Llegamos a ustedes gracias a:



Reportajes y análisis

Lo que necesita saber acerca de la seguridad en la nube

[06/07/2012] A pesar de todo lo que se habla con respecto a la nube, las principales brechas de seguridad no han alcanzado los titulares. El año pasado se produjeron muchas infracciones importantes, como las que afectaron a Sony y Epsilon, pero no hemos oído hablar mucho sobre la nube como debilidad.
Parte de esto, por supuesto, podría ser una simple cuestión de semántica. Algunos han hecho hincapié en el papel de Epsilon como proveedor de servicios de marketing por correo electrónico - en otras palabras, es una empresa SaaS - pero la brecha fue un ataque tradicional de phishing utilizado para obtener acceso a servidores de correo electrónico, no, por ejemplo, un asalto a las vulnerabilidades de un hipervisor.
Los proveedores de nube, como Dropbox y Google, han tenido sus problemas, pero los principales problemas relacionados con la nube han tenido que ver con cortes, no con incumplimiento de datos.
A medida que más recursos de la empresa se trasladan a la nube, es inevitable empezar a escuchar más acerca de los incidentes en la nube. Las infracciones leves ya han llegado a GoGrid y a la Microsoft Business Productivity Online Suite, pero todavía tenemos que verlas en la escala de TJX, VA, RSA o cualquier número de otras infracciones en las instalaciones.
Eso no significa que las empresas que invierten en la nube pueden respirar con tranquilidad. "Los ataques que trabajan ahora funcionan tan bien que usted no tiene que llegar a una nueva metodología de ataques complejos", señala Chris Eng, vicepresidente de investigación de Veracode, un proveedor de servicios de pruebas de seguridad basados en la nube. "Los ciber delincuentes no van a demorar mucho para llegar a un nuevo ataque de día cero, si solo pueden usar los mismos viejos ataques de inyección SQL con los que han trabajado durante años".
Los hackers apuestan a la nube, pero no como un objetivo
Una tendencia preocupante en la brecha que afectó a Sony es que los hackers no necesariamente ven a la nube como un objetivo, sino como un recurso. Los hackers utilizaron tarjetas de crédito robadas para alquilar servidores Amazon EC2 y lanzar el ataque devastador a Sony.
"Todo lo que la nube ofrece para legitimar a las empresas, también se lo ofrece a los criminales", añade Scott Roberts, especialista en inteligencia de alto rango en Vigilant, una empresa de control de seguridad. "Se está volviendo común que los ciber criminales alquilen infraestructura en la nube para establecer spam bots, o para construir un comando de malware e infraestructura de control. Por 50 o 60 dólares al mes, los atacantes pueden aprovechar los recursos de que hace unos años hubieran sido demasiado difíciles de conseguir o construir por sí mismos".
Añada infraestructura económica de bajo costo, kits automatizados de malware, botnets que se pueden alquilar para un solo ataque, y la posibilidad de externalizar cosas tales como la decodificación de captchas para los spammers, y tendrá un arsenal tóxico que puede hacer que incluso los piratas informáticos más simples sean muy peligrosos.
Sin embargo, incluso si los hackers no se están dirigiéndose específicamente a la nube en estos momentos, la mayoría de los expertos creen que van a empezar a hacerlo pronto, sin otra razón que el hecho de que cada vez más recursos están siendo trasladados a la nube. "La nube ya es un blanco tentador", añade Eng. "Los datos están centralizados y se puede apuntar a que un proveedor ataque a varias empresas".
Cuando se le preguntó por qué robaba bancos, Willie Sutton, una vez dijo (aunque más tarde repudió esta cita), "Porque ahí es donde está el dinero". Hoy en día, los activos más importantes de las empresas aún residen detrás del firewall. ¿Mañana? El "dinero" puede muy bien estar en la nube.
¿Por qué la nube es vulnerable?
Una de las ventajas de la nube es que los proveedores más importantes tienen interés en asegurar sus entornos. Si Amazon o Google son responsables de la próxima brecha de violación de datos, su negocio se verá afectado.
Los principales proveedores lo saben y están tomando medidas para evitarlo.
"Hace mucho tiempo que las redes dejaron de ser islas. A medida que las empresas se dieron cuenta de la necesidad de conectarse con otras empresas, y con la Internet, sus redes se conectaron con la infraestructura pública", señala la portavoz de Amazon Web Services, Rena Lunak.
Para mitigar los riesgos, muchas organizaciones tomaron medidas con el fin de aislar su tráfico, como el uso de Multi-Protocol Label Switching (MPLS) y la encriptación de enlaces. "El enfoque de Amazon para el networking de su nube es el mismo: mantenemos el aislamiento a nivel de paquetes de tráfico de red y la encriptación estándar de la industria", indica. "Debido a que la nube privada virtual de Amazon Web Services permite que el cliente pueda crear su propio espacio de dirección IP, los clientes pueden utilizar las mismas herramientas e infraestructura de software que ya conocen para monitorear y controlar sus redes de nube".
Eso es bueno, pero los errores comunes como los métodos de autenticación débiles o un puerto de administración abierto, pueden deshacer todo el trabajo que hicieron los proveedores para asegurar esas infraestructuras.
"Uno de los problemas de mudarse a la nube es que tiene que administrar sus recursos de forma remota", señala Carson Sweet, director ejecutivo de CloudPassage, un proveedor de seguridad en la nube. "Muchas empresas dejan los puertos de gestión abiertos al mundo. Los estafadores se están dando cuenta de ello".
¿Cómo es que la nube podría infectar su red interna?
La gran preocupación de Sweet era que las prácticas de seguridad deficientes en la nube podrían conducir a infecciones en la red de las instalaciones. Muchas empresas, conscientes de las amenazas en la nube, simplemente no moverás sus datos más sensibles hacia la nube.
Mientras que el 82% de las empresas encuestadas por CompTIA cree en la capacidad de los proveedores de la nube para ofrecer un entorno seguro, el 58% no pondrá información financiera confidencial de las empresas en la nube. 56% mantienen los datos de las tarjetas de crédito en la nube, y casi la mitad se niega a poner la propiedad intelectual sensible, secretos comerciales o los registros de recursos humanos en la nube.
La lógica es clara: mantener los datos confidenciales detrás del firewall corporativo, donde están más seguros.
Lamentablemente, esa lógica tiene un defecto fatal.
Sweet discutió con un cliente de CloudPassage que tenía servidores de desarrollo en la nube. Un hacker colocó un rootkit en uno de los servidores virtuales. Cuando los desarrolladores se dieron cuenta que algo estaba mal con sus servidores, tuvieron que ir detrás del firewall corporativo para volver a la imagen. Por desgracia, trajeron el rootkit con ello, infectando a toda la red.
"Las máquinas virtuales pueden servir como caballos de Troya, si no se tiene cuidado", añade Sweet.
Asegúrese de fijar las claves de la API
La preocupación más común sobre la nube que he escuchado de los profesionales de seguridad, una que se repite una y otra vez, se trata de las claves de la API. La mayoría de las organizaciones utilizan claves de la API para acceder a sus servicios en la nube, y representan las llaves del reino.
"Las claves de la API son un gran problema", anota Sweet. "Si yo sé dónde buscar las claves de la API en el servidor, y me las arreglo para conseguirlas, seré dueño de su despliegue en la nube".
Las claves de la API deben estar protegidas. No es raro que los administradores de TI hagan cosas peligrosas como enviarlas por correo electrónico o guardarlas en un archivo de configuración que no es muy difícil de descubrir.
Las claves de la API deben ser protegidas, guardadas en un lugar seguro y encriptado, inventariadas de forma regular y dárselas solo a aquellos que tienen una razón válida para acceder a ellas. Por otra parte, los agentes de la nube pueden manejar las claves de la API para usted, pero tiene que ser consciente de que está externalizando una parte crítica de la seguridad en la nube a un tercero.
Jeff Vance, CIO.com