Migración segura a la nube: elevar, adaptar y cambiar… ¡bien!
La gente piensa que migrar a la nube es un esfuerzo del tipo «levantar y cambiar», cuando en realidad es más bien levantar, adaptar y cambiar. Y los CISO realmente necesitan adaptarse. Gestionar el riesgo a la velocidad y escala de la nube requiere algunos ajustes. Lo hace asumiendo una mayor responsabilidad por la seguridad de la nube y al mismo tiempo cede el control a los equipos de I+D que diseñan y ponen en marcha los recursos de la nube.
Aún así, mi experiencia al liderar un importante esfuerzo de migración a la nube ha sido que pasar a la nube puede fortalecer la postura de seguridad de una organización, si se hace correctamente. Las empresas pueden comenzar adoptando un enfoque holístico para la seguridad en la nube, desde el primer paso en el proceso de desarrollo hasta el tiempo de ejecución.
Pasos básicos para una migración segura a la nube
1.- Siempre asuma que la empresa será vulnerada
Si bien no es una mentalidad única, la nube tiene diferentes y exponencialmente más vectores de ataque, vulnerabilidades y ritmos.
2.- Implementar medidas proactivas más allá de lo que ofrecen los proveedores de la nube
No importa cuán buenas sean las herramientas del proveedor de la nube, es arriesgado confiar únicamente en ellas para proteger las joyas de la corona de la empresa.
3.- Correr un plan para gestionar la fricción entre responsabilidad y autoridad
En la nube responsabilidad y autoridad, en realidad no van de la mano. Es un tema enorme que merece una profundización, pero necesitaremos una realineación fundamental entre los equipos de desarrollo y seguridad para que los CISO protejan eficazmente los sistemas en la nube y gestionen los riesgos.
¿Pueden los equipos de seguridad detener posibles ataques a la nube?
- Gran parte de la innovación que se ha producido en la seguridad de la nube se ha centrado en “desplazarse hacia la izquierda” o en consolidar la seguridad desde el principio y durante todo el proceso de desarrollo. Sin embargo, cuando se migra a la nube, suele toparse con un obstáculo importante en lo que respecta a la seguridad del tiempo de ejecución. Y eso es muy importante porque, independientemente de cómo se ataque una empresa, los ataques siempre se desarrollan en tiempo de ejecución.
- Desafortunadamente, los productos existentes que apuntan a detectar ataques en la nube comienzan inicialmente con un objetivo específico y/o diferente en mente, como la gestión de la postura o la seguridad de los terminales. Estas tecnologías se agregan una encima de otra y, a medida que amplían sus capacidades, fue una construcción ad hoc que requiere una cantidad insostenible de configuración y mantenimiento. Además, ya sabemos que un mosaico de herramientas de seguridad crea brechas y puntos ciegos.
- También hay limitaciones tecnológicas, pero los avances en la tecnología de la nube, como el filtro de paquetes extendido de Berkeley (eBPF), han hecho avanzar la seguridad de la nube. En pocas palabras, eBPF ofrece a las organizaciones las “fuerzas en la nube” necesarias para hacer frente a la próxima ola de ataques a la nube. E independientemente de cómo un atacante viola una organización, los ciberataques se desarrollan en tiempo de ejecución.
- Y así como los entornos de nube tienen atributos diferentes a los de las redes locales, los ataques a la nube se manifiestan de maneras muy diferentes a los que se producen contra sistemas heredados. Los ataques a la nube son aparentemente aleatorios. Los atacantes de la nube no utilizan tácticas, herramientas y procedimientos (TTP) premeditados porque rara vez funcionan dentro de un entorno de nube. Como resultado, las herramientas maduras de detección de ataques, como los productos de detección y respuesta de endpoints (EDR), son mucho menos efectivas para detectarlos.
- Además, los atacantes de la nube suelen comenzar con un objetivo en mente, como colocar un criptominero o incluso una máquina virtual vacía. Pero cuando surge la oportunidad de hacerse cargo de una cuenta, acceder a las joyas de la corona o exfiltrar datos, pueden atacar con una rapidez para la que los defensores no están preparados. Por si fuera poco, suelen presentarse como un usuario legítimo. Ataques como Scarleteel , CCminer y Pyloose ofrecen una idea de lo que está por venir, lo que a su vez ayuda a dar forma a la próxima generación de defensas en la nube.
- En pocas palabras: el tiempo de ejecución introduce una nueva trayectoria para la seguridad en la nube. Cuando se incorporan sólidas capacidades de seguridad y gestión de riesgos al esfuerzo de Transformación Digital, desde el desarrollo hasta el tiempo de ejecución, se rompe el mito de que siempre tendremos un equilibrio entre una seguridad sólida y una fuerza laboral altamente productiva y conectada.
Fuente: SC Media