Conisderaciones sobre seguridad en RPAs

馃敆Conisderaciones sobre seguridad en RPAs

馃敆Observando las vulnerabilidades de RPA

馃敆Introducci贸n

El prop贸sito de este documento es proporcionar una visi贸n general sobre qu茅 vulnerabilidades existen dentro de los sistemas RPA y c贸mo podemos usar la automatizaci贸n para mitigar estas amenazas.

En el espacio comercial actual, condicionado por la necesidad apremiante de digitalizar, RPA es un componente cr铆tico de la estrategia digital de una empresa, ya que se aplica a varias facetas de su operaci贸n. Un programa RPA deber铆a aprovechar la rob贸tica para permitir la ejecuci贸n de procesos internos m谩s efectivos y eficientes, as铆 como mitigar el riesgo cibern茅tico.

RPA presenta una nueva superficie de ataque que se puede aprovechar para revelar, robar, destruir o modificar datos confidenciales y/o informaci贸n de alto valor, acceder a aplicaciones y sistemas no autorizados y explotar vulnerabilidades para obtener un mayor acceso a una organizaci贸n.

No se puede negar que existe una creciente cantidad de ciberataques a nivel mundial, que van desde delitos menores a peque帽a escala hasta violaciones de datos a gran escala que pueden lelgar a afectar el funcionamiento de todo un pa铆s. Por lo tanto, es sumamente importante compartir m谩s conocimiento y experiencia sobre c贸mo gestionar esta guerra cibern茅tica.

En este documento, primero proporcionaremos una visi贸n general sobre qu茅 vulnerabilidades comunes existen dentro de RPA y trazaremos un marco de gobernanza.

馃敆Distinciones de bots

Los motores de b煤squeda los suelen dividir en dos categor铆as: asistidos y no asistidos.

Las RPA asistidas contribuyen al proceso, pero un empleado realiza algunas acciones y la tarea no puede completarse sin intervenci贸n humana.

Las RPA no asistidas est谩n dise帽adas para operaciones no tripuladas y proporcionan una ejecuci贸n totalmente automatizada de la tarea.

Sin embargo, existe una tercera categor铆a, las RPA cognitivas, mejoradas por los algoritmos de Machine Learning tanto para la toma de decisiones como para la superaci贸n personal.

Las RPA son bastante similares al uso de un usuario final, enfocando su reutilizaci贸n dentro de un marco de control existente. Alternativamente, una empresa podr铆a usar controles dise帽ados para aplicaciones desarrolladas internamente y, por lo tanto, tambi茅n proporcionar una visi贸n m谩s r铆gida sobre las potenciales vulnerabilidades.

Las RPA cognitivas tienen un panorama de amenazas diferente, el cual se encuentra mal abordado incluso seg煤n los est谩ndares internacionales de seguridad de la informaci贸n. Las empresas enfrentan problemas tales como la confiabilidad de los algoritmos de aprendizaje autom谩tico, la probabilidad de cambios irrelevantes introducidos por los algoritmos y la incapacidad de demostrar la l贸gica de toma de decisiones a los reguladores.

Estos desaf铆os requieren la creaci贸n de un nuevo marco de control basado en las mejores pr谩cticas internas, la colaboraci贸n con otras empresas y consultores, as铆 como discusiones proactivas con los reguladores.

馃敆Ecosistema

Cuando se trata de asegurar implementaciones de RPA, una organizaci贸n debe considerar el proceso t茅cnico y los elementos humanos de todo el ecosistema de rob贸tica.

Un dise帽o seguro debe incluir todo el ciclo de vida del producto, desde los requisitos, la selecci贸n, la arquitectura, la implementaci贸n y las operaciones en curso.

1. Integridad: 驴Puedo confiar en que los datos y resultados que obtengo de mis bots no han sido modificados o alterados?

2. Rastreabilidad: 驴Puedo monitorear y rastrear actividades del bot para identificar el mal uso de la rob贸tica que afecta la integridad o la disponibilidad de otros sistemas / datos?

3. Confidencialidad: 驴Puedo proteger los datos confidenciales para que no sean revelados a prop贸sito o accidentalmente por creadores y corredores de bot?

4. Control: 驴Estoy controlando el acceso y protegiendo las cuentas privilegiadas que utilizan el sistema de rob贸tica y los usuarios?

馃敆Riesgos comunes dentro de RPA

馃敆Abuso de acceso privilegiado

Un atacante compromete una cuenta de usuario altamente privilegiada utilizada por algunos bots para obtener acceso a datos confidenciales y moverse lateralmente dentro de una red.

Una persona interna maliciosa entrena a un bot para destruir datos de alto valor, interrumpiendo su funci贸n prevista y el flujo de operaciones.

馃敆Divulgaci贸n de datos confidenciales.

Un creador de bots entrena por error a un bot para cargar informaci贸n de tarjeta de cr茅dito a una base de datos accesible a trav茅s de la web.

Un creador de bot aprovecha una cuenta gen茅rica para robar propiedad intelectual sensible, lo que hace dif铆cil, si no imposible, identificar la verdadera fuente de la fuga.

馃敆Vulnerabilidades de software

Existe una vulnerabilidad en el software de rob贸tica que proporciona a los atacantes acceso remoto a la red de una organizaci贸n.

Un creador de bots entrena a un bot para manejar datos confidenciales del cliente, pero no asegura / encripta la transmisi贸n de esos datos a/desde la nube.

馃敆Negaci贸n de servicio

Un bot est谩 programado para ejecutarse en secuencia r谩pida, lo que resulta en agotar todos los recursos del sistema disponibles y detener todas las actividades del bot.

El controlador de bot se interrumpe debido a una interrupci贸n no planificada de la red, el servicio o el sistema, lo que resulta en una p茅rdida de productividad, que no se reemplaza f谩cilmente con trabajo humano.

馃敆Identidad digital y gesti贸n de acceso

Mejore la auditabilidad (cada paso puede registrarse) y controle las actividades manuales propensas a errores que pueden acceder y elevar el riesgo y el incumplimiento.

Gestionar privilegios de acceso de usuarios / segregaci贸n de funciones; por ejemplo, el uso de plataformas de seguridad especializadas que autorizan a los bots a realizar solo las tareas que se les asignan.

Implementar controles de seguridad para proteger las credenciales durante el tiempo de ejecuci贸n de la sesi贸n rob贸tica; por ejemplo, el uso del inicio de sesi贸n 煤nico (SSO) con el protocolo ligero de acceso a directorios (LDAP) admite el inicio de sesi贸n seguro en la interfaz RPA.

Haga cumplir las contrase帽as de manera consistente en las sesiones rob贸ticas y centralice la identidad rob贸tica y el proceso de administraci贸n de acceso; aprovechar los administradores de credenciales cifradas para evitar la fuga de credenciales.

馃敆Identificaci贸n y protecci贸n de datos.

Llevar a cabo una evaluaci贸n de cumplimiento de las regulaciones de datos para el uso de la rob贸tica y la automatizaci贸n.

Monitoreo de datos sensibles procesados por rob贸tica / automatizaci贸n para verificar el cumplimiento de las pol铆ticas de uso

Comprobaci贸n de integridad de rob贸tica y c贸digo de automatizaci贸n.

馃敆Operaciones de seguridad

Recopilar datos de registro del controlador y los corredores de bot para proporcionar un seguimiento de auditor铆a de actividades, monitorear picos anormales en la actividad, acceso a sistemas y uso de cuentas privilegiadas.

Realice un escaneo de vulnerabilidades de su plataforma de rob贸tica y ejecute ejercicios de modelado de amenazas de sesiones de rob贸tica para determinar debilidades t茅cnicas o brechas de proceso.

