nube

Más allá de los actores de amenazas que utilizan exploits de para vulnerabilidades zero-day, un riesgo mucho más real para las organizaciones — sobre todo a medida que se embarcan en ambiciosos proyectos de transformación digital— es el error humano. De hecho, los “errores varios” representaron el 17% de las filtraciones de datos el año pasado, según Verizon. Cuando se trata de la seguridad en la nube, hay una tendencia en particular que se destaca por encima de todas las demás: la mala configuración. Esta problemática es responsable de las filtraciones de miles de millones de registros cada año y sigue siendo una gran amenaza para la seguridad corporativa, la reputación y los resultados.

Mitigar esta amenaza persistente con forma humana requerirá que las organizaciones se centren en obtener una mejor visibilidad y control de sus entornos en la nube, utilizando herramientas automatizadas siempre que sea posible.

¿Qué tan graves son las fugas de datos en la nube?

La transformación digital salvó a muchas organizaciones durante la pandemia. Y ahora es vista como la clave para impulsar el éxito a medida que salen de la crisis económica mundial. Las inversiones en la nube se encuentran en el corazón de estos proyectos, apoyando aplicaciones y procesos comerciales diseñados para impulsar nuevas experiencias de clientes y eficiencias operativas. Según pronostica Gartner, el gasto global en servicios de nube pública crecerá un 18,4% en 2021 hasta un total de casi $ 305 mil millones, y luego aumentará en un 19% adicional el próximo año.

Sin embargo, esto abre la puerta al error humano, ya que las configuraciones erróneas exponen los datos confidenciales a actores maliciosos. A veces, estos registros contienen información personal identificable (PII, por sus siglas en inglés), como fue el caso de la brecha que afectó a millones de personas como consecuencia de un servidor mal configurado de un software español para la reservas de hoteles en 2020. Sin embargo, a veces podría decirse que es aún más sensible. En octubre de 2021 se supo que se expuso públicamente una lista con información confidencial que contiene registros de terroristas monitoreados por los Estados Unidos.

La mala noticia para las organizaciones es que los actores de amenazas están buscando cada vez más estas bases de datos expuestas. En el pasado, la información de estas bases de datos han sido borradas y retenidas para pedir el pago de un rescate, e incluso han sido blanco de ataques de web skimming.

La escala de estas filtraciones es asombrosa: un estudio de IBM del año pasado encontró que más del 85% de los 8.500 millones de registros con filtraciones reportados en 2019 se debieron a servidores en la nube mal configurados y otros sistemas indebidamente configurados. Eso es un aumento de menos de la mitad con respeceto a 2018. Es probable que la cifra siga aumentando hasta que las organizaciones tomen medidas.

¿Cuál es el problema?

Gartner predijo que para 2020, el 95% de los incidentes de seguridad en la nube serían culpa del cliente. Entonces, ¿quién tiene la culpa? Se reduce a una serie de factores, incluida la falta de supervisión, el conocimiento deficiente de las políticas, la ausencia de monitoreo continuo y demasiadas API y sistemas en la nube para administrar. El último es particularmente agudo, ya que las organizaciones invierten en múltiples entornos de nube híbrida. Las estimaciones sugieren que el 92% de las empresas de hoy en día tienen una estrategia de múltiples nubes, mientras que el 82% tienen una estrategia de nube híbrida que aumenta la complejidad.

Las configuraciones indebidas de servicios en la nube pueden tomar muchas formas, incluyendo:

  • Falta de restricciones de acceso. Esto incluye el problema común del acceso público a los buckets de almacenamiento de AWS S3, que podría permitir a los atacantes remotos obtener acceso a los datos y escribir en cuentas en la nube.
  • Políticas de seguridad excesivamente permisivas. Esto podría incluir servidores AWS EC2 sean accesibles desde Internet a través del puerto SSH 22, lo que permitiría ataques remotos.
  • Falta de controles de permisos. Si no se limitan los usuarios y las cuentas a los privilegios mínimos, la organización puede exponer a la organización a un mayor riesgo.
  • Rutas de conectividad a Internet mal entendidas
  • Funciones de red virtualizadas mal configuradas

Las Shadow IT también pueden aumentar las posibilidades de que ocurra lo anterior, ya que TI no sabrá si los sistemas en la nube se han configurado correctamente o no.

Cómo solucionar una configuración incorrecta de la nube

La clave para las organizaciones es encontrar y solucionar automáticamente cualquier problema lo más rápido posible. Sin embargo, están fallando. Según un informe, un atacante puede detectar configuraciones erróneas en 10 minutos, pero solo el 10% de las organizaciones están remediando estos problemas dentro de ese tiempo. De hecho, la mitad (45%) de las organizaciones están corrigiendo configuraciones erróneas en un período de tiempo que va entre una hora y una semana después.

Entonces, ¿qué se puede hacer para mejorar las cosas? El primer paso es comprender el modelo de responsabilidad compartida para la seguridad en la nube. Esto implica comprender qué tareas son responsabilidad del proveedor de servicios en la nube (CSP) y qué es competencia del cliente. Si bien los CSP son responsables de la seguridad de la nube (hardware, software, redes y otra infraestructura), los clientes deben asumir la seguridad en la nube, lo cual incluye la configuración de sus activos.

Una vez que esto se establece, aquí hay algunos consejos de mejores prácticas:

Limitar permisos: Aplicar el principio de menor privilegios a los usuarios y cuentas en la nube, minimizando así la exposición al riesgo.

Cifrar datos: aplique un cifrado sólido a los datos críticos para el negocio o altamente regulados para mitigar el impacto de una fuga.

Compruebe el cumplimiento antes del aprovisionamiento: priorice la infraestructura como código y automatice las comprobaciones de configuración de directivas lo antes posible en el ciclo de vida del desarrollo.

Auditoría continua: los recursos de la nube son notoriamente efímeros y cambiantes, mientras que los requisitos de cumplimiento también evolucionarán con el tiempo. Eso hace que sea fundamental el monitoreo constante de las configuraciones con respecto a las políticas. Considere las herramientas de gestión de la postura de seguridad en la nube (CSPM) para automatizar y simplificar este proceso.

Con la estrategia correcta en su lugar, podrá administrar el riesgo de seguridad en la nube de manera más efectiva y liberar al personal para que sea más productivo en otros lugares. A medida que los actores de amenazas mejoran sus métodos de búsqueda de datos expuestos en la nube, las organizaciones no tienen tiempo que perder.

Fuente y redacción: Phil Muncaster/welivesecurity.com

Compartir