0

¿Cómo se asegura la nube?

Seguridad_NubeNuevos datos señalan una manera

La marcha hacia la nube de datos y servicios ha hecho que muchas empresas reconsideren su enfoque hacia la ciberseguridad. ¿Necesitan una estrategia de seguridad en la nube? ¿Qué es diferente acerca de una estrategia de seguridad en la nube? Dos encuestas recientes arrojaron luz sobre cómo están cambiando las estrategias de seguridad y, lo que es más importante, cómo deberían cambiar.

Poner más infraestructura de TI en la nube es de alguna manera más seguro que tenerla en casa. Por ejemplo, puede estar razonablemente seguro de que el sistema está ejecutando la última versión con los parches adecuados en su lugar. Los proveedores de servicios en la nube también están desarrollando nuevas capacidades, como el uso del lenguaje de máquina para la detección de anomalías. Sin embargo, también presenta nuevos riesgos, algunos de los cuales son el resultado de un malentendido acerca de cómo administrar la seguridad de la nube.

Es importante saber cómo la estrategia de TI en la nube de una empresa, ya sea híbrida, privada o pública, afecta su estrategia de seguridad cibernética y la ejecución táctica de esa estrategia.

¿Cuál es el riesgo de seguridad de la nube?
Los datos del proveedor de seguridad en la nube Alert Logic muestran la naturaleza y el volumen de riesgo para cada forma de entorno de nube en comparación con un centro de datos local. Durante 18 meses, la empresa analizó 147 petabytes de datos de más de 3.800 clientes para cuantificar y categorizar los incidentes de seguridad. Durante ese tiempo, identificó más de 2,2 millones de incidentes de positivos verdaderos. Los hallazgos clave incluyen:

– Los entornos de nube híbrida experimentaron el mayor número promedio de incidentes por cliente con 977, seguidos por la nube privada alojada (684), el centro de datos local (612) y la nube pública (405).
– De lejos, el tipo de incidente más común fue un ataque de aplicación web (75%), seguido de ataque de fuerza bruta (16%), reconocimiento (5%) y ransomware del lado del servidor (2%).
– Los vectores más comunes para los ataques de aplicaciones web fueron SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) y Magento (6,98%).
– WordPress fue el objetivo de fuerza bruta más común con un 41%, seguido de MS SQL con un 19%.

Sea que se trate de un entorno de nube pública, privada o híbrida, las amenazas a las aplicaciones web son dominantes. Lo que es diferente entre ellas es el nivel de riesgo que enfrenta. “Como defensores, en Alert Logic nuestra capacidad para proteger efectivamente la nube pública también es más alta, porque vemos una mejor relación señal/ruido y perseguimos menos ataques ruidosos”, señala Misha Govshteyn, cofundador de Alert Logic. “Cuando vemos incidentes de seguridad en entornos de nube pública, sabemos que tenemos que prestar atención, porque en general son más silenciosos”.

Los datos muestran que algunas plataformas son más vulnerables que otras. “Esto aumenta su superficie de ataque a pesar de sus mejores esfuerzos”, anota Govshteyn. Como ejemplo, señala que “a pesar de la creencia popular”, la pila LAMP ha sido mucho más vulnerable que la pila de aplicaciones basada en Microsoft. También ve las aplicaciones PHP como un punto de acceso.

“Los sistemas de gestión de contenido, especialmente WordPress, Joomla y Django, se utilizan como plataformas para aplicaciones web mucho más de lo que la mayoría de la gente piensa, y tienen numerosas vulnerabilidades”, indica Govshteyn. “Es posible mantener estos sistemas seguros, pero solo si entiende qué marcos web y plataformas suelen usar sus equipos de desarrollo. La mayoría de las personas de seguridad apenas prestan atención a estos detalles y toman decisiones basadas en suposiciones erróneas”.

Para minimizar el impacto de las amenazas a la nube, Alert Logic tiene tres recomendaciones principales:

Confíe en la lista blanca de aplicaciones y bloquee el acceso a programas desconocidos. Esto incluye hacer evaluaciones de riesgo vs. valor para cada aplicación utilizada en la organización.

