¿Qué es la CSPM?: Llenar los vacíos de la seguridad en la nube

[05/07/2021] Cada semana trae otro informe de alguien que deja un contenedor de almacenamiento en línea sin seguridad y lleno con datos confidenciales de clientes. Algunos son asombrosos en términos de gravedad, como lo que sucedió en noviembre del 2020, cuando más de 10 millones de archivos que contenían datos relacionados con viajes fueron expuestos desde un bucket de AWS S3, configurado incorrectamente. Y le puede pasar a cualquiera: a principios de mayo, se descubrió que un contenedor de almacenamiento, mal configurado en Azure, era responsabilidad de Microsoft.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

En una encuesta global reciente a 1400 CSO, realizada por Proofpoint, la segunda ciberamenaza más popular fue poner el riesgo las cuentas en la nube, señalada por un tercio de los encuestados. A menudo se cita un informe anterior de Gartner que afirma que "casi todos los ataques exitosos a los servicios en la nube son el resultado de errores y configuraciones incorrectas del cliente”. La investigación de Check Point concuerda: En el 2020, descubrió que dos tercios de las amenazas citadas por los encuestados son errores de configuración de la plataforma en la nube.

Gartner también pronostica que, hasta el 2023, al menos el 99% de las fallas de seguridad en la nube serán culpa del cliente. Casi la mitad de las organizaciones encuestadas cometieron errores que han expuesto datos, APIs o segmentos de red a Internet. Como ejemplo, consulte esta lista de contenedores de almacenamiento abiertos que se han visto comprometidos en el pasado. Esa lista de hace tres años rápidamente ha quedado obsoleta.

Estos involuntarios errores de configuración han adquirido una nueva importancia. En el pasado, muchos productos de seguridad se centraban en mantener alejados a los malos, bloquear a los intrusos y al personal interno malintencionado. Eso estaba bien cuando la infraestructura en la nube era una pequeña parte de las operaciones empresariales, pero hoy necesitamos herramientas que puedan encontrar y corregir estos errores involuntarios.

¿Qué es la CSPM?

La gestión de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) combina inteligencia, detección y corrección de amenazas que funciona en colecciones complejas de aplicaciones basadas en la nube.

Las CSPM complementan a los agentes de seguridad de acceso a la nube (CASB, por sus siglas en inglés) y a los productos de protección de cargas de trabajo en la nube, y completan el vacío entre ellos. Algunos proveedores de protección de cargas de trabajo en la nube y CASB ahora ofrecen módulos complementarios de CSPM a sus líneas de productos existentes.

Las tecnologías en la nube se han clasificado como infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Las diferencias entre estas tres designaciones se están volviendo borrosas hasta el punto en que las etiquetas ya no tienen mucho significado. A medida que las empresas adquieren ofertas de nube más diversas, la noción de tener una sola herramienta como la CSPM, que cubra todas estas bases, se vuelve atractiva. Un análisis de mercado pronostica que el tamaño del mercado global de la CSPM crecerá de cuatro mil millones de dólares en el 2020, a nueve mil millones para el 2026. Evidentemente, esta es una categoría a la que hay que prestar más atención.

Los proveedores de CSPM han estado en una ola de adquisiciones durante los últimos años, que incluyen:

• Cloudguard de Checkpoint, que ha incorporado características de su adquisición de Dome9 hace varios años.
• Zscaler, que compró la herramienta CSPM de Cloudneeti en el 2020.
• Trend Micro, que compró Cloud One de Cloud Conformity.
• Palo Alto Networks, que adquirió lo que ahora es Prisma Cloud de Redlock y un modelo de protección de carga de trabajo de Twistlock.
• Aqua Security, que adquirió CloudSploit.
• Sophos, que adquirió Avid Secure.

Entre los proveedores también se encuentran Accurics, Falcon Horizon de CrowdStrike, DivvyCloud de Rapid7, la startup Orca Security, Sysdig Security y SecureSky Active Protection Platform. (Consulte el cuadro de resumen y las descripciones a continuación para obtener más detalles sobre algunos de estos proveedores).

¿Por qué se necesitan las CSPM?

El problema de todas las tecnologías basadas en la nube es que, intrínsecamente, carecen de perímetro. Esto significa que, si bien puede tener algo de protección (como con un CASB), ningún método simple puede determinar qué procesos o qué personas deberían tener acceso, o excluir a aquellos que no tienen derechos de acceso. Necesita una combinación de medidas de protección para garantizar esto.

El otro desafío es que los procesos manuales no pueden mantenerse al día con crecimiento, los contenedores y las APIs. Este es el motivo por el que se ha puesto de moda lo que ahora se denomina infraestructura como código, en la que la infraestructura se gestiona y se abastece mediante archivos de definición legibles por máquina. Estos archivos dependen de un enfoque basado en APIs. Este enfoque es integral para los ambientes de nube porque facilita el cambio de infraestructura sobre la marcha, pero también facilita la creación de configuraciones erróneas que dejan el ambiente abierto a vulnerabilidades.

Hablando de contenedores, también es difícil rastrearlos debido a que existen numerosas ofertas disponibles en la nube. Amazon Web Services (AWS) tiene su Elastic Container Service, su motor de cómputo sin servidor Fargate, y su Elastic Kubernetes Service. Los servicios de contenedores públicos, como Docker y Terraform, pueden o no ser compatibles con cada CSPM.

Sin mucha integración, la visibilidad también es difícil. Necesita una única fuente de verdad respecto a su postura de seguridad en la nube. Esto significa que un tablero de CSPM tendrá que encontrar su camino hacia su centro de operaciones de seguridad (SOC, por sus siglas e inglés), un espacio ya abarrotado, y que el personal de SOC tendrá que acostumbrarse a encontrar cómo incorporar sus datos en sus manuales de estrategias existentes. También significa que la CSPM debería poder vincularse con estas herramientas existentes y compartir indicadores de compromiso potencial, o notificación de un ataque activo a su infraestructura.

