Las 11 principales amenazas de seguridad en la nube
Más datos y aplicaciones se están trasladando a la nube, lo que crea desafíos únicos de seguridad informática. Estas son las «11 Pandemias», las principales amenazas de seguridad a las que se enfrentan las organizaciones cuando utilizan servicios en la nube.
Los problemas de identidad y acceso encabezaron la lista de preocupaciones de los profesionales de TI en el informe anual Top Threats to Cloud Computing: The Pandemic 11 de Cloud Security Alliance, publicado a principios de este mes. «Las filtraciones de datos y la pérdida de datos fueron las principales preocupaciones el año pasado«, dice John Yeoh, vicepresidente global de investigación de CSA. «Este año, ni siquiera estaban entre los 11 primeros«.
«Lo que eso me dice es que el cliente de la nube se está volviendo mucho más inteligente«, continúa Yeoh. «Están dejando de preocuparse por los resultados finales (una violación o pérdida de datos es un resultado final) y observan las causas de esos resultados (acceso a datos, configuraciones incorrectas, aplicaciones inseguras) y toman el control de ellos«.
Esa tendencia es indicativa de que los proveedores de servicios en la nube (CSP, por sus siglas en inglés) hacen un mejor trabajo al defender su parte del modelo de responsabilidad compartida , donde el CSP es responsable de proteger su infraestructura mientras que el usuario de la nube se encarga de proteger los datos, las aplicaciones y los datos. acceso en sus entornos de nube, dice Corey O’Connor, director de productos de DoControl, un proveedor de seguridad SaaS automatizada. «Esto ejerce más presión sobre la organización que consume el servicio, ya que los atacantes, naturalmente, se enfocan mucho más en ellos», dice. «Este hallazgo respalda la narrativa de que las organizaciones que consumen servicios en la nube necesitan hacer todo lo posible para mitigar el riesgo de eventos de seguridad y violaciones de datos. Necesitan hacer más para mantener su parte del modelo«.
Las principales amenazas de seguridad en la nube de CSA
Aquí están las Pandemias 11 en orden de importancia.
1. Gestión insuficiente de identidades, credenciales, accesos y claves
Las preocupaciones sobre la identidad y el acceso son las más importantes en la mente de los profesionales de ciberseguridad, según el informe de CSA. «El acceso está en la parte superior de la lista este año porque la protección de sus datos comienza y termina con el acceso«, dice Yeoh.
El vicepresidente y analista principal de Forrester, Andras Cser, estuvo de acuerdo. «La identidad y el acceso en las plataformas de un CSP lo son todo», dice. «Si tiene las llaves del reino, no puede simplemente ingresar, sino reconfigurarlo, una gran amenaza para la estabilidad operativa y la seguridad de cualquier organización«.
«Los atacantes ya no intentan abrirse paso a la fuerza bruta en la infraestructura de la empresa«, agrega Hank Schless, gerente sénior de soluciones de seguridad en Lookout, un proveedor de soluciones de phishing móvil. «Con tantas formas de comprometer y robar credenciales corporativas, la táctica preferida es hacerse pasar por un usuario legítimo para evitar ser detectado«.
A medida que más organizaciones migran sus aplicaciones a la nube, la gestión de identidad sigue siendo un tema candente, afirma Tushar Tambay, vicepresidente de desarrollo de productos para soluciones de protección de datos en Entrust, una empresa de emisión de credenciales y seguridad digital. «Dado que muchas empresas todavía trabajan de forma remota, los equipos de TI tienen que verificar las identidades de los empleados que trabajan desde cualquier lugar, en cualquier momento y en cualquier dispositivo«, dice. «Además, las empresas están interactuando con clientes y socios en la nube«.
Tambay agrega que también se debe priorizar la administración de claves. «La administración de claves sólida puede mantener los datos seguros y ayudar a garantizar que las partes confiables solo tengan acceso a los datos que son absolutamente necesarios«, dice. «Desafortunadamente, asegurar los datos a través del cifrado a menudo puede causar un poco de dolor de cabeza en la administración de claves debido a la creciente cantidad de claves«.
La administración de la identidad depende casi por completo del usuario para administrarla adecuadamente, dice Daniel Kennedy, director de investigación de seguridad de la información y redes en 451 Research. «Los proveedores de la nube brindan ayuda, pero la flexibilidad de las plataformas en la nube conlleva el requisito de administrar de manera efectiva el acceso y los privilegios del usuario y del sistema«, dice. «Es una de las principales responsabilidades de la empresa que aprovecha la nube en un modelo de responsabilidad compartida y, por lo tanto, ocupa un lugar destacado en su evaluación de riesgos».