Comprenda su propio proceso de parches y priorice la implementación de los mismos.

Restrinja los privilegios administrativos y otorgue acceso según las obligaciones actuales del usuario. Esto requerirá mantener actualizados los privilegios para las aplicaciones y los sistemas operativos.

Cómo proteger la nube
Según una encuesta realizada por la empresa investigadora del mercado VansonBourne y patrocinado por el proveedor de soluciones de monitoreo de red Gigamon, el 73% de los encuestados espera que la mayoría de sus cargas de trabajo de aplicaciones se encuentren en la nube pública o privada. Sin embargo, el 35% de los encuestados esperan manejar la seguridad de la red “exactamente de la misma manera” que lo hacen para sus operaciones locales. El resto, aunque es reacio a cambiar, cree que no tiene más remedio que cambiar su estrategia de seguridad para la nube.

De hecho, no todas las empresas están migrando datos confidenciales o críticos a la nube, por lo que para ellos hay menos razones para cambiar de estrategia. Sin embargo, la mayoría de las empresas están migrando información crítica y patentada de la compañía (56%) o activos de mercadotecnia (53%). El 47% espera tener información de identificación personal en la nube, lo que tiene implicaciones debido a las nuevas regulaciones de privacidad como el GDPR de la UE.

Las empresas deberían centrarse en tres áreas principales para su estrategia de seguridad en la nube, de acuerdo con Govshteyn:

1. Herramientas. Las herramientas de seguridad que implemente en entornos de nube deben ser nativas de la nube y deben poder proteger las aplicaciones web y las cargas de trabajo en la nube. “Las tecnologías de seguridad formuladas para la protección de puntos finales se centran en un conjunto de vectores de ataque que no se ven comúnmente en la nube y están mal equipados para lidiar con las 10 principales amenazas de OWASP, que constituyen el 75% de todos los ataques en la nube”, señala Govshteyn. Él añade que las amenazas finales se dirigen a los navegadores web y al software cliente, mientras que las amenazas a la infraestructura se dirigen a los servidores y marcos de aplicaciones.

2. Arquitectura. Defina su arquitectura en torno a los beneficios de seguridad y administración que ofrece la nube, no la misma arquitectura que usa en sus centros de datos tradicionales. “Ahora tenemos datos que muestran que los entornos públicos puros permiten a las empresas experimentar tasas de incidentes más bajas, pero esto solo se puede lograr si utiliza las capacidades de la nube para diseñar una infraestructura más segura”, comenta Govshteyn. Él recomienda que aísle cada aplicación o micro servicio en su propia nube privada virtual, lo que reduce el radio de explosión de cualquier intrusión. “Los incumplimientos importantes como los de Yahoo comenzaron con aplicaciones web triviales como el vector de entrada inicial, por lo que las aplicaciones menos importantes a menudo se convierten en su problema mayor”. Además, no aplique vulnerabilidades en sus implementaciones en la nube. En su lugar, implemente una nueva infraestructura en la nube que ejecute el código más reciente y desmantele su infraestructura anterior. “Solo puede hacer esto si automatiza sus implementaciones, pero obtendrá el nivel de control sobre su infraestructura que nunca podría alcanzar en los centros de datos tradicionales”, señala Govshteyn.

3. Puntos de conexión. Identifique los puntos en los que las implementaciones en la nube están interconectadas con los centros de datos tradicionales que ejecutan el código heredado. “Es probable que esa sea su mayor fuente de problemas, ya que vemos una clara tendencia a que las implementaciones híbridas en la nube tienden a ver la mayoría de los incidentes de seguridad”, comenta.

No todo lo relacionado con la estrategia de seguridad existente de una empresa debe cambiar para la nube. “Usar la misma estrategia de seguridad, por ejemplo, inspección profunda de contenido para análisis forense y detección de amenazas, para la nube como en las instalaciones no es una mala idea en sí misma. Las empresas que persiguen esto normalmente buscan coherencia entre sus arquitecturas de seguridad para limitar las brechas en su postura de seguridad”, señala Tom Clavel, gerente senior de marketing de productos en Gigamon.

