Llegamos a ustedes gracias a:



Reportajes y análisis

¿Cómo proteger la nube? Los nuevos datos señalan un camino

[20/09/2017] La marcha hacia la nube de datos y servicios tiene a muchas empresas repensando su enfoque de seguridad cibernética. ¿Necesitan una estrategia de seguridad en la nube? ¿Qué es diferente acerca de una estrategia de seguridad en la nube? Dos encuestas recientes han revelado la manera en la que las estrategias de seguridad están cambiando y, más importante, la manera en la que deberían cambiar.

Colocar más infraestructura de TI en la nube es, en cierto modo, más seguro que tenerla in situ. Por ejemplo, puede estar seguro que el sistema está ejecutando la última versión con los parches adecuados en su lugar. Sin embargo, también presenta nuevos riesgos, algunos de los cuales son resultado de malentendidos sobre cómo gestionar la seguridad en la nube.

Es importante saber cómo una estrategia de TI en la nube -ya sea híbrida, privada o pública- afecta la estrategia de seguridad de la empresa y la ejecución táctica de esa estrategia.

¿Cuál es el riesgo de seguridad en la nube?

Los datos del proveedor de seguridad Alert Logic muestran la naturaleza y el volumen del riesgo para cada forma de entorno en la nube, en comparación con un centro de datos local. Durante 18 meses, la empresa analizó 147 petabytes de datos de más de 3.800 clientes para cuantificar y categorizar los incidentes de seguridad. Durante este tiempo, identificó más de 2,2 millones de incidentes de seguridad positivos. Los hallazgos clave incluyen:

  • Los entornos de nube híbridoa experimentaron el número promedio más alto de incidentes por cliente (997), seguidos por la nube privada alojada (684), los centros de datos locales (612) y la nube pública (405).
  • De lejos, el tipo de incidente más común fue el ataque de aplicaciones web (75%), seguido por ataques de fuerza bruta (16%), de reconocimiento (5%) y de ransomware del servidor (2%).
  • Los vectores más comunes para los ataques de aplicaciones web fueron SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%), y Magento (6,98%).
  • Wordpress fue el objetivo de fuerza bruta más común con 41%, seguido de MS SQL con 19%.

Ya sea que se trate de un entorno de nube pública, privada o híbrida, las amenazas de las aplicaciones web son dominantes. La diferencia entre estos es el nivel de riesgo que enfrenta. "Como defensores, en Alert Logic nuestra capacidad de proteger la nube pública de manera eficaz también es mayor, porque vemos una mejor relación señal-ruido y perseguimos menos ataques ruidosos", señala Misha Govshteyn, co-fundador de Alert Logic. "Cuando vemos incidentes de seguridad en entornos de nube pública, sabemos que tenemos que prestar atención, porque normalmente son más silenciosos".

Los datos muestran que algunas plataformas son más vulnerables que otras. "Esto incrementa su superficie de ataque a pesar de sus mejores esfuerzos", añade Govshteyn. Como ejemplo señala que "a pesar de la creencia popular", la pila de LAMP ha sido mucho más vulnerable que la pila de aplicaciones basadas en Microsoft. También ve a las aplicaciones de PHP como un hotspot.

"Los sistemas de gestión de contenido, especialmente Wordpress, Joomla y Django, son usados como plataformas para aplicaciones web más de lo que la gente cree y tienen muchas vulnerabilidades", anota Govshteyn. "Es posible mantener estos sistemas seguros, pero solo si entiende qué marcos y plataformas web tienden a usar sus equipos de desarrollo. La mayor parte de las personas de seguridad apenas prestan atención a estos detalles y toman decisiones con base en malos supuestos".

Para minimizar el impacto de las amenazas en la nube, Alert Logic tiene tres recomendaciones:

  • Confíe en la lista blanca de las aplicaciones y bloquee el acceso a programas desconocidos. Esto incluye hacer evaluaciones de riesgo vs. valor para cada aplicación utilizada en la organización.
  • Entienda su propio proceso de parchado y priorice el despliegue de ellos.
  • Restrinja los privilegios administrativos y de acceso con base en las obligaciones actuales del usuario. Esto requerirá mantener los privilegios tanto de aplicaciones como de sistemas operativos actualizados.

Cómo proteger la nube

De acuerdo a una entrevista realizada por el investigador de mercado VansonBourne y auspiciada por el proveedor de soluciones de monitoreo de red Gigamon, 73% de los encuestados espera que la mayoría de aplicaciones estén en la nube pública o privada. Sin embargo, el 35% de esos encuestados espera manejar la seguridad de la red "exactamente de la misma manera" en la que lo hacen con las operaciones locales. El resto, aunque reacios a cambiar, creen que no tienen más opción que cambiar su estrategia de seguridad para la nube.