Los puntos clave sobre el acceso y la gestión de identidad identificados en el informe incluyen:
-
- Las defensas reforzadas en el núcleo de las arquitecturas empresariales han cambiado la piratería a la identidad del usuario del punto final como una fruta al alcance de la mano.
- Se requiere un aislamiento discreto basado en aplicaciones y usuarios para lograr una sólida capa de confianza cero más allá de la simple autenticación.
- Las herramientas avanzadas son solo una parte de la historia, como la gestión de derechos de infraestructura en la nube (CIEM). Las políticas operativas y los modelos de riesgo estructurados también son vitales.
- La confianza es más que dar claves y códigos. Está ganado. Los objetos de usuario deben recibir puntajes de riesgo que se ajusten dinámicamente según lo requiera el negocio.
2. Interfaces y API inseguras
Las API e interfaces similares pueden incluir vulnerabilidades debido a mala configuración, vulnerabilidades de codificación o falta de autenticación y autorización, entre otras cosas, según el informe. Estos descuidos pueden potencialmente dejarlos vulnerables a actividades maliciosas.
Agregó que las organizaciones enfrentan una tarea desafiante en la administración y protección de las API. Por ejemplo, la velocidad del desarrollo de la nube se acelera enormemente. Los procesos que tomaban días o semanas usando métodos tradicionales pueden completarse en segundos o minutos en la nube. El uso de múltiples proveedores de la nube también agrega complejidad, continúa, ya que cada proveedor tiene capacidades únicas que se mejoran y amplían casi a diario. Este entorno dinámico requiere un enfoque ágil y proactivo para el control de cambios y la corrección que muchas empresas no dominan.
Los puntos clave sobre las API incluyen:
-
- La superficie de ataque proporcionada por las API debe rastrearse, configurarse y protegerse.
- Los controles tradicionales y las políticas y enfoques de gestión de cambios deben actualizarse para mantenerse al día con el crecimiento y el cambio de la API basada en la nube.
- Las empresas deben adoptar la automatización y emplear tecnologías que monitoreen continuamente el tráfico API anómalo y solucionen los problemas casi en tiempo real.
3. Configuración incorrecta y control de cambios inadecuado
Las configuraciones incorrectas son la configuración incorrecta o subóptima de los activos informáticos que pueden dejarlos vulnerables a daños no deseados o actividad maliciosa externa e interna, explica el informe. La falta de conocimiento del sistema o la comprensión de la configuración de seguridad y las malas intenciones pueden dar lugar a errores de configuración.
Un problema grave con los errores de configuración incorrecta es que la nube puede magnificarlos. «Una de las mayores ventajas de la nube es su escalabilidad y la forma en que nos permite crear servicios interconectados para flujos de trabajo más fluidos«, dice Schless. «Sin embargo, esto también significa que una mala configuración puede tener ramificaciones magnificadas en múltiples sistemas«.
Debido a una canalización automatizada de integración continua/entrega continua (CI/CD), las configuraciones incorrectas y las vulnerabilidades no identificadas durante el tiempo de compilación se implementan automáticamente en la producción, dice Ratan Tipirneni, presidente y director ejecutivo de Tigera, un proveedor de seguridad y observabilidad para contenedores, Kubernetes. y la nube «Las configuraciones incorrectas y las vulnerabilidades en las imágenes se transmiten a todos los contenedores creados a partir de esas imágenes».
Los puntos clave sobre la configuración incorrecta y el control de cambios inadecuado incluyen:
-
- Las empresas deben adoptar las tecnologías disponibles que escanean continuamente los recursos mal configurados para permitir la corrección de las vulnerabilidades en tiempo real.
- Los enfoques de gestión de cambios deben reflejar la naturaleza incesante y dinámica de las transformaciones comerciales continuas y los desafíos de seguridad para garantizar que los cambios aprobados se realicen correctamente mediante la verificación automatizada en tiempo real.
