Llegamos a ustedes gracias a:



Noticias

Nueva guía de seguridad en la nube CISA/NSA 5G

[17/11/2021] La 5G, o quinta generación de redes móviles, es una de las tecnologías de las que más se habla. A alto nivel, promete conectar prácticamente cualquier entidad, abarcando dispositivos, objetos y máquinas. La 5G mejora las redes de comunicación 4G en aspectos clave como la latencia, la velocidad y la fiabilidad.

La computación en nube desempeñará un papel fundamental en el uso y el éxito de las redes 5G. Cualquier adopción de una nueva tecnología conlleva problemas de seguridad, y el uso de la nube en el 5G no es diferente. Por ello, la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de EE.UU. y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) han publicado recientemente la primera de una serie de cuatro partes titulada Security Guidance for 5G Cloud Infrastructures.

Esta primera publicación de la serie se titula Security Guidance for Cloud Infrastructures Part I: Prevent and Detect Lateral Movement. Es recomendada para los proveedores de servicios e integradores de sistemas que participan en la construcción y configuración de infraestructuras de nube 5G. Estas entidades son un componente crítico de la cadena de suministro más amplia, ya que muchos proveedores de servicios y consumidores se verán directa o indirectamente afectados por cualquier actividad maliciosa contra su infraestructura de nube y sus entornos de alojamiento. Otros números de la serie se centrarán en temas como el aislamiento seguro de los recursos de red, la protección de los datos en varios estados y la garantía de la integridad de la infraestructura de la nube.

Las redes 5G utilizarán la nube para proporcionar los resultados deseados y las mejoras con respecto a 4G debido a la robusta infraestructura, escalabilidad y resistencia de la nube. Dicho esto, una de las principales preocupaciones en materia de seguridad de la infraestructura de la nube pública es su naturaleza multiusuario. Los consumidores de múltiples organizaciones no relacionadas confían en los mismos proveedores de nube pública y, a menudo, alojan cargas de trabajo en el entorno de la nube pública. Si un actor malicioso es capaz de moverse lateralmente o pivotar de una carga de trabajo comprometida a otra, puede tener efectos de gran alcance y en cascada en innumerables inquilinos en el entorno de la nube.

Esta naturaleza multi-arrendatario justifica el endurecimiento tanto de la infraestructura subyacente y el entorno de alojamiento, como de las cargas de trabajo que residen en los entornos de nube para mitigar las amenazas de movimiento lateral. Esto, por supuesto, dependerá de que todas las partes implicadas, como los proveedores de servicios en la nube y los proveedores de servicios 5G, comprendan y ejecuten con éxito el modelo de responsabilidad compartida de la nube.

Las directrices de la NSA/CISA se centran en la confianza cero

No debería sorprender que la guía para prevenir y detectar el movimiento lateral en entornos de nube 5G gire en torno al concepto de confianza cero. Para saber más sobre la confianza cero, consulte la norma NIST SP 800-207 junto con las directrices de la NSA y la CISA.

La orientación para los entornos de nube 5G implica protecciones perimetrales sólidas, así como controles internos seguros junto con suficiente registro, supervisión y automatización. Los entornos en la nube presentan innumerables puntos de entrada e interfaces vulnerables en los que los actores maliciosos podrían intentar comprometer los entornos, incluyendo el software, las API y las redes.

  • La primera versión de la NSA/CISA se centra en estas seis áreas:
  • Implementar una gestión segura de la identidad y el acceso.
  • Mantener el software de la nube 5G actualizado y libre de vulnerabilidades conocidas.
  • Configurar de forma segura las redes en la nube 5G.
  • Bloquear las comunicaciones entre funciones de red aisladas.
  • Supervisar los movimientos laterales de los adversarios.
  • Utilizar la analítica para detectar la presencia de adversarios sofisticados.

1. Implementar la gestión de identidades y accesos: Independientemente del modelo de computación desplegado, como máquinas virtuales (VM), contenedores o sin servidor, se deben establecer suficientes prácticas de seguridad para mitigar las vulnerabilidades y el movimiento lateral en los entornos de nube 5G. Desde la perspectiva de la IAM, los controles y las prácticas de seguridad fundamentales pueden recorrer un largo camino. Estos incluyen elementos como identidades únicas, control de acceso menos permisivo, autenticación robusta y autenticación multifactor. Los certificados deben utilizarse para implementar la seguridad de la capa de transporte mutua (mTLS) y la fijación de certificados para verificar la identidad de los titulares de los mismos. Además de estas mejores prácticas, el registro es fundamental. Los comportamientos anómalos deben ser identificados lo antes posible y las capacidades de auto-reparación deben ser implementadas cuando sea posible.