Por supuesto, no todas las empresas están migrando datos sensibles o críticos a la nube, por lo que para ellos hay menos razones para cambiar de estrategia. Sin embargo, la mayor parte de las empresas están migrando información crítica y privada (56%) o activos de marketing (53%). El 47% espera tener información personalmente identificable en la nube, lo cual tiene implicancias debido a las nuevas regulaciones de privacidad, tales como el GDPR de la UE.

Según Govshteyn: las empresas deberían enfocarse en tres áreas principales para su estrategia de seguridad de la nube:

1. Herramientas: Las herramientas de seguridad que implementa en entornos de nube debe ser nativas de la nube y capaces de proteger aplicaciones web y cargas de trabajo de nube. "Las tecnologías de seguridad formuladas para la protección de endpoint se centran en un conjunto de vectores de ataque que no se ven comúnmente en la nube y están mal equipados para hacer frente a las 10 principales amenazas de OWASP, que constituyen el 75% de todos los ataques de la nube", anota Govshteyn. Él señala que las amenazas de endpoint se dirigen a los navegadores web y al software del cliente, mientras las amenazas de infraestructura apuntan a servidores y marcos de aplicaciones.

2. Arquitectura: Defina su arquitectura en torno a los beneficios de seguridad y gestión ofrecidos por la nube, no la misma arquitectura que utiliza en sus centros de datos tradicionales. "Ahora tenemos datos que muestran que los entornos públicos puros permiten a las empresas experimentar menores índices de incidentes, pero esto solo es posible si usa capacidades de nube para diseñar infraestructura más segura", indica Govshteyn. Él recomienda que aísle cada aplicación o micro servicio en su propia nube privada, lo que reduce el radio de explosión de cualquier intrusión. "Las fallas importantes, tales como Yahoo, comenzaron con aplicaciones web triviales como el vector de entrada inicial, por lo que las aplicaciones menos importantes a menudo se convierten en su mayor problema". Además, no corrija las vulnerabilidades en sus implementaciones de nube. En su lugar, despliegue nueva infraestructura de nube que ejecute el código más reciente y desactive su infraestructura antigua. "Solo puede hacer esto si automatiza sus implementaciones, pero obtendrá un nivel de control sobre su infraestructura que podría no lograr nunca en los centros de datos tradicionales", indica Govshteyn.

3. Puntos de conexión: Identifique los puntos en los que sus implementaciones de nube estén interconectadas a centros de datos tradicionales que ejecutan un código heredado. "Es probable que sean su mayor fuente de problemas, ya que vemos una clara tendencia de que los despliegues de nubes híbridas tienden a ver la mayoría de incidentes de seguridad", anota.

No todo lo relacionado con la estrategia de seguridad existente tiene que cambiar para la nube. "Usar la misma estrategia de seguridad -por ejemplo, una profunda inspección del contenido para la detección forense y de amenazas-, tanto para la nube como para las instalaciones, no es una mala idea en sí misma. Las empresas que persiguen esto suelen buscar las coherencias entre sus arquitecturas de seguridad para limitar las brechas en su postura de seguridad", anota Tom Clavel, gerente senior de marketing de productos en Gigamon.

"El desafío es la manera en la que obtienen acceso al tráfico de red para este tipo de inspección", añade Clavel. "Aunque estos datos están fácilmente disponibles en las instalaciones usando una variedad de formas, no están disponibles en la nube. Además, incluso si tienen acceso al tráfico, la capacidad de retornar esa cantidad de información a las herramientas locales para una inspección sin la inteligencia, es sumamente caro y contraproducente".

Los problemas de visibilidad de la nube

Una de las quejas que tuvieron los encuestados de VansonBourne fue que la nube puede crear puntos ciegos dentro del panorama de seguridad. En total, la mitad dijo que la nube puede "esconder" información que les permite identificar demandas. También dijeron que con la nube les está faltando información sobre lo que está siendo cifrado (48%), las aplicaciones o el tráfico inseguros (47%) o la validez del certificado SSL/TLS (35%).

Según el 49% de los encuestados, un entorno de nube híbrida puede obstaculizar aún más la visibilidad, ya que puede evitar que los equipos de seguridad vean dónde están almacenados los datos. Asimismo, el 78% de los encuestados afirmó que los datos almacenados, algunos en manos de las operaciones de seguridad y otros en las de las operaciones de red, pueden empeorar la búsqueda de datos.

Sin embargo, los equipos de seguridad no solo tienen visibilidad limitada de los datos. El 67% de los encuestados de VansonBourne dijo que los puntos ciegos de la red era un estorbo para la protección de la organización. Para obtener una mejor visibilidad, Clavel recomienda que primero identifique la manera en la que quiere organizar e implementar su postura de seguridad. "¿Está todo dentro de la nube o se extiende de lo local a la nube? En ambos casos, asegúrese de que la visibilidad ubicua del tráfico de red de su aplicación sea fundamental para si estrategia de seguridad. Cuanto más ve, más puede proteger", señala.