4. Falta de arquitectura y estrategia de seguridad en la nube
El rápido ritmo de cambio y el enfoque predominante, descentralizado y de autoservicio para la administración de la infraestructura en la nube dificultan la capacidad de tener en cuenta las consideraciones técnicas y comerciales y el diseño consciente, señala el informe. Sin embargo, agregó, las consideraciones y los riesgos de seguridad no deben ignorarse si se quiere que los esfuerzos en la nube sean exitosos y seguros.
Esos problemas pueden agravarse cuando se involucran múltiples proveedores de nube. «Aprovechar los proveedores de la nube ciertamente ya no es novedoso, pero el espacio de productos de seguridad continúa emergiendo y evolucionando en torno a la nube«, dice Kennedy. «Como ejemplos, desde el principio vimos que la seguridad de la carga de trabajo en la nube surgió como un enfoque para proporcionar funciones de seguridad comunes de terceros«.
«La mayoría de las personas de seguridad que se ocupan de la seguridad en la nube deben considerar qué combinación de controles predeterminados del proveedor de la nube, controles premium del mismo y qué ofertas de productos de seguridad de terceros abordan su perfil de riesgo específico y, a veces, ese perfil es diferente en el nivel de la aplicación. . Introduce mucha complejidad frente a las amenazas emergentes”, agrega Kennedy.
Los puntos clave sobre la falta de arquitectura y estrategia de seguridad en la nube incluyen:
-
- Las empresas deben tener en cuenta los objetivos comerciales, el riesgo, las amenazas a la seguridad y el cumplimiento legal en el diseño y las decisiones sobre los servicios en la nube y la infraestructura.
- Dado el rápido ritmo de cambio y el control centralizado limitado en las implementaciones de la nube, es más importante, no menos, desarrollar y adherirse a una estrategia de infraestructura y principios de diseño.
- Se recomienda a los adoptantes que consideren la debida diligencia y las prácticas fundamentales de evaluación de la seguridad del proveedor. Deben complementarse con un diseño e integración seguros para evitar los tipos de fallas sistémicas que ocurrieron en las infracciones de SolarWinds, Kaseya y Bonobos.
5. Desarrollo de software inseguro
Si bien la nube puede ser un entorno poderoso para los desarrolladores, las organizaciones deben asegurarse de que los desarrolladores entiendan cómo el modelo de responsabilidad compartida afecta la seguridad de su software. Por ejemplo, una vulnerabilidad en Kubernetes podría ser responsabilidad de un CSP, mientras que un error en una aplicación web que utiliza tecnologías nativas de la nube podría ser responsabilidad del desarrollador.
Los puntos clave a tener en cuenta sobre el desarrollo de software inseguro incluyen:
-
- El uso de tecnologías en la nube evita reinventar las soluciones existentes, lo que permite a los desarrolladores centrarse en problemas exclusivos del negocio.
- Al aprovechar la responsabilidad compartida, elementos como la aplicación de parches pueden ser propiedad de un CSP en lugar de la empresa.
- Los CSP le dan importancia a la seguridad y brindarán orientación sobre cómo implementar servicios de manera segura.
6. Recursos de terceros no seguros
Según el informe de la CSA, existen riesgos de terceros en todos los productos y servicios que consumimos. Señaló que debido a que un producto o servicio es una suma de todos los demás productos y servicios que está utilizando, un exploit puede comenzar en cualquier punto de la cadena de suministro del producto y proliferar desde allí. Los actores de amenazas saben que solo necesitan comprometer el eslabón más débil de una cadena de suministro para propagar su software malicioso, a menudo utilizando los mismos vehículos que usan los desarrolladores para escalar su software.
Los puntos clave sobre los recursos de terceros no seguros incluyen:
-
- No puede evitar vulnerabilidades en el código o productos que no creó, pero puede tomar una buena decisión sobre qué producto usar. Busque los productos que son compatibles oficialmente. Además, considere aquellos con certificaciones de cumplimiento, que hablan abiertamente sobre sus esfuerzos de seguridad, que tienen un programa de recompensas por errores y que tratan a sus usuarios de manera responsable al informar problemas de seguridad y entregar soluciones rápidamente.
- Identifique y rastree a los terceros que está utilizando. No querrá enterarse de que ha estado usando un producto vulnerable solo cuando se publique la lista de víctimas. Esto incluye código abierto, productos SaaS, proveedores de la nube y servicios administrados, y otras integraciones que pueda haber agregado a su aplicación.
- Realizar una revisión periódica de los recursos de terceros. Si encuentra productos que no necesita, elimínelos y revoque cualquier acceso o permiso que les haya otorgado en su repositorio de código, infraestructura o aplicación.
