Aceptar el riesgo de la nube: el primer paso para hacerla más segura

Aceptar el riesgo de la nube: el primer paso para hacerla más segura

Dada la necesidad de crear y desarrollar sistemas que ayuden en los procesos, la infraestructura y el negocio de las organizaciones, la computación en nube y la virtualización ya forman parte de la realidad de la mayoría de las empresas.

El inconveniente de estas tecnologías y avances es la exposición de los datos y los accesos indebidos, resultantes de una serie de factores que suponen un reto para su gestión, como: configuraciones incorrectas, fugas de credenciales y desarrollo no seguro.

Los atacantes se aprovechan de estos problemas y piratean las infraestructuras de empresas de todo el mundo, extrayendo documentos y exigiendo un pago para no filtrar dicha información, como en los casos de creciente ransomware en los que los hackers dejan a las empresas no funcionales o parcialmente inoperativas.

Seguridad y preocupaciones

Varias organizaciones han adoptado la computación en nube en diversos grados en sus negocios, especialmente durante el periodo de pandemia, acelerando significativamente su uso de proveedores públicos de servicios de infraestructura y plataformas en nube, con el objetivo de escalar y ser más ágiles.

Estos esfuerzos eran necesarios para apoyar el trabajo a distancia, impulsar el negocio y comprender la creciente superficie de ataque de los hackers en el entorno corporativo.

Sin embargo, esta adopción conlleva la necesidad de garantizar que la estrategia de seguridad en la nube de la organización sea capaz de proteger frente a las principales amenazas.

Así lo confirma el Índice Global de Riesgo Cibernético (IRC). Según el estudio, en lo que respecta a la infraestructura informática, las organizaciones están más preocupadas por los empleados remotos y la computación en nube, con una puntuación calificada de "alto riesgo" de ataques de hackers. Las organizaciones estadounidenses sitúan su puntuación de riesgo de computación en la nube en 9,87 sobre 10.

Esto demuestra que las empresas siguen teniendo dificultades para proteger sus inversiones digitales. La encuesta también reveló que el 76 % de las organizaciones mundiales creen que serán atacadas con éxito en los próximos 12 meses.

Y la cosa no acaba ahí. En una encuesta realizada por Checkpoint, las empresas respondieron qué es lo que más les preocupa a la hora de utilizar la computación en nube:

1. Configuración incorrecta;
2. Acceso no autorizado;
3. Interfaces inseguras;
4. Secuestro de cuentas.

encuesta realizada por Checkpoint

1. Mala configuración

La falta de visibilidad de la infraestructura completa y de familiaridad con los controles de seguridad en entornos de nube son puntos relevantes en lo que respecta a esta cuestión. Muchas organizaciones migran su infraestructura a la nube y encuentran dificultades para realizar las configuraciones de seguridad adecuadas, convirtiéndose en objetivo de explotación por parte de los actores de amenazas.

2. Acceso no autorizado

Como vector de ataque en auge en los últimos ataques, las empresas corren peligro cuando se filtran las credenciales y se utilizan para acceder indebidamente a los sistemas por parte de los actores de la amenaza, así como cuando se utilizan configuraciones predeterminadas o incluso incorrectas que permiten dicho acceso. A diferencia de una infraestructura local, el entorno de la nube se encuentra fuera del perímetro de la red y se puede acceder a él directamente a través de Internet, lo que facilita la explotación de este vector.

3. Interfaces inseguras

Las interfaces de acceso de los usuarios y las API son también objetivos de los atacantes, que actúan con malicia analizando cómo una determinada interfaz de aplicación puede ser vulnerable y aprovechando también la exposición de los datos de ciertas API, así como las debilidades de sus implementaciones.

4. Secuestro de cuentas

Muchas personas tienen una seguridad de contraseñas extremadamente débil y utilizan la misma combinación en varios otros sistemas. Se trata de un problema extremadamente grave, ya que un atacante con las credenciales de un empleado puede acceder a datos o funcionalidades sensibles de aplicaciones o servidores. Además, en la nube, las organizaciones no suelen tener la capacidad de identificar y responder a estas amenazas con la misma eficacia que en la infraestructura local.

También según la investigación, Microsoft Azure y AWS están a la cabeza de los servicios en la nube, razón por la que son tan estudiados por los atacantes como forma de identificar los puntos más débiles susceptibles de intrusión. Muchas empresas utilizan más de un proveedor de servicios en la nube, lo que amplía aún más el espectro de opciones que un atacante puede explotar en función de sus habilidades.

encuesta realizada por Checkpoint

Virtualización

Muchas organizaciones utilizan también la virtualización para tener una visibilidad centralizada y una gestión simplificada de hosts y servidores. Sin embargo, la virtualización también es un gran objetivo para los atacantes y requiere controles de seguridad muy bien reforzados, ya que un ataque con éxito en una máquina virtual puede infectar a todas las máquinas virtuales de un servidor físico, lo que significa que el alcance del ataque puede ser muy grande.

Al igual que las aplicaciones y el software, los entornos virtualizados necesitan que los parches de seguridad se instalen con extrema rapidez para disponer de una infraestructura más resistente a posibles ataques.

Aunque las facilidades de una infraestructura híbrida o totalmente en la nube son una gran ventaja para las empresas, hay que tener en cuenta la necesidad de proteger este entorno, conocerlo en su totalidad y tener plena visibilidad para que esta expansión de los servicios tecnológicos sea segura ante posibles ataques.

Recomendaciones

La seguridad de los sistemas en nube es todo un reto.

A continuación, presentamos algunas preguntas que orientarán sus esfuerzos en la mejor dirección si ya existe un entorno de nube en su organización:

  • ¿Existe un proceso de gestión de vulnerabilidades, especialmente de sus activos publicados en Internet?
  • ¿Se respetan los ciclos de exploración de vulnerabilidades?
  • ¿Existen acciones efectivas dentro del SLA/SLO para abordar las vulnerabilidades?
  • ¿Se ha llevado a cabo una evaluación para descubrir su "superficie de ataque"?
  • Si se ha llevado a cabo esta evaluación, ¿se ha creado un plan de acción para mitigar los problemas planteados?
  • ¿Existe un almacén de contraseñas y un proceso para el uso correcto de las cuentas administrativas y el cambio automatizado de estas contraseñas?

Si el entorno de nube aún no es una realidad, pero se pretende tenerlo en el futuro, es interesante seguir primero algunos pasos, como:

Desarrollar una estrategia

Primero hay que evaluar el objetivo de la migración. Esto ayudará a establecer los indicadores clave de rendimiento (KPI) de la migración a la nube, como los tiempos de carga de las páginas, los tiempos de respuesta, la disponibilidad, el uso de CPU, el uso de memoria, etc.

Identificar las aplicaciones adecuadas

No todas las aplicaciones son compatibles con la nube. Algunas funcionan mejor en nubes privadas o híbridas que en una nube pública. Algunas pueden necesitar pequeños retoques, mientras que otras requieren cambios detallados en el código. Es más fácil realizar un análisis completo de la arquitectura, la complejidad y la implementación antes de la migración que después.

Contar con un buen proveedor de nube

Un aspecto clave de la optimización consistirá en seleccionar un proveedor de nube que pueda ayudar a guiar el proceso de migración durante su transición y más allá.

Mantener la integridad de los datos y la continuidad operativa

La gestión del riesgo es fundamental y los datos sensibles pueden quedar expuestos durante una migración a la nube. La validación posterior a la migración de los procesos empresariales es crucial para garantizar que los controles automatizados ofrezcan los mismos resultados sin interrumpir las operaciones normales.

Ejecución de la migración a la nube

La migración a la nube dependerá en parte de la complejidad y arquitectura de sus aplicaciones y de la arquitectura de sus datos. Puede trasladar toda su aplicación, hacer una prueba para ver si funciona y luego cambiar su tráfico. Otra posibilidad es adoptar un enfoque más gradual, probando el entorno de nube poco a poco y utilizándolo plenamente cuando se completen las validaciones.

Además, CISA ha creado la Arquitectura Técnica de Referencia de Seguridad en la Nube para guiar a las agencias gubernamentales estadounidenses a medida que continúan adoptando la tecnología de nube y aborda cuestiones como:

  • Despliegue en la nube
  • Soluciones adaptables
  • Arquitecturas seguras
  • Desarrollo, seguridad y operaciones (DevSecOps)
  • Confianza cero

Además, se recomienda encarecidamente el uso de un desarrollo seguro; cuidado con las contraseñas como: reutilización, fuga y complejidad; así como una gestión eficaz de las vulnerabilidades.

Referencias:

  1. Punto de control
  2. Gartner
  3. RedHat
  4. VmWare
  5. CISA
  6. IBM

Etiquetas: , seguro, en nube, , , computación , , nube

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.