“El desafío es cómo obtienen acceso al tráfico de la red para este tipo de inspección”, agrega Clavel. “Si bien estos datos están disponibles en las instalaciones de una variedad de formas, no están disponibles en la nube. Además, incluso si obtienen acceso al tráfico, transfiriendo la fuente de información a las herramientas locales para su inspección, sin la inteligencia es extremadamente costoso y contraproducente”.

Los problemas de visibilidad de la nube
Una queja que tuvieron los encuestados de VansonBourne fue que la nube puede crear puntos ciegos dentro del panorama de seguridad. En general, la mitad dijo que la nube puede “esconder” información que les permite identificar amenazas. También dijeron que, con la nube, también les falta información sobre lo que se está cifrando (48%), las aplicaciones inseguras o el tráfico (47%) o la validez del certificado SSL / TLS (35%).

Un entorno de nube híbrida puede dificultar aún más la visibilidad, ya que puede evitar que los equipos de seguridad vean dónde se almacenan realmente los datos, según el 49% de los encuestados. Los datos cifrados, algunos en manos de las operaciones de seguridad y otros de las operaciones de la red, pueden empeorar aún más la búsqueda de datos, afirmó el 78% de los encuestados.

No son solo datos sobre los que los equipos de seguridad tienen visibilidad limitada. 67% de los encuestados de VansonBourne dijeron que los puntos ciegos de la red fueron un obstáculo para proteger a su organización. Para obtener una mejor visibilidad, Clavel recomienda que identifique primero cómo desea organizar e implementar su postura de seguridad. “¿Está todo dentro de la nube o se extiende desde las instalaciones a la nube? En ambos casos, asegúrese de que la visibilidad generalizada del tráfico de la red de su aplicación sea fundamental para su estrategia de seguridad. Cuanto más ve, más puedes asegurar”, señala.

“Para abordar las necesidades de visibilidad, identifique una forma de adquirir, agregar y optimizar el tráfico de red a sus herramientas de seguridad, ya sea un sistema de detección de intrusos (IDS, por sus siglas en inglés), información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés), análisis forense, prevención de pérdida de datos (DLP, por sus siglas en inglés), detección avanzada de amenazas (ATD, por sus siglas en inglés), o para todos ellos al mismo tiempo”, agrega Clavel. “Finalmente, agregue los procedimientos de SecOps para automatizar la visibilidad y la seguridad contra amenazas detectadas incluso a medida que crece su huella en la nube”.

Estos puntos ciegos y poca visibilidad de la información podrían crear problemas de cumplimiento GDPR. 66% de los encuestados dicen que la falta de visibilidad dificultará el cumplimiento de la GDPR. Solo el 59% cree que sus organizaciones estarán listas para GDPR antes de la fecha límite de mayo de 2018.

¿Ayudará el aprendizaje automático?
Los proveedores de servicios en la nube están trabajando para mejorar la capacidad de los clientes para identificar y abordar posibles amenazas. Amazon Web Services (AWS), por ejemplo, anunció dos servicios en el 2017 que se basan en el aprendizaje automático para proteger los activos de los clientes.

En agosto, AWS anunció su servicio Macie centrado principalmente en el cumplimiento de PCI, HIPAA y GDPR. Entrena el contenido de los usuarios en los contenedores de Amazon S3 y alerta a los clientes cuando detecta actividad sospechosa. AWS GuardDuty, anunciado en noviembre, utiliza aprendizaje automático para analizar AWS CloudTrail, VPC Flow Logs y AWS DNS logs. Al igual que Macie, GuardDuty se centra en la detección de anomalías para alertar a los clientes sobre actividades sospechosas.

La efectividad del aprendizaje automático depende de los modelos, que consisten en un algoritmo y datos de entrenamiento. El modelo es tan bueno como los datos en los que se capacitó; cualquier evento que quede fuera de los datos en el modelo probablemente no sea detectado por un servicio como Macie o GuardDuty.

Dicho esto, un proveedor de seguridad en la nube como AWS tendrá un conjunto de datos mucho más rico para trabajar que cualquier otro cliente individual. AWS tiene visibilidad en toda su red, por lo que es mucho más fácil capacitar a su modelo de aprendizaje automático sobre lo que es normal y lo que podría ser malicioso. Sin embargo, los clientes deben comprender que el aprendizaje automático no detectará las amenazas que quedan fuera de los datos de capacitación en el modelo de aprendizaje automático. No pueden confiar solo en el servicio como Macie y GuardDuty.