- No seas el eslabón más débil. Realice pruebas de penetración de su aplicación, enseñe a sus desarrolladores acerca de la codificación segura y use soluciones de pruebas de seguridad de aplicaciones estáticas (SAST) y pruebas de seguridad de aplicaciones dinámicas (DAST).
7. Vulnerabilidades del sistema
Estas son fallas en un CSP que pueden usarse para comprometer la confidencialidad, la integridad y la disponibilidad de los datos e interrumpir las operaciones del servicio. Las vulnerabilidades típicas incluyen días cero, parches faltantes, configuración incorrecta vulnerable o configuraciones predeterminadas, y credenciales débiles o predeterminadas que los atacantes pueden obtener o descifrar fácilmente.
Los puntos clave sobre las vulnerabilidades del sistema incluyen:
-
- Las vulnerabilidades del sistema son fallas dentro de los componentes del sistema que a menudo se presentan a través de un error humano, lo que facilita que los piratas informáticos ataquen los servicios en la nube de su empresa.
- La respuesta posterior al incidente es una propuesta costosa. La pérdida de datos de la empresa puede tener un impacto negativo en los ingresos y la reputación de su negocio.
- Los riesgos de seguridad debido a las vulnerabilidades del sistema se pueden minimizar en gran medida a través de la detección de vulnerabilidades de rutina y la implementación de parches combinados con prácticas IAM rigurosas.
8. Divulgación accidental de datos en la nube
La exposición de datos sigue siendo un problema generalizado entre los usuarios de la nube, señaló el informe, con el 55% de las empresas que tienen al menos una base de datos que está expuesta a la Internet pública. Muchas de esas bases de datos tienen contraseñas débiles o no requieren ninguna autenticación, lo que las convierte en objetivos fáciles para los atacantes.
Los puntos clave sobre la divulgación accidental de datos en la nube incluyen:
-
- ¿Qué bases de datos están en las nubes? Revise las bases de datos de su plataforma como servicio (PaaS), el almacenamiento y las cargas de trabajo informáticas que alojan las bases de datos, incluidas las máquinas virtuales (VM), los contenedores y el software de base de datos instalado en ellos.
- ¿Qué se expone efectivamente desde el entorno de la nube? Elija motores de exposición que tengan visibilidad completa de su entorno de nube para identificar cualquier enrutamiento o servicios de red que permitan que el tráfico quede expuesto externamente. Esto incluye balanceadores de carga, balanceadores de carga de aplicaciones, redes de entrega de contenido (CDN), emparejamiento de redes y firewalls en la nube.
- Evalúe la exposición externa de un clúster de Kubernetes. El motor de exposición debe tener en cuenta muchos componentes de red de Kubernetes, incluidas las direcciones IP del clúster, los servicios de Kubernetes y las reglas de ingreso.
- Reduzca la exposición al acceso asegurándose de que la base de datos esté configurada con la política de IAM de privilegios mínimos y que las asignaciones de esta política estén controladas y supervisadas.
9. Configuración incorrecta y explotación de cargas de trabajo de contenedor y sin servidor
Administrar y escalar la infraestructura para ejecutar aplicaciones aún puede ser un desafío para los desarrolladores, señaló el informe. Deben asumir una mayor responsabilidad en los controles de red y seguridad de sus aplicaciones.
Si bien parte de esa responsabilidad puede transferirse a un CSP mediante el uso de cargas de trabajo en contenedores y sin servidor, para la mayoría de las organizaciones, la falta de control de la infraestructura de la nube limita las opciones de mitigación para los problemas de seguridad de las aplicaciones y la visibilidad de las herramientas de seguridad tradicionales. Es por eso que el informe recomendó desarrollar prácticas organizacionales sólidas en torno a la higiene de la nube, la seguridad de las aplicaciones, la observabilidad, el control de acceso y la gestión de secretos para reducir el radio de explosión de un ataque.
Los puntos clave sobre la configuración incorrecta y la explotación de las cargas de trabajo de contenedor y sin servidor incluyen:
-
- Las empresas deben implementar la administración de la postura de seguridad en la nube (CSPM), CIEM y plataformas de protección de cargas de trabajo en la nube para aumentar la visibilidad de la seguridad, hacer cumplir el cumplimiento y lograr el mínimo privilegio en las cargas de trabajo en contenedores y sin servidor.