"Para abordar las necesidades de visibilidad, identifique una manera de adquirir, agregar y optimizar el tráfico de red a sus herramientas de seguridad, ya sea un sistema de detección de intrusiones (IDS), la información de seguridad y la gestión de eventos (SIEM), la investigación forense, la prevención de pérdida de datos (DLP), la detección avanzada de amenazas (ATD) o a todos ellos simultáneamente", añade Clavel. "Finalmente, agregue los procedimientos de SecOps para automatizar la visibilidad y la seguridad contra las amenazas detectadas incluso a medida que su huella en la nube crezca".

Estos puntos ciegos y la poca visibilidad de la información podrían crear problemas de cumplimiento del GDPR. El 66% de los encuestados dice que la falta de visibilidad dificultará el cumplimiento del GDPR y solo el 55% cree que sus organizaciones estarán listas para el GDPR para mayo del 2018.

¿A quién le pertenece la seguridad en la nube?

Teniendo en cuenta lo que está en juego, no es sorprendente que el 62% de los encuestados expresara el deseo de que sus centros de operaciones de seguridad (SOCs) controlen el tráfico y los datos de la red para asegurar la adecuada protección en un entorno de nube. La mitad de ellos se conformaría con conocer el tráfico y los datos de la red.

Obtener el control o incluso la completa visibilidad podría ser un desafío para muchas organizaciones debido a la estructura de los grupos que gestionan el entorno de la nube. Aunque las operaciones de seguridad son responsables por la seguridad de la nube en el 69% de las organizaciones de los encuestados, las operaciones de la nube (el 54%) o las operaciones de red también están involucrados. Esto ha dado lugar a la confusión sobre quién está tomando la iniciativa para la seguridad de la nube y la manera en la que los equipos deberían colaborar. De hecho, el 48% de los encuestados dijo que la falta de colaboración entre equipos es el mayor obstáculo para identificar y reportar una violación.

"A menudo las empresas dividen las responsabilidades entre la red, la seguridad y la nube", anota Clavel. "Cada uno tiene presupuestos y propiedades diferentes, e incluso herramientas distintas para gestionar estas áreas. Obtener visibilidad de la nube para protegerla requiere cortar las paredes de comunicación entre estas tres organizaciones. Las mismas herramientas de seguridad que son implementadas de manera local, serán capaces también de proteger la nube -por lo que los equipos de seguridad y de nube necesitan comunicarse".

¿Qué tipo de persona debería asumir el liderazgo de la seguridad de la nube de la organización?

Necesitará ser una persona o un equipo con las habilidades adecuadas y la capacidad de comprometerse a largo plazo. "Encuentre a la persona o al equipo capaz de avanzar hacia los nuevos paradigmas de seguridad en la nube rápidamente, y permitirles construir su estrategia de seguridad para los siguientes tres a cinco años", señala Govshteyn.

"En los últimos años, éste ha tendido a ser el equipo de operaciones de TI o el equipo de seguridad de una empresa, pero siempre hay un colaborador individual o un equipo de seguridad de la nube dedicado al centro de este esfuerzo. Esta nueva generación de profesionales puede escribir código, pasar más del 80% de su tiempo automatizando sus trabajos y ver a los equipos de desarrollo como sus compañeros en lugar de sus adversarios", anota Govshteyn, y añade que en las empresas de tecnología la seguridad es muchas veces una función del equipo de ingeniería.

A pesar de que las juntas de directores están cada vez más interesadas en la seguridad, no serán capaces de ayudar al ras del suelo. "En realidad, gran parte de la toma de decisiones importantes, cuando se trata de la seguridad de la nube, provienen actualmente de los tecnólogos capaces de mantenerse al día con el rápido ritmo de cambio en la nube pública", anota.

Algo que complica aún más la tarea de proteger la nube para más de la mitad de los encuestados (53%) es el hecho de que sus organizaciones no han implementado una estrategia o marco de nube. Aunque casi todas esas organizaciones planean hacerlo, no queda claro quién está liderando esa iniciativa.

"Las herramientas de monitoreo y seguridad también podrán aprovechar la misma plataforma de entrega de seguridad para una mayor flexibilidad, por lo que la red, la seguridad y la nube también deben estar de acuerdo en compartir la responsabilidad de la plataforma de entrega de seguridad", indica Clavel. "Las empresas que consolidan sus actividades de seguridad y monitoreo como parte del SOC, o por lo menos establecen presupuestos comunes y la propiedad compartida de una plataforma de entrega de seguridad, son recompensados con una mayor flexibilidad, una toma de decisiones más rápida y seguridad consistente tanto en las implementaciones locales como en las de nube."