2. Mantener actualizado el software 5G: Una de las complejidades inherentes a los entornos en la nube es la miríada de fuentes de software existentes. Esto incluye tanto el software de código abierto como el propietario, todos ellos utilizados para proporcionar servicios robustos a los consumidores de la nube 5G. Por este motivo, es fundamental que los proveedores de la nube 5G apliquen prácticas sólidas de desarrollo de software, como el Marco de Desarrollo Seguro de Software (SSDF) del NIST, junto con programas y operaciones maduros de gestión de vulnerabilidades.

Los proveedores de la nube 5G son un componente central de la cadena de suministro más amplia y el hecho de no abordar las vulnerabilidades del software a este nivel se extenderá a su amplia base de consumidores. Este programa de gestión de la vulnerabilidad debe tener en cuenta las vulnerabilidades conocidas públicamente, con y sin parche disponible, así como las vulnerabilidades de día cero. Esto incluye tener un programa de gestión de parches de operación en su lugar.

3. Configuración segura de la red 5G: La implementación de la seguridad de la red en la nube puede variar y tiene muchas capas, como las nubes privadas virtuales (VPC), los hosts, los contenedores y los pods. Algunas de las recomendaciones incluyen la agrupación de recursos en función de su sensibilidad y la limitación de los radios de explosión mediante la microsegmentación.

La configuración de la red y el aislamiento de las comunicaciones son fundamentales a la hora de proteger los entornos de nube 5G. Debido a la naturaleza multiusuario de la nube y a la introducción de las redes definidas por software (SDN), se justifica y es posible un nuevo enfoque de la red. Las directrices recomiendan el uso de capacidades nativas de la nube, como las listas de control de acceso a la red y las reglas del firewall, para restringir adecuadamente las rutas de la red. Esta es un área de enfoque clave cuando se trata de prevenir el movimiento lateral de actores maliciosos en entornos de nube. Si un actor malicioso compromete una única VPC o subred, no querrá que ésta sirva como punto de pivote para otras VPC y subredes dentro de su entorno de nube.

Otras recomendaciones son las entradas de denegación por defecto en los firewalls y las listas de control de acceso tanto para el tráfico entrante como para el saliente, y el control del tráfico este/oeste mediante el uso de mallas de servicios, que son habituales en los entornos nativos de la nube. Las orientaciones sobre las mallas de servicios se pueden encontrar en la publicación 800-204C del NIST.

4. Bloquear la comunicación entre funciones de red aisladas: Los entornos de nube 5G tendrán implementaciones y arquitecturas de red complejas. A pesar de esta realidad, los entornos de nube 5G deben garantizar que todas las sesiones de comunicación estén autorizadas y cifradas adecuadamente. Como se ha mencionado anteriormente, también debe practicarse el uso de la microsegmentación para minimizar el radio de explosión de un compromiso de cualquier segmento de red específico dentro de los entornos.

5. Supervisar y detectar el movimiento lateral: Ningún debate sobre la seguridad de los entornos nativos de la nube 5G sería suficiente sin incluir medidas para supervisar y detectar el movimiento lateral de los adversarios. Todos los controles preventivos del mundo no importarán si los actores maliciosos consiguen acceder y los proveedores de la nube 5G son totalmente ajenos a ellos. Incidentes como el compromiso de credenciales, la explotación de vulnerabilidades y otros son casi una conclusión inevitable. Por ello, es necesario contar con prácticas adecuadas de supervisión, detección, alerta y corrección para cuando esto ocurra. Esto debería implicar actividades como la supervisión de las anomalías en el comportamiento de los usuarios y los comportamientos sospechosos del tráfico de red, como la comunicación con direcciones externas conocidas como malas.

6. Utilizar la analítica para detectar la presencia de adversarios: Estos complejos y dinámicos entornos de nube 5G justifican en última instancia el uso de tecnologías y capacidades mejoradas, como el aprendizaje automático y la inteligencia artificial, para poder abarcar la escala de actividad y telemetría que producirán. Los equipos de seguridad simplemente no pueden seguir el ritmo del alcance o la escala de la actividad en muchos entornos complejos nativos de la nube. Al apoyarse en las capacidades de CSP y de terceros, los equipos de seguridad pueden utilizar la automatización para ayudar a identificar y limitar rápidamente las actividades maliciosas.

Cuando la seguridad exige tiempos de respuesta en segundos, los humanos están a minutos e incluso a veces a horas de distancia. Es esta realidad la que requiere el uso de la automatización y la razón por la que la automatización es un pilar clave de la implementación de arquitecturas de confianza cero, incluso en entornos de nube 5G.