- Se deben realizar inversiones en capacitación en seguridad en la nube, procesos de gobierno y patrones de arquitectura de nube seguros reutilizables para reducir el riesgo y la frecuencia de configuraciones de nube inseguras.
- Los equipos de desarrollo deben aplicar un rigor adicional a las mejores prácticas de ingeniería y seguridad de aplicaciones sólidas antes de migrar a tecnologías sin servidor que eliminan los controles de seguridad tradicionales.
-
- Crimen organizado, hackers y grupos APT
Los grupos de amenazas persistentes avanzadas (APT) generalmente enfocan sus formas de robo en la adquisición de datos. Esos grupos son estudiados de cerca por equipos de inteligencia de amenazas, que publican informes detallados sobre los métodos y tácticas de los grupos. El informe de CSA recomendó que las organizaciones usen esos informes para organizar ejercicios de «equipo rojo» para protegerse mejor de los ataques de APT, así como para realizar ejercicios de búsqueda de amenazas para identificar la presencia de cualquier APT en sus redes.
Los puntos clave del informe en el área APT incluyen:
-
- Realice un análisis de impacto comercial en su organización para comprender sus activos de información.
- Participe en grupos de intercambio de información sobre ciberseguridad.
- Comprender cualquier grupo APT relevante y sus tácticas, técnicas y procedimientos (TTP).
- Realizar ejercicios de seguridad ofensivos para simular los TTP de estos grupos APT.
- Asegúrese de que las herramientas de monitoreo de seguridad estén ajustadas para detectar TTP de cualquier grupo APT relevante.
11. Exfiltración de datos de almacenamiento en la nube
La exfiltración de datos de almacenamiento en la nube ocurre cuando una persona ajena al entorno operativo de la organización divulga, ve, roba o utiliza información sensible, protegida o confidencial. El informe señaló que muchas veces la filtración de datos puede ocurrir sin el conocimiento del propietario de los datos. En algunos casos, es posible que el propietario no desconozca el robo de los datos hasta que el ladrón lo notifica o hasta que aparecen a la venta en Internet.
Si bien la nube puede ser un lugar conveniente para almacenar datos, continuó el informe, también ofrece múltiples formas de filtrarlos. Para protegerse contra la exfiltración, las organizaciones han comenzado a recurrir a un modelo de confianza cero en el que se utilizan controles de seguridad basados en la identidad para proporcionar el acceso menos privilegiado a los datos.
Los puntos clave sobre la exfiltración del almacenamiento en la nube en el informe incluyen:
-
- El almacenamiento en la nube requiere un entorno bien configurado (gestión de la postura de seguridad de SaaS [SSPM], CSPM), corrección de vulnerabilidades en la infraestructura como servicio (IaaS), que sigue siendo un importante vector de amenazas, y un fuerte control de acceso e identidad de personas y usuarios. personajes no humanos.
- Para detectar y prevenir ataques y exfiltración de datos, aplique las guías de mejores prácticas, las capacidades de monitoreo y detección del CSP.
- Se requiere capacitación de concientización de los empleados sobre el uso del almacenamiento en la nube, ya que los datos están dispersos en varios lugares y controlados por varias personas.
- Evalúe la resiliencia de seguridad de los proveedores de la nube y, como mínimo, el cumplimiento de los estándares de seguridad, el acuerdo legal y el acuerdo de nivel de servicio (SLA).
- Si no está limitado por el negocio, el cifrado del lado del cliente puede brindar protección contra atacantes externos o personas internas malintencionadas de CSP. En general, el cifrado no siempre es factible debido a consideraciones de implementación.
- La clasificación de los datos puede ayudar a establecer diferentes controles y, si ocurre una filtración, evaluar el impacto y las acciones de recuperación requeridas.
Cambio de enfoque de la seguridad en la nube
El informe de CSA señaló que su edición de 2022 continuó con una tendencia incipiente encontrada en su versión anterior: un alejamiento del enfoque tradicional en la seguridad de la información, como las vulnerabilidades y el malware. Independientemente, estos problemas de seguridad son un llamado a la acción para desarrollar y mejorar la conciencia y la configuración de la seguridad en la nube y la gestión de identidades. La nube en sí es una preocupación menor, por lo que ahora la atención se centra más en la implementación de la tecnología de la nube.
Fuente: CSO online