馃敆Software y seguridad del producto

Realice un an谩lisis de riesgos de la arquitectura de seguridad de las soluciones RPA elegidas, incluida la creaci贸n, el control y la ejecuci贸n de bot. Identifique fallas de la arquitectura de seguridad en el producto subyacente para conexiones en varios entornos, uso de metodolog铆as de virtualizaci贸n y fallas de autorizaci贸n.

Realice una revisi贸n segura del dise帽o, incluido el an谩lisis del flujo de datos para verificar que los controles en torno a la seguridad est茅n integrados en la autenticaci贸n, autorizaci贸n y validaci贸n de entrada del bot.

Integre las herramientas de escaneo de seguridad como parte del proceso de creaci贸n de bot para escanear el c贸digo creado en el back-end en busca de vulnerabilidades de seguridad.

Scan bot creado para detectar vulnerabilidades de seguridad utilizando pruebas din谩micas o tecnolog铆a de fuzzing de seguridad para determinar fallas de seguridad

馃敆Amenazas de la vida real: escenarios y detalles

馃敆Mala gobernanza de RPA

ESCENARIO:

Su empresa ha estado utilizando RPA durante un tiempo y ha decidido evaluar los riesgos de TI a trav茅s de una auditor铆a independiente. Una conocida empresa de consultor铆a prepar贸 un informe que revela que el costo estimado para la reparaci贸n de problemas existentes con RPA es igual al ingreso neto de su empresa durante el a帽o pasado, debido a muchos deficientemente dise帽ados, de fabricaci贸n propia y de baja calidad. Hay RPA existentes en numerosos departamentos de toda la empresa.

DETALLES DE AMENAZA:

Hoy en d铆a, las empresas luchan por descubrir sus activos adecuadamente debido a la falta de recursos. Adem谩s, hay una gran cantidad de aplicaciones heredadas, que son dif铆ciles de administrar, mantener y proteger. Los RPA se crean para facilitar su creaci贸n, incluso para el personal que no es de TI. Si no se construyen controles en torno a la tecnolog铆a, las organizaciones pueden enfrentar una gran cantidad de robots de software creados en un per铆odo corto, lo que plantea riesgos operativos significativos.

馃敆Brechas en los controles de IAM

ESCENARIO:

Los datos de su sistema de Gesti贸n de la relaci贸n con el cliente (CRM) fueron robados recientemente y luego vendidos en el mercado negro. Despu茅s de una investigaci贸n de seguridad, parece que la causa ra铆z de la reciente violaci贸n de datos fue el fraude interno. De hecho, los datos se extrajeron a trav茅s de RPA, creado en un departamento administrativo por un ex empleado.

DETALLES DE AMENAZA:

Hay algunas formas f谩ciles de administrar las credenciales para RPA, como hacer que los robots funcionen bajo las cuentas de los empleados o mediante un usuario t茅cnico compartido. Debe quedar claro que estas pr谩cticas est谩n lejos de ser la mejor opci贸n desde el punto de vista de la seguridad.

La incapacidad de establecer pr谩cticas de IAM unificadas, seguras y eficientes para los robots de software resultar谩 en una carga operativa, proporcionar谩 oportunidades de fraude interno, conducir谩 al incumplimiento de los requisitos de Segregaci贸n de Deberes (SoD) internos / regulatorios y aumentar谩 la susceptibilidad a ataques de piratas inform谩ticos.

馃敆Falta de continuidad del negocio

ESCENARIO:

Por tercer d铆a consecutivo, su empresa no puede procesar los pedidos de los clientes. El RPA que gestion贸 el procesamiento de las solicitudes de los clientes que llegan a trav茅s de una plataforma en l铆nea ha dejado de funcionar, por una raz贸n desconocida. Los empleados restantes del departamento no pueden hacer frente a la carga de trabajo.

DETALLES DE AMENAZA:

Una vez introducidos, los robots de software pueden convertirse en un punto 煤nico de falla para el procesamiento de negocios, flujo de trabajo o recursos. Si las RPA no est谩n cubiertas adecuadamente por un programa de continuidad del negocio, la falla de un solo robot de software podr铆a generar una situaci贸n de crisis para su empresa.