¿A quién pertenece la seguridad de la nube?
Dado lo que está en juego, no sorprende que el 62% de los encuestados expresaran su deseo de que sus centros de operaciones de seguridad (SOCs, por sus siglas en inglés) controlen el tráfico y los datos de la red para garantizar una protección adecuada en un entorno de nube. La mitad de ellos se conformaría con el conocimiento del tráfico y los datos de la red.

Obtener el control, o incluso la visibilidad total, puede ser un desafío para muchas organizaciones debido a la estructura de los grupos que administran el entorno de la nube. Mientras que las operaciones de seguridad son responsables de la seguridad en la nube para el 69% de las organizaciones de los encuestados, las operaciones en la nube (54%) o las operaciones de red también están involucradas. Esto ha resultado en confusión sobre quién está liderando la seguridad en la nube y cómo deben colaborar los equipos. De hecho, el 48% de los encuestados dijo que la falta de colaboración entre los equipos es el obstáculo más grande para identificar y reportar una infracción.

“A menudo, las empresas dividen las responsabilidades entre la red, la seguridad y la nube”, señala Clavel. “Cada uno tiene presupuestos distintos, propiedad distinta e incluso distintas herramientas para administrar estas áreas. Obtener visibilidad de la nube para asegurarla requiere derribar los muros de comunicación entre estas tres organizaciones. Las mismas herramientas de seguridad que se implementan en las instalaciones también podrán proteger la nube, por lo que los equipos de seguridad y nube necesitan comunicarse”.

¿Qué tipo de persona debe tomar punto en la seguridad de la nube de la organización? Tendrá que ser alguien o un equipo con las habilidades y la capacidad adecuadas para comprometerse a largo plazo. “Encuentre a la persona o al equipo capaz de avanzar hacia los nuevos paradigmas de seguridad en la nube más rápidamente, y permita que desarrollen su estrategia de seguridad durante los próximos tres a cinco años”, señala Govshteyn.

“En los últimos años, esto tiende a ser el equipo de operaciones de TI o el equipo de seguridad de una empresa, pero siempre hay un colaborador individual a nivel de arquitecto o un equipo dedicado de seguridad en la nube en el centro de este esfuerzo. Esta nueva generación de profesionales de seguridad puede escribir código, dedicar más del 80% de su tiempo a automatizar sus trabajos y ver a los equipos de desarrollo como sus pares, en lugar de adversarios”, indica Govshteyn, y agrega que para las empresas de tecnología la seguridad a veces es una función del equipo de ingeniería.

Aunque las juntas directivas están tomando un gran interés en la seguridad en estos días, no ayudarán al nivel del piso. “En realidad, gran parte de la toma de decisiones críticas en lo que respecta a la seguridad de la nube hoy proviene de los técnicos capaces de mantenerse al ritmo de los rápidos cambios en la nube pública”, señala.

Complicando aún más la tarea de asegurar la nube para más de la mitad (53%) de los encuestados está el hecho de que sus organizaciones no han implementado una estrategia o marco en la nube. Si bien casi todas esas organizaciones planean hacerlo en el futuro, no está claro quién lidera esa iniciativa.

“Las herramientas de seguridad y monitoreo también podrán aprovechar la misma plataforma de entrega de seguridad para una mayor flexibilidad, por lo que la red, la seguridad y la nube también deben aceptar compartir la responsabilidad de la plataforma de entrega de seguridad”, afirma Clavel. “Las empresas que consolidan sus actividades de seguridad y monitoreo, como parte del SOC, o al menos establecen presupuestos comunes y comparten la propiedad de una plataforma de entrega de seguridad, son recompensadas con una mejor flexibilidad, una toma de decisiones más rápida y una seguridad constante en las instalaciones e implementaciones en la nube”.

Michael Nadeau, CSOonline.com – CIOPeru.pe

Ordenado por: Nube Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 5859 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB