amenazas a la seguridad de la nube

Las amenazas más comunes a la seguridad de las nubes y cómo evitarlas

En su octava encuesta anual sobre el estado de la nube de las últimas tendencias de la computación en nube, RightScale encontró que el 91% de los encuestados tienen cargas de trabajo en la nube pública. Es más, abordar la nube pública es una prioridad máxima para el 31% de las empresas que fueron encuestadas. Estas cifras reflejan una confianza creciente en la computación en nube.

Tradicionalmente, las preocupaciones generales en materia de seguridad cibernética, así como los problemas de pérdida y fuga de datos, han actuado como barreras para la adopción de soluciones en la nube. El aumento de las cargas de trabajo que se trasladan a la nube indica que las empresas están superando su temor a las amenazas a la seguridad en la nube, lo suficiente, al menos, para permitir que algunos de sus datos y aplicaciones residan en la nube.

No obstante, las amenazas a la seguridad y otros riesgos de la computación en la nube siguen existiendo, y las empresas deben adoptar medidas para evitarlos (o al menos mitigarlos). En esta entrada del blog, revisaremos algunas de las amenazas de seguridad en la nube más comunes de hoy en día y lo que las empresas pueden hacer para evitarlas.

¿Quién es el responsable de la seguridad en la nube?

Para comprender el riesgo que suponen las amenazas a la seguridad de la nube, es importante delinear las responsabilidades para asegurar los diferentes aspectos de la computación en la nube. La división de responsabilidades entre el proveedor público de nubes y la organización del cliente varía enormemente según el modelo informático: SaaS, PaaS o IaaS. Para ello, exploremos brevemente las diferencias en los modelos de computación en la nube...

Infraestructura como servicio (IaaS) Computación en nube

En el modelo de infraestructura como servicio (IaaS), el proveedor de servicios de la nube se compromete a gestionar y asegurar las instalaciones, los centros de datos, las interfaces de red, el procesamiento y los hipervisores. El cliente debe administrar y asegurar la red virtual, las máquinas virtuales, los sistemas operativos, el middleware, las aplicaciones, las interfaces y los datos.

Plataforma como un servicio (PaaS) Computación en la nube

Esa división de responsabilidades cambia un poco para el modelo de Plataforma como Servicio (PaaS). El proveedor de la nube tiene los mismos deberes que el proveedor de IaaS, pero también añade la responsabilidad de la red virtual, las máquinas virtuales, los sistemas operativos y el middleware. La organización del cliente se encarga de asegurar y administrar las aplicaciones, las interfaces y los datos.

Software como un servicio (SaaS) Cloud Computing

Con el Software-as-a-Service (SaaS) el proveedor de la nube es responsable de la seguridad de todo, desde la infraestructura hasta la aplicación. La organización del cliente debe garantizar la seguridad de sus datos así como el acceso a la aplicación.

Sin embargo, a fin de cuentas, el proveedor de la nube y el cliente de la empresa deben trabajar bajo un modelo de responsabilidad compartida con el objetivo final de mantener los datos de la empresa a salvo y seguros. Dicho esto, veamos algunas de las principales amenazas a la seguridad en la nube a las que se enfrentan las empresas hoy en día y lo que se puede hacer para mitigar el riesgo de estas amenazas en la nube.

Desconfiguraciones del hardware y/o software de la nube

La gestión de la configuración puede ser difícil cuando se despliegan servicios e infraestructura en la nube, y la mala configuración de un componente o característica crítica puede introducir graves vulnerabilidades de seguridad en la nube. El jefe de los programas de seguridad global de Amazon Web Services dijo una vez que su mayor preocupación es que las aplicaciones de los clientes no estén configuradas adecuadamente para la seguridad.

Bajo el modelo de responsabilidad compartida de AWS, los clientes deben asegurar los sistemas operativos invitados que ejecutan en AWS, a través de las aplicaciones que están ejecutando. Eso deja mucho espacio para los errores de configuración de las nubes.

El informe de McAfee sobre la adopción de la nube y los riesgos en 2019 confirma que se trata de un gran problema. Según el informe, "Las organizaciones empresariales tienen un promedio de 14 casos de IaaS/PaaS mal configurados funcionando a la vez, lo que da como resultado un promedio de 2.269 incidentes individuales de mala configuración por mes".

Como ejemplo, McAfee informa que el 5,5% de los cubos de AWS S3 (almacenamiento) tienen "permisos de lectura mundial", lo que los hace abiertos al público. La empresa de seguridad Symantec dice que también ha observado que los permisos de acceso configurados incorrectamente permitían a cualquiera acceder a la información sensible almacenada en la nube.

El informe de McAfee sobre adopción y riesgo de la nube cita una serie de errores de configuración comunes, incluyendo:

  • La encriptación de los cubos de S3 no está activada
  • Hay un acceso de salida sin restricciones
  • Los registros de flujo de VPC están desactivados
  • La autenticación multifactorial no está habilitada para los usuarios de IAM
  • La encriptación de datos del EBS no está activada
  • El acceso a los recursos no se proporciona utilizando las funciones de la IAM
  • El puerto del grupo de seguridad EC2 está mal configurado
  • El acceso entrante del grupo de seguridad EC2 está mal configurado
  • El IAM no encriptado fue descubierto
  • Se han descubierto grupos de seguridad no utilizados

Evitar estos y otros errores de configuración de las nubes a menudo se reduce a cuidar lo básico:

  • Familiarícese con los controles de seguridad disponibles y las configuraciones y comportamientos predeterminados de cada componente del sistema.
  • Asegúrate de que la codificación de los datos esté activada cuando esté disponible.
  • Hacer cumplir la autenticación de múltiples factores para llevar a cabo acciones importantes.
  • Usar el acceso con menos privilegios en todos los sistemas.
  • Cambie las credenciales y los ajustes de configuración predeterminados para que se ajusten a sus necesidades.
  • Instituir políticas y prácticas de control de cambios.
  • Realice auditorías de seguridad y revisiones de configuración para asegurarse de que su entorno no sufre ningún problema de mala configuración que pueda introducir riesgos de seguridad.
  • Asegúrate de que los registros estén activados y de que capturen información que pueda ser analizada por amenazas a la seguridad.
  • Adopta la automatización y utiliza tecnologías que escudriñan continuamente en busca de recursos mal configurados y remedian los problemas en tiempo real.

Gestión de la identidad y el acceso (IAM)

En la nube, los problemas de gestión de la identidad y el acceso plantean un riesgo muy elevado y pueden incluir el acceso no autorizado, el robo de credenciales, el uso indebido de credenciales por parte de personas con información privilegiada, y más.

Según el informe de McAfee sobre adopción y riesgo de la nube, "por término medio, las organizaciones experimentan 12,2 incidentes al mes en los que un tercero no autorizado explota credenciales de cuentas robadas para obtener acceso a los datos corporativos almacenados en un servicio de nube. Estos incidentes afectan al 80,3% de las organizaciones al menos una vez al mes. Además, el 92% de las empresas tienen credenciales de la nube a la venta en la Web Oscura".

Symantec resume la gravedad de las credenciales de acceso a la nube comprometidas: "Los atacantes pueden vender credenciales de acceso a la nube robadas en foros clandestinos por 7 u 8 dólares cada uno. En la mayoría de los casos, los atacantes hacen un uso indebido de las cuentas robadas para alojar en la nube sus propios servidores de mando y control o sitios maliciosos, con la esperanza de poder aprovechar la confianza que los usuarios puedan tener en el dominio. Algunos atacantes hacen un uso indebido de los recursos robados para minar las criptodivisas o lanzar ataques de denegación de servicio distribuidos (DDoS). Por supuesto, las credenciales filtradas o robadas también pueden ser utilizadas para acceder a la infraestructura del cliente y extraer datos". Este último resultado es lo que más temen las empresas.

Los actores maliciosos que se hacen pasar por usuarios legítimos pueden leer, modificar y borrar datos. Los piratas informáticos también pueden emitir aviones de control y funciones de gestión, espiar datos en tránsito y liberar programas informáticos maliciosos que parecen proceder de una fuente legítima. Las formas más comunes de robar las credenciales de acceso a la nube son los correos electrónicos de phishing, la fuerza bruta de contraseñas fáciles de adivinar o el malware para robar información.

Existen varias prácticas óptimas para ayudar a prevenir el abuso de las credenciales de la nube y el acceso, entre ellas:

  • Automatizar la rotación de las claves criptográficas y las contraseñas
  • Utilizar un sistema escalable de gestión de identidades y credenciales
  • Utilizar la identificación de factores múltiples
  • Usar contraseñas fuertes
  • Limitar el uso de las cuentas de raíz y las cuentas de administración
  • Segregar y segmentar las cuentas, las nubes privadas virtuales (VPC) y los grupos de identidad basados en las necesidades comerciales y el principio del menor privilegio
  • Eliminar las credenciales y privilegios no utilizados

Incapacidad para proteger, inspeccionar y responder eficazmente a las amenazas de las nubes

Como señala el informe de McAfee, los incidentes de seguridad ya no están aislados a los PC y las aplicaciones en la red, debido principalmente a la escala de los datos corporativos almacenados en la nube hoy en día, así como al gran número de eventos que tienen lugar en la nube. Sin embargo, muchas organizaciones aún no han adaptado sus programas de seguridad para hacer frente a las ciberamenazas en la nube.

Las herramientas tradicionales de seguridad de los puntos finales, como las plataformas de detección y respuesta de puntos finales (EDR) y el software antivirus de última generación (NGAV), no están optimizadas para la detección y respuesta en la nube. Muchos de estos tipos de soluciones requieren que un agente recoja datos, y esto puede no ser posible con los despliegues de nubes. No obstante, es fundamental que los equipos de seguridad y de respuesta a incidentes puedan descubrir, inventariar, inspeccionar, detectar y responder a los incidentes de seguridad en las cargas de trabajo de AWS sin necesidad de instalar agentes, desplegar contenedores o navegar por la consola de AWS.

El modelo de responsabilidades compartidas entra en juego aquí. Su proveedor de servicios en la nube es responsable de supervisar la infraestructura y los servicios proporcionados a su empresa, pero no es responsable de supervisar los sistemas y aplicaciones que su empresa crea utilizando los servicios proporcionados, o los datos que usted coloca en la nube. El proveedor de la nube puede proporcionar a su organización información de supervisión relacionada con el uso de los servicios de la nube. Esta información debería utilizarse para aumentar los datos de sus propios instrumentos de vigilancia.

Para sus activos, aplicaciones e infraestructuras de la nube necesita una herramienta que pueda exponer, investigar y ayudarle a eliminar las amenazas y vulnerabilidades que residen en su entorno de la nube. Y, si tiene un despliegue de nubes híbrido, elija una herramienta que pueda detectar y responder tanto en su entorno de local como en el de nubes.

Si usted ha tenido sus aplicaciones en la nube por un tiempo y no se siente seguro de su postura de seguridad en la nube, póngase en contacto con nosotros para programar una evaluación de seguridad en la nube sin agentes para exponer amenazas desconocidas, vulnerabilidades y otros riesgos residentes en sus entornos de nube. Saber lo que se esconde - o no - dentro de tu nube es el primer paso para eliminar el riesgo.

Infocyte is an easy path to implement EDR or MDR for mid-size organizations. Learn more from Forrester's Now Tech Report here.

Interested in Sunburst and how to address compromises on your network?

Test out Infocyte's endpoint detection and response platform for free with our community edition: