era algo muy común en el mercado, decidimos incorporar a nuestro servicio de Huella Digital Corporativa una fase previa de reconocimiento de activos digitales, muy similar a la realizada en los servicios de intrusión por nuestros compañeros del Red Team. En dicha fase, realizamos tanto una detección automatizada de los activos como una labor de identificación manual que nos permite abarcar un plano más amplio y además realizar un primer análisis de dichos activos.
Durante este reconocimiento de análisis de activos, identificamos cuáles de ellos son vulnerables o susceptibles de serlo. Por ejemplo, aunque podría parecer común el encontrar expuesto un enlace de un subdominio del cliente en cuyas cabeceras aparece la tecnología del servidor, así como la versión y software del servicio utilizado, esto puede suponer un riesgo. Para ilustrarlo con un caso real: hace un tiempo durante el análisis de los activos de un cliente, identificamos y le reportamos interfaz de acceso VPN con versión obsoleta. A los meses del hallazgo, nuestro cliente se puso en contacto con nosotros para que analizásemos un anuncio en Raid Forums sobre un acceso remoto a su compañía y en el cual se observaba que el origen de dicho acceso estaba relacionado con el enlace que previamente le habíamos notificado.
No debemos olvidar que una pieza importante para contribuir a la disminución de la superficie de ataque es la aplicación de medidas de higiene digital. Ante la ingente cantidad de activos digitales que presentan en la actualidad las empresas, puede suceder que no todos ellos estén bajo su control, lo cual da la oportunidad a terceros para obtener un beneficio de ellos. Desde la explotación de las vulnerabilidades, la adquisición de dominios que fueron propiedad de la compañía (una vez se han dejado de renovar) o, incluso, la utilización de estos como medio para realizar ilícitos en su nombre (aprovechando redirecciones desde un sitio aparentemente lícito a otro). Todo esto, con consecuencias como la afectación a su reputación y la provocación de otros daños indirectos, como la pérdida de confianza por parte de proveedores o clientes.
En ocasiones, medir el nivel de riesgo es complejo, pero siempre debemos atender a la magnitud de la evidencia identificada y su probabilidad de ocurrencia. Los analistas sabemos que esta segunda parte es la más complicada. Hoy en día, encontrar individuos motivados a romper los accesos y a entrar en los sistemas de nuestros clientes no es tan complicado. Por ello, pese a que en ocasiones los riesgos que identificamos puedan ser bajos, siempre es recomendable su análisis, mitigación y subsanación por lo que puedan significar el día de mañana.
¡La verdad está ahí fuera!
Noelia Baviera, Analista de Inteligencia