Algunas herramientas, como Falcon y Orca de CrowdStrike, llevan la integración un paso más allá. Ambos pueden hacer cosas como enviar alertas a los canales de Slack, iniciar los flujos de trabajo de Jira, y enviar tickets de la mesa de ayuda a ServiceNow para una mayor resolución.

Gartner afirma que "los arquitectos usan la CSPM para validar y hacer cumplir los controles de aplicaciones y datos nativos de la nube”. Identificaron cinco características diferentes comunes a las CSPM:

• Evaluación del cumplimiento
• Registro operativo y monitoreo de alimentación de alertas y detección de amenazas
• Integración de DevOps y corrección de implementación continua
• Respuesta a incidentes casi en tiempo real
• Evaluación y visualización uniforme de riesgos

Preguntas para hacerle a su proveedor de CSPM

• ¿Cómo puede calcular su línea de base para poder realizar un seguimiento de los cambios en sus activos basados en la nube?
• ¿Funciona para las tres principales nubes públicas (AWS, Azure y Google Cloud Platform), así como para varias implementaciones de Kubernetes y otras implementaciones basadas en contenedores? ¿Qué pasa con la compatibilidad con aplicaciones SaaS comunes como Box, Salesforce, Workday y ServiceNow? La cobertura de cada producto varía, como se muestra en la tabla a continuación. Algunos productos colocan agentes en su nube, algunos usan acceso de solo lectura para escanear su ambiente y recursos, y algunos tienen acceso de escritura para habilitar cambios destinados a solucionar problemas en sus cuentas.
• ¿Qué tan real es para las notificaciones sobre estos cambios, infracciones de políticas y otros eventos inusuales? ¿Realiza un seguimiento de los grupos de seguridad débiles mal configurados, el acceso remoto, los errores de control de aplicaciones y los cambios en la red? Todos los proveedores de nube ofrecen monitoreo de actividad integrado, pero si usan múltiples nubes, deseará que su CSPM analice este rico abastecimiento de datos y le dé un sentido práctico.
• ¿Qué tan cerca al tiempo real es en cuanto a la automatización de la remediación? Los mejores CSPM escanean continuamente en busca de sistemas vulnerables y algunos ofrecen formas en las que pueden detectar cuándo una nueva máquina virtual ha creado una situación insegura, por ejemplo.
• ¿Con qué otras herramientas de seguridad y notificación se integra, como SIEM y SOAR?
• ¿Cuántos marcos de informes de cumplimiento/auditoría son compatibles con cada proveedor de nube? Cada herramienta soporta una colección de marcos diferente, que tampoco es necesariamente la misma en todas las nubes para que las cosas también sean más difíciles para usted.
• ¿Cuánto cuesta? Algunos proveedores ofrecen una prueba o un nivel gratuito limitado; otros cobran por host o de formas más complejas que pueden significar una sorpresa cuando vence la factura. Pocos son como Sysdig que ofrecen una página web de precios pública y transparente.

5 productos CSPM y sus características

• CrowdStrike Falcon Horizon: CrowdStrike Falcon Horizon soporta una colección diferente de servicios entre AWS y Azure. Tiene una única consola que le permite administrar grupos de seguridad en ambas nubes y puede informar sobre los riesgos de los clústeres de Kubernetes administrados en ambos servicios. Se puede utilizar para identificar amenazas de forma proactiva como parte del ciclo de vida del desarrollo de software, utilizando agentes para supervisar la actividad.
• Orca Security: Orca es una startup proveedora de CSPM que tiene un producto sin agentes que soporta las tres principales plataformas de nube pública. Su herramienta incluye algunas funciones de protección de la carga de trabajo, y ofrece una inspección profunda de los contenedores que se encuentran en cada uno de los servicios en la nube.
• SecureSky Active Protection Platform: SecureSky Active Protection Platform soporta los tres principales proveedores de nube pública e incluye soporte para una variedad de aplicaciones SaaS, como Office 365, Workday, Salesforce, ServiceNow y Box. Se integra con SIEM y varias herramientas de cumplimiento e incluye una respuesta gestionada a amenazas integrada.
• Sysdig Secure: Sysdig comenzó ofreciendo soporte para AWS y actualmente está en versión beta para la nube de Google, y en proceso de agregar a Azure a finales de este año. Escanearán hasta 250 imágenes de contenedores administrados tanto en AWS Fargate como en ECR. Tienen una sola cuenta, que es gratuita, y cuentas pagadas, que agregan características como el monitoreo de contenedores, se encuentra desde 24 dólares mensuales por host, con descuentos por compra anual.
• Zscaler: El producto CSPM de Zscaler fue adquirido de Cloudneeti el año pasado. Ofrece una prueba gratuita de 30 días. Desde entonces, han agregado inventarios de activos, muchas políticas predefinidas y un lenguaje de consulta para construirlos, además de agregar soporte para Google Cloud Platform a AWS y Azure. También tienen 13 marcos de cumplimiento, aunque cada nube soporta un conjunto algo diferente.

Basado en el artículo de David Strom (CSO) y editado por CIO Perú

Puede ver también:

• Construir una seguridad multi-nube más fuerte: 3 elementos clave
• ¿Está migrando a aplicaciones basadas en la nube?
• SASE: Uniendo la SD-WAN con la seguridad
• Nuevos skills de TI para la nube
• Gestión de la nube: lo que necesita saber
• Desafíos de seguridad de las multinubes
• CASB: Protección para sus aplicaciones SaaS