馃敆Gesti贸n inadecuada del cambio

ESCENARIO:

Hoy su empresa vendi贸 100 veces m谩s productos que en cualquier otro d铆a del a帽o pasado. Los pedidos fueron aceptados y procesados a un precio mucho m谩s bajo que el definido en su sitio web. Adem谩s, algunos de esos pedidos ya han sido enviados. Lo bueno es que el soporte de TI ha descubierto el caso ra铆z: fue el raspado de datos incorrecto realizado por el RPA despu茅s de la reciente actualizaci贸n del sistema CRM, lo que ha afectado la posici贸n de algunas filas de datos en la GUI.

DETALLES DE AMENAZA:

Los robots de software como una clase de activo adicional deben estar representados en el proceso / procedimientos de gesti贸n de cambios. De lo contrario, junto con la ausencia de dependencias documentadas en otros componentes de software, se producir谩 la falta de disponibilidad del servicio y / o errores en el procesamiento. Es a煤n m谩s complicado con las RPA cognitivas, ya que requieren un enfoque espec铆fico para la gesti贸n del cambio como cualquier otro algoritmo de aprendizaje autom谩tico. El c贸digo autoinfligido y los cambios de algoritmo introducidos al procesar nuevos conjuntos de datos representan un punto adicional de posibles fallas.

馃敆Gesti贸n iandecuada de vulnerabilidades

ESCENARIO:

El equipo rojo est谩 llegando a usted con un problema urgente que han identificado durante la reciente prueba realizada sobre el per铆metro de la red de la compa帽铆a. Parece que hay una vulnerabilidad en el mecanismo de actualizaci贸n de inserci贸n para el software gratuito RPA soft. Ha existido durante mucho tiempo y el proveedor de software a煤n no lo ha remediado. Esta aplicaci贸n es ampliamente utilizada para crear robots en unos pocos departamentos. La investigaci贸n ha descubierto otro problema adicional, las contrase帽as RPA almacenadas en texto sin cifrar.

DETALLES DE AMENAZA::

Tanto el software RPA como las instancias RPA representan una superficie de amenaza adicional. Teniendo en cuenta la r谩pida adopci贸n de la tecnolog铆a rob贸tica, es f谩cil predecir que representar谩 una concentraci贸n significativa de riesgos para las empresas en el futuro. Esto eventualmente conducir谩 a un aumento en la existencia de vulnerabilidades.

La gesti贸n de contrase帽as para robots de software es otro tema de debate; Si no se gestiona adecuadamente de acuerdo con los requisitos de la pol铆tica de su empresa, esta deficiencia proporcionar谩 oportunidades de fraude interno y permitir谩 a los piratas inform谩ticos implementar ataques en la amplia gama de procesos una vez que puedan ingresar a su red.

馃敆Inconsistencia de resultados producidos por RPA

ESCENARIO:

Al observar los resultados de la reciente auditor铆a de informes regulatorios para su empresa, le resulta dif铆cil aceptar la gran multa por impuestos incorrectamente informados durante los 煤ltimos dos a帽os. El problema apareci贸 debido a la configuraci贸n incorrecta de las reglas de redondeo, que ocurri贸 durante una actualizaci贸n de software. Los contadores lo habr铆an detectado f谩cilmente antes, pero los informes son manejados actualmente por RPA sin asistencia, que no pudieron hacer lo mismo.

DETALLES DE AMENAZA::

Existen muchos problemas que pueden generar errores en los datos como resultado de la ejecuci贸n automatizada de procesos por parte de RPA.

脡stos son algunos de ellos:

  1. La mala configuraci贸n / errores presentes en RPA.

  2. Cambio imprevisto en el modelo de RPA cognitiva.

  3. La incapacidad del algoritmo RPA para manejar una excepci贸n. Por lo tanto, la falta de una producci贸n adecuada y / o pruebas peri贸dicas ocasionar谩 en alg煤n momento la p茅rdida de la integridad de los datos. Adem谩s, tambi茅n podr铆a ocurrir una p茅rdida de integridad de los datos si las tareas que deben realizar los humanos se asignan a las RPA.

馃敆Da帽o reputable

ESCENARIO:

Los recientes portales de noticias en l铆nea comenzaron una campa帽a contra su empresa debido a los precios sesgados de las tasas de pr茅stamos descubiertos por los periodistas. En el curso de una investigaci贸n reciente realizada por un blogger independiente, se identific贸 una fuerte correlaci贸n entre las tasas de pr茅stamos y el color de la piel del cliente. Usted est谩 m谩s que seguro de que no se tom贸 tal decisi贸n en relaci贸n con el precio. De hecho, las solicitudes de pr茅stamos son procesadas y valoradas autom谩ticamente por el RPA cognitivo recientemente desarrollado, y despu茅s de todo, no se puede saber c贸mo se calcula la tasa.

DETALLES DE AMENAZA:

Los algoritmos de aprendizaje autom谩tico pueden detectar patrones o tomar decisiones que son inaceptables desde un punto de vista 茅tico. Esto es especialmente cierto para las empresas multinacionales. Administrar diferentes culturas podr铆a ser dif铆cil, incluso si se introducen las pruebas adecuadas para los problemas 茅ticos como control. Los probadores simplemente pueden no ser conscientes de todas las peculiaridades potenciales de un entorno cultural espec铆fico. Adem谩s, los riesgos de reputaci贸n pueden aparecer en ciertas circunstancias. Hubo un caso famoso en el que un algoritmo de Uber aument贸 significativamente los precios de las tarifas durante los actos terroristas en Londres, lo que result贸 en un gran esc谩ndalo medi谩tico para la compa帽铆a.

馃敆Protecci贸n de insuficiente de los datos

ESCENARIO:

Los clientes del banco comenzaron a contactar a sus gerentes de relaciones con las quejas sobre una declaraci贸n incorrecta que recibieron por correo electr贸nico durante el 煤ltimo ciclo de distribuci贸n. Como las declaraciones que se han adquirido pertenecen a los otros clientes, algunos de ellos estaban preocupados por la confidencialidad de sus propios datos e informaci贸n personal. Por lo tanto, quer铆an obtener una confirmaci贸n de que no se divulgaron datos confidenciales para sus cuentas. En una etapa posterior, se descubri贸 que un error con el robot que envi贸 por correo electr贸nico declaraciones a los clientes caus贸 la err贸nea distribuci贸n.

DETALLES DE AMENAZA:

La velocidad y la escalabilidad de RPA deben considerarse cuando las actividades relacionadas con el procesamiento de datos confidenciales est谩n automatizadas. En caso de ejecuci贸n manual, existe la posibilidad de que se detecte un error mientras est谩 en progreso, sin embargo, con la rob贸tica no se espera que se generen alertas.

馃敆Aplicando RPA al campo de la Seguridad Cibern茅tica

La rob贸tica puede mejorar la calidad de los informes de seguridad, la puntualidad y el rendimiento. Por ejemplo, las pruebas de postura de seguridad peri贸dicas y automatizadas se pueden alimentar a un proceso integral de informes, proporcionando a los gerentes de tableros de instrumentos las 谩reas de inter茅s destacadas.

En suma, puede contribuir a impulsar las pruebas automatizadas dentro del espacio de seguridad de la informaci贸n. Por ejemplo, dentro de la configuraci贸n, la rob贸tica podr铆a permitir pruebas de cumplimiento m谩s r谩pidas y eficientes para la pol铆tica de configuraci贸n de seguridad en servidores, firewalls, enrutadores y aplicaciones. Las pruebas podr铆an realizarse peri贸dicamente y alimentarse a paneles autom谩ticos, etc.

La rob贸tica se puede aprovechar para automatizar las aplicaciones de descubrimiento e inventario en la empresa. Una vez descubierto, el aprendizaje cognitivo se puede utilizar para automatizar la clasificaci贸n de riesgos de la aplicaci贸n en funci贸n de los datos y controles descubiertos. Adem谩s, los bots se pueden implementar para descubrir y actualizar continuamente el inventario y los controles asociados.

El aprendizaje cognitivo se puede utilizar para realizar verificaciones de puerta para actividades de seguridad en el ciclo de vida de desarrollo de software (SDLC). Los bots pueden recopilar informaci贸n de cada herramienta de gesti贸n de proyectos o mediante sistemas automatizados para identificar cu谩ndo una base de c贸digo se est谩 moviendo a la siguiente fase del SDLC. Las reglas se pueden establecer y alimentar en informes autom谩ticos para el tablero de instrumentos, etc. para comprender si la deuda de seguridad en una aplicaci贸n debe corregirse.

La rob贸tica se puede utilizar para recopilar informaci贸n automatizada sobre las URL y el c贸digo que deben probarse para permitir un an谩lisis eficiente de las aplicaciones en busca de vulnerabilidades. Los bots pueden permitir el escalado eficiente de m煤ltiples aplicaciones al mismo tiempo y completar la clasificaci贸n de Nivel 1 de las vulnerabilidades descubiertas. Los resultados de las pruebas se pueden integrar con las plataformas de desarrolladores existentes para la remediaci贸n a trav茅s de bots de aprendizaje cognitivo.

Otro benefcio consiste en reducir la dependencia de grandes equipos de soporte t茅cnico y operaciones al automatizar la mayor铆a de las tareas de aprovisionamiento / desaprovisionamiento. Puede ofrecer una mejora de hasta 8 veces en los plazos autom谩ticos de cumplimiento de solicitudes en comparaci贸n con el procesamiento manual.

Adems, hay que destacar que contribuye a mejorar la eficiencia y la calidad de la validaci贸n de datos de acceso, lo que permite a los gerentes centrarse en las preocupaciones de acceso de mayor riesgo durante el proceso de revisi贸n. Tambi茅n se puede entrenar para redactar y enviar notificaciones de confirmaci贸n a los usuarios si se detectan anomal铆as al realizar validaciones de datos.

馃敆Detecci贸n de p茅rdida de datos y remediaci贸n

El aprendizaje cognitivo se puede aplicar para mejorar la precisi贸n de la vigilancia de amenazas internas y p茅rdida de datos. Una vez que se descubren problemas a trav茅s de la supervisi贸n de p茅rdida de datos, los controles de seguridad de datos se pueden implementar autom谩ticamente para remediar los sistemas ofensivos y evitar problemas futuros.

馃敆Detecci贸n de amenazas y respuesta

La rob贸tica se puede utilizar para recopilar informaci贸n relevante sobre amenazas y datos t茅cnicos para permitir un an谩lisis r谩pido y eficiente de malware y alertas de amenazas. Una vez reunida, la l贸gica rob贸tica puede ayudar a automatizar el proceso de clasificaci贸n de Nivel 1 para tomar decisiones sobre cu谩ndo y c贸mo responder. Adem谩s, se pueden tomar acciones automatizadas para coordinar la reparaci贸n de incidentes.

馃敆Exposici贸n a amenazas y gesti贸n de vulnerabilidades

La rob贸tica puede mejorar la eficiencia y la calidad del programa de amenazas y vulnerabilidades, ayudando a comprender las vulnerabilidades empresariales y priorizando las actividades de reparaci贸n. Luego se puede aprovechar para notificar autom谩ticamente a los administradores de sistemas y aplicaciones sobre las actividades de remediaci贸n y realizar la validaci贸n para rastrear el cumplimiento.

  • Este documento es el resultado de las actividades de Design Thinking realizadas en Cross Entropy Solutions, lideradas por David Katz y Lucian Ditulsecu, nuestro consultor de seguridad.

Otras publicaciones