Diariamente, se producen 230.000 copias de malware con el objetivo de penetrar en los sistemas de medianas y grandes empresas de todo el mundo. Por lo general, estos atacantes solo buscan una cosa: datos confidenciales. Es decir, información confidencial de los usuarios, productos y procesos.

Y es precisamente el VLAN Hopping uno de los métodos que se utilizan para colarse en las redes corporativas virtuales.

La configuración incorrecta de la VLAN y la falta de información sobre la administración segura de la red pueden costarle mucho dinero a su empresa. Al mismo tiempo, esta situación afecta al posicionamiento de la marca y a su fiabilidad. Por eso es fundamental establecer planes de prevención, monitoreo y defensa automática para contener las fugas de datos siempre que ocurran.

Para ayudarlo a crear una estrategia de SIEM para la capa 2 de la empresa, esta es una breve guía para prevenir y contener los ataques de salto de VLAN.

El salto de VLAN, una amenaza constante para las medianas y grandes empresas

El VLAN Hopping es un tipo de ciberataque en el que el atacante intenta entrar en el flujo de datos de redes virtuales restringidas. Una vez que un atacante entra, puede manipular cualquier recurso dentro de estos sistemas. En otras palabras, los hosts no deseados intentan pasar de una VLAN a otra sin levantar sospechas para robar información confidencial, eliminar datos, instalar software espía y cualquier tipo de malware, etc.

Los saltos de VLAN pueden producirse en cualquier momento del día. Además, los atacantes podían acceder a través de cualquier perfil de la red. En este caso, hay dos formas principales de acceder:

#1 Falsificación conmutada

Con este método, el atacante intenta hacerse pasar por un conmutador de la red de la víctima para engañar al DTP legítimo y crear un enlace troncal. De esta forma, puede recopilar toda la información que se transmite de un punto a otro. Además, el atacante podría viajar de una LAN a otra sin levantar sospechas.

La suplantación de conmutadores en los routers Cisco es el ataque más común. Se produce cuando los puertos Ethernet están en modo automático o deseado.

#2 Etiquetado doble

El salto de VLAN con doble etiquetado es un cambio en las etiquetas de la trama Ethernet. En este método, el atacante aprovecha la configuración de fábrica para engañar a los sistemas y crear un enlace troncal. El objetivo es establecer la identificación del atacante como una VLAN nativa de una red corporativa. Después de eso, el host no deseado podría enviar y recibir fácilmente cualquier tipo de paquetes.

¿Cómo defender una LAN virtual de los hosts no deseados?

Puede evitar los saltos de VLAN aplicando estrategias de prevención (lo que implica reforzar la seguridad en las capas principales del modelo OSI), cumplir con los marcos de protección de datos y supervisar la actividad en sus sistemas. En cualquier caso, es necesario contar con un plan de trabajo bien estructurado y con automatización para detectar eventos amenazantes las 24 horas del día.

La implementación de soluciones SIEM es especialmente útil cuando se trata de crear marcos de ciberseguridad. Con este software, puede controlar el tráfico de información confidencial, registrar los métodos de los atacantes, detectar las actividades peligrosas de forma temprana y tomar medidas automatizadas para optimizar su estructura de TI.

A continuación se explica cómo proceder con eficacia contra las amenazas de salto de VLAN:

# Prevención

La mayoría de las empresas dedican recursos de seguridad a las capas más profundas de sus sistemas. Por lo general, ignoran la dinámica de conexión entre el hardware y el software. Y con esta falta de estrategias de nivel superior, es inevitable que se les abran las puertas a su tráfico diario.

Sin embargo, esta vulnerabilidad se puede eliminar. Solo necesita combinar la fuerza laboral del equipo de TI con el apoyo de un software de gestión de la seguridad para desarrollar una estrategia de respuesta temprana. En primer lugar, el equipo de TI debe entender los métodos y las intenciones de sus atacantes. Con esta información, puede ejecutar procesos automatizados eficaces, ya sea en las actividades de detección de amenazas, el cumplimiento o el refuerzo de áreas específicas del sistema.

Para esta tarea, el modelo ATT&CK es bastante útil. Con este recurso, tu equipo puede rastrear el camino del atacante antes de su primer movimiento. De este modo, podrás interceptar su entrada a la red corporativa y acabar con las amenazas iniciales.

Predicción previa al ataque

Según ATT&CK, la mayoría de los ciberdelincuentes implementan tácticas meticulosas para reconocer las debilidades de los sistemas corporativos. El reconocimiento previo al ataque se puede realizar mediante el análisis de la ciberseguridad: mapear la infraestructura y las configuraciones de TI y estudiar las capacidades de contraataque de los sistemas corporativos.

En general, estas etapas previas al ataque son difíciles de identificar con el software convencional, por lo que el equipo de TI debe predecir la estrategia del atacante y corregir todas las debilidades entre los dispositivos y los programas.

Por ejemplo, puede hacer un inventario de toda la red empresarial para determinar quién la usa, cuáles son los recursos principales, cuáles son los patrones de comportamiento de cada hardware, las configuraciones actuales, las infracciones de fábrica, etc.

En este sentido, evita toda la configuración por defecto. Tras detectar cuáles son los routers vulnerables, debes desactivar los modos «Dinámico», «Automático» y «Troncal». Además, es fundamental eliminar todos los accesos de DTP y desactivar las interfaces en desuso.

Por otro lado, su equipo puede evitar los ataques de doble etiquetado al detener el uso de la VLAN nativa para el tráfico de usuarios comunes.

Y recuerde que debe supervisar constantemente la estructura y el comportamiento entre el hardware y el software. Este es un factor vital para evitar ataques desde dentro de la empresa.

# Cumplimiento de PCI

Si su empresa procesa pagos e información de tarjetas de crédito, le recomendamos que utilice un software de gestión del cumplimiento. Esto le ayudará a asegurarse de que todos los datos cumplen al pie de la letra los requisitos de la PCI DSS.

Es simple, si la empresa aplica varias capas de restricción a la información financiera de los clientes, será más difícil para los usuarios de VLAN recibir tráfico de información confidencial. Al mismo tiempo, se recomienda segmentar los datos en las VLAN de ACL para mantener estos registros de pagos alejados de la red común.

# Detección de amenazas

Hacemos hincapié en el monitoreo constante de todos los procesos de la red. Con un software de seguridad unificado, puede detectar ataques en sus sistemas a través de Network IDS. Al mismo tiempo, puede comprobar la integridad de los archivos digitales con un FMI.

Este software está diseñado para obtener información detallada de cada dispositivo activo en la red virtual. Además, ayudan a crear perfiles precisos de los atacantes y sus tácticas específicas.

La seguridad unificada sigue un flujo de trabajo automático de monitoreo > detección > ejecución de contraataques que minimiza considerablemente los riesgos. En este sentido, recomendamos el software AlienVault SIEM para gestionar y controlar las amenazas.

Si está buscando los mejores métodos para optimizar su ciberseguridad, en GB Advisors podemos ofrecerle consultoría profesional para un rendimiento de alta calidad de sus nuevos recursos de TI. Póngase en contacto con nosotros.