+Seguridad en Videsk

Te contamos nuevas funciones que añadirán capas extras de seguridad como 2FA y restricciones por IP para nuestros clientes.

+Seguridad en Videsk

En este post veremos nuevas actualizaciones lanzadas que están relacionadas a entregar más seguridad a nuestros clientes.

Algunas de estás funciones son:

  • 2FA (Autenticación de dos pasos)
  • Políticas de acceso por IP
  • Políticas de inicio de sesión fallidos

Todas estas funciones desarrolladas desde la perspectiva OWASP. Y lo mejor es que son personalizables según los requerimientos de cada organización.

¿Cómo era la seguridad antes?

Videsk desde su inicio ha sido una plataforma extensible e integrable a múltiples entornos, esto gracias a tener una arquitectura 100% Rest API.

¿Qué significa que sea 100% Rest API?
Que ninguna función está atada a interfaz visual, por lo que al ser una interfaz programática consumible mediante peticiones HTTP (en otras palabras, como cargas un sitio comúnmente) puede ser utilizado en cualquier entorno, web, móvil, escritorio, IoT, etc.

Eso nos ha permitido, desde el día cero, enfocarnos en proteger accesos, recursos y datos desde la puerta de entrada, es decir, la Rest API. Siendo la interfaz visual un método accesible para nuestros clientes (inclusive sin conocimiento en programación) a todas las funciones de Videsk. Por ejemplo, una de las más básicas, pero complejas en términos de seguridad, es el inicio de sesión.

En Videsk no existen sesiones. ¿Y cómo los usuarios mantienen la sesión iniciada? Con tokens JWT que representan claves con expiración basada en el tiempo, que tienen como utilidad el demostrar a nuestra Rest API que realmente tienes la autorización necesaria para intercambiar datos y efectuar acciones como: crear, editar, eliminar y buscar (para los más entendidos CRUD).
¿Cómo los obtienes? Iniciando sesión con tu usuario y contraseña.

Es en este último punto en dónde encontramos el foco de esta actualización.

+ Seguridad

Si bien desde hace tiempo nuestros clientes han iniciado sesión solo con su usuario y contraseña, no es 100% seguro debido a que es común que se configuren contraseñas débiles, se dejan anotadas en post-it o libretas de acceso público, o sean expuestas en hackeos (de otras plataformas 🙄).

Es por este motivo que, con deseos de proveer de mayor seguridad a nuestros clientes, hemos lanzado la autenticación de dos factores (2FA).


2FA

¿Qué es el 2FA? Es un método que protege a las cuentas mediante una segunda contraseña, que en nuestro caso rota cada 30 segundos, la cual es solicitada luego de ingresar con un usuario y contraseña válido.

Esto permite, que aunque una contraseña se vea comprometida, el posible atacante necesitará de esta segunda clave, que rota cada 30 segundos, para ingresar a la cuenta en cuestión. Lo que por supuesto dificulta enormemente la tarea del posible atacante.

Vista de activación de 2FA

Para los curiosos, esto no es nuevo ya que existen varios tipos de 2FA, nosotros usamos TOTP la cual representa su validez basado en tiempo. Probablemente ya hayas usado este tipo de autenticación con tu banco llamados digipass o digicard, la cual esta basada en HOTP.

Esta función 2FA esta disponible para todos los usuarios de Videsk y de forma completamente gratuita!

De hecho, en Videsk contamos con la política interna que todas las cuentas de servicio de terceros que utilicemos cuenten con 2FA y estén activas para cada uno del equipo. Ahora nuestra plataforma no es la excepción.


Restricciones por IP

Cómo dice su nombre, la nueva función provee la capacidad a los equipos de ciberseguridad, asignar cuáles direcciones IP son autorizadas para acceder ya sea al panel de administración (dashboard) y/o consola de agentes. Es decir, una organización podrá definir que uno o varios usuarios solo podrán acceder a Videsk en la red de la oficina y/o mediante una VPN.

Esta función aplica tanto para el inicio de sesión y posterior acceso a todos los recursos de Videsk, es decir, no es posible para un usuario iniciar sesión en la red definida y luego cambiar de red manteniendo libre acceso a los recursos.

La restricción de IP es compatible con direcciones IPv4 e IPv6.

Listado de direcciones permitidas y usuarios asociados.

Políticas de inicio de sesión fallido

Si bien anteriormente detectábamos inicio de sesiones sospechosas mediante una plataforma con análisis de registros, solo nos alertaba siendo un procedimiento manual.

Esto nos dio la capacidad de entender mucho mejor como proteger un inicio de sesión frente a los conocidos "brute force attacks" o ataques de fuerza bruta, que intentan mediante diccionarios de contraseñas y herramientas probar diferentes contraseñas hasta dar con la correcta.

Basado en lo anterior, es que se adicionó un algoritmo con políticas que bloquea y ralentiza cada intento de inicio de sesión para una IP determinada, basado en su comportamiento. Esto permite que nuestra API sea capaz de defenderse a ataques de fuerza bruta siendo en cada intento más costoso para el atacante y finalmente siendo bloqueado. Todo lo anterior basado en recomendaciones de la fundación OWASP.

Blocking Brute Force Attacks Control | OWASP Foundation
Blocking Brute Force Attacks on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
Slow Down Online Guessing Attacks with Device Cookies | OWASP
Slow Down Online Guessing Attacks with Device Cookies on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

Inclusive, somos capaces de no bloquear la cuenta de un usuario legítimo (esto es otro tipo de ataque), para evitar que por ejemplo, un administrador o agente no logre acceder a su cuenta por ataques de terceros.


Conclusión

Si bien las funciones que mencionamos añaden seguridad a Videsk, esto no significa que antes no existiese o no fuera relevante la seguridad, al contrario! Estas son solo funciones que se agregan a nuestras medidas de seguridad y que además son configurables por nuestros clientes, para lograr sumar nuevas y mejores capas de seguridad y que a su vez sean fáciles de configurar dependiendo de cada requerimiento o necesidad de nuestros clientes.

Por lo tanto, es importante remarcar que desde el día cero nos hemos preocupado que a nivel de organización, aplicación, infraestructura y de red se desarrolle bajo un enfoque basado en la ciberseguridad. Hoy nuestros clientes pueden definir su propio nivel de seguridad basados en sus propios intereses.

Ya puedes activar 2FA desde tu cuenta y añadir restricciones de IP en tu panel de administración en simples clics.

Si te interesa conocer más información sobre Videsk y/o nuestra seguridad, agenda una reunión con nosotros aquí.

Meetings
Agenda una reunión con nosotros hoy!