6 ago 2019

Software de rango enterprise podría estar espiando a las empresas

Las empresas confían en proveedores externos para todo, desde infraestructura y aplicaciones hasta seguridad, pero a menudo no saben cómo utilizan sus datos esos proveedores. Una empresa de seguridad asegura tener pruebas de que los proveedores extraen terabytes de datos sin autorización. En algunos casos, las cámaras de seguridad y el software transmiten datos al extranjero.

Algunos programas de seguridad y gestión empresarial podrían estar compartiendo subrepticiamente información sensible y personalmente identificable con terceros y sin el consentimiento explícito del usuario, sugiere un nuevo informe ExtraHop llamado "Security advisory calling-home".

En el informe no se mencionan nombres, pero sí se describen cuatro áreas en las que el comportamiento del software de seguridad empresarial es cuestionable: el software de seguridad de endpoints, el software de gestión de dispositivos hospitalarios, las cámaras de videovigilancia y el software de análisis de seguridad de instituciones financieras.

El documento define "phoning home", o "llamar a casa" como un host que se conecta a un servidor con el fin de enviar datos a este; es decir, el término white hat para la extracción de datos. Según el informe, llamar a casa es una práctica común que puede ser utilizada por razones legítimas y útiles con el consentimiento del cliente. Sin embargo, cuando los clientes desconocen la existencia de esta filtración por parte de los proveedores, se arriesgan a que se expongan datos confidenciales, como por ejemplo la información de identificación personal (IIP), lo que constituye una violación de las normas de privacidad que son cada vez más estrictas.

"Decidimos emitir esta advertencia después de constatar un aumento preocupante en este tipo de comunicaciones no reveladas por parte de los proveedores", dijo Jeff Costlow, CISO de ExtraHop. "Lo más alarmante para nosotros fue que dos de los cuatro casos detectados fueron perpetrados por destacados proveedores de servicios de ciberseguridad. Se trata de proveedores en los que las empresas confían para salvaguardar sus datos. Estamos instando a las empresas a establecer una mejor visibilidad de sus redes y de sus proveedores para asegurarse de que este tipo de malas prácticas de seguridad no pase desapercibido".

El documento destaca cuatro casos que abarcan las industrias de servicios financieros, de salud y de servicios alimentarios, en los que ExtraHop documentó a los proveedores que se autoenviaban datos de sus clientes sin el conocimiento o autorización de éstos.

ExtraHop recomienda que las compañías tomen las siguientes medidas para mitigar este tipo de riesgos de llamadas:

— Supervisar la actividad del proveedor: Esté atento a las actividades inesperadas de los proveedores en su red, ya sean proveedores activos, antiguos o incluso una post-evaluación de proveedores.

— Monitorear el tráfico de salida: Esté atento al tráfico saliente, especialmente de activos sensibles como los controladores de dominio. Cuando se detecte tráfico saliente, compárelo siempre con las aplicaciones y servicios aprobados.

— Controle la implementación: Durante la fase de evaluación, realice un seguimiento de las implementaciones de los agentes de software.

— Infórmese de los aspectos legales: Estar informado sobre la normativa y las consideraciones de conformidad de los datos que cruzan fronteras políticas y geográficas.

— Entienda los aspectos contractuales: Controle si los datos se utilizan en conformidad con los contratos suscritos con los proveedores.

ExtraHop también insta a las empresas a hacer preguntas a sus proveedores para asegurarse de que entienden cómo se están utilizando sus datos, hacia dónde van sus datos y los protocolos de los proveedores para auto-enviarse estos datos. A juicio de ExtraHop, estas acciones harán que los proveedores sean más responsables y, en última instancia, limitarán la exposición de los datos empresariales confidenciales.

Fuente: DiarioTI

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!