¿Por qué las empresas no pueden controlar el problema de la mala configuración de la nube?

 

Los errores de configuración de la nube aún afectan a las empresas. Más herramientas SaaS conectadas a través de diferentes entornos de nube y la falta de controles de seguridad listos para usar son algunos de los problemas.

Preguntas sobre la estrategia en la nube

Desafortunadamente, todavía no lo hacen.

Según un informe de abril de Qualys, el 28% de las organizaciones encuestadas tuvieron una violación relacionada con la nube o SaaS en el último año, el 24% dijo que los servicios mal configurados representaban el mayor riesgo para sus entornos en la nube en tercer lugar después del error humano y los ataques cibernéticos dirigidos.

Qualys también analizó 44 millones de máquinas virtuales alojadas en las nubes públicas y descubrió que, en AWS, el 45% tenía recursos mal configurados, en Google Cloud Platform (GCP) el 63% tenía recursos mal configurados y el 70% tenía recursos mal configurados en Azure.

La compañía de ciberseguridad también descubrió que el 63% de las máquinas virtuales de acceso público no tenían cifrado en el almacenamiento EBS conectado.

Más herramientas, más oportunidades de mala configuración

La proliferación de herramientas SaaS que utilizan las empresas solo amplía las oportunidades de cometer errores de configuración. Los datos de 4.7 millones de miembros de Blue Shield California se expusieron recientemente debido a una configuración incorrecta en Google Analytics.

"Microsoft, Google y Amazon nos han dado un problema", dice Andrew Wilder, CSO de Vetcor, una red nacional de más de 900 hospitales veterinarios. "Por defecto, todo es inseguro y hay que poner seguridad encima. Sería mucho mejor si nos dieran cosas seguras listas para usar. ¿Comprarías un coche que no tenga cerraduras? Ni siquiera venderían ese auto".

Esta brecha de seguridad es lo que permite que existan proveedores externos, dice. "Debería crear productos, y estoy hablando con ustedes, Google, Microsoft y Amazon, que sean seguros por diseño, para que no tenga que obtener una herramienta de terceros. Deben estar seguros fuera de la caja".

Construir una seguridad interna no es una opción en Vetcor y la empresa está utilizando las herramientas nativas proporcionadas por los hiperescaladores. "Y para nosotros, en este momento, eso es suficiente".

Explora preguntas relacionadas

El año pasado, según Ayan Roy, líder de competencia en ciberseguridad de EY Americas, el mayor número de infracciones fueron causadas por repositorios compartidos en la nube. "Ahí es donde vimos la máxima cantidad de exfiltración de datos", dice. "Mucho provino de almacenes compartidos en la nube y aplicaciones SaaS". Eso es a pesar del hecho de que los clientes tienen planos de seguridad en la nube y procesos de gobierno y se debe a la TI en la sombra, señala.

Las organizaciones están activando algo pero no configuran todas las funciones de seguridad, no activan todo el registro y la supervisión, no activan MFA, no bloquean el acceso. "Las empresas quieren ir rápido y el tiempo de creación de valor es absolutamente importante". Pero no incluyen a los equipos de ciberseguridad en estas decisiones y ahí es donde comienza el problema.

"Lo cibernético se convierte en una ocurrencia tardía. Si están en la conversación correcta, pueden hacer las cosas de manera más proactiva en lugar de hacer las cosas retroactivamente".

Una medida proactiva que cualquier empresa puede tomar es generar más conciencia sobre las plataformas seguras aprobadas por la empresa. Eso podría requerir una mejor comunicación o capacitación adicional para garantizar que los empleados no se vayan y usen sistemas inseguros cuando haya opciones seguras disponibles.

Otro punto ciego surge durante las fusiones y adquisiciones, dice. "Sea proactivo en las adquisiciones", dice Roy. "Haga la debida diligencia y tenga en cuenta eso, y asegúrese de tener el plan de inversión adecuado para la ciberseguridad".

Principales errores de configuración de la nube

Según Scott Wheeler, líder de práctica de nube en Asperitas, cuanto más grande sea la organización o más supervisión regulatoria enfrente, menos errores de configuración de la nube verá. "Pero si llegas al fondo de la lista Fortune 1000, digamos, si eres una empresa manufacturera y las implicaciones de cometer un error no se perciben como tan grandes, y no tienen reguladores que se ciernan sobre ellos, podrían ser rápidos y sueltos. Ahí es donde ves que ocurren errores".

Y las organizaciones más pequeñas tienen tremendos problemas ya que no tienen el personal ni las herramientas para gestionar los riesgos de configuración. Esto incluye depósitos de almacenamiento expuestos o servicios web, privilegios excesivos.

"Todo el concepto de confianza cero se basa en el hecho de que puede bloquear el acceso al mínimo de lo que necesita", dice Wheeler. "Pero eso es difícil de hacer". Las personas a menudo aumentan los permisos durante el desarrollo y no los vuelven a colocar cuando las cosas entran en producción.

El mayor error que ve Wheeler es que las bases de datos u otros activos en la nube no se comunican a través de redes privadas seguras. "Muchas veces, fuera de la caja, esos servicios no tienen eso", dice. "Se necesita algo de trabajo para configurarlo para que sea estrictamente tráfico de red privado a mi entorno de nube privada o mi entorno local. Eso es enorme, y vemos muchos hackeos con eso, y muchos compromisos en entornos internos".

La falta de autenticación multifactor es otro riesgo, ya que MFA ayuda a proteger los entornos en la nube contra riesgos como la filtración de credenciales. La falta de cifrado es otra preocupación, según Thales, solo el 51% de los datos confidenciales en la nube están cifrados, y solo el 8% de las empresas cifran el 80% o más de sus datos en la nube.

 9 consejos para configuraciones en la nube para reducir la exposición de datos

1. Implemente la autenticación multifactor en todas partes

Requerir MFA para todo el acceso a la nube, no solo para algunos usuarios. La razón por la que tantas empresas informan violaciones de datos que involucran sus instancias de Salesforce es que no tenían MFA correctamente configurado para sus cuentas de usuario, lo que permitía a los adversarios hacerse cargo de las cuentas de usuario.

2. Redes privadas predeterminadas para todos los servicios

Configure bases de datos y servicios en la nube para que se comuniquen solo a través de redes privadas, no de la Internet pública. Según Scott Wheeler de Asperitas, muchos servicios no utilizan esta opción de forma predeterminada y es el principal error de configuración que ve en las investigaciones de violación de datos.

3. Cifrar datos confidenciales en reposo y en tránsito

Solo el 51% de los datos confidenciales en la nube están encriptados, según Thales. Hoy en día, el cifrado debe ser el valor predeterminado para todos los recursos nuevos y existentes. Y con la computación cuántica en el horizonte, las empresas ya deberían estar utilizando algoritmos de cifrado a prueba de cuántica para defenderse de los ataques de recolección ahora y descifrado posterior.

4. Aplicar controles de acceso con privilegios mínimos

Dar a los usuarios y sistemas acceso a los mínimos recursos posibles es un gran dolor de cabeza. Y cuando se otorgan privilegios adicionales por una razón en particular, a menudo no se vuelven a degradar cuando pasa la necesidad. Pero el privilegio mínimo es una piedra angular de los principios modernos de seguridad de confianza cero, y las cuentas con privilegios excesivos pueden conducir fácilmente a pérdidas de datos.

5. Utilice la infraestructura como código para todos los cambios

Cuando los administradores o usuarios realizan cambios en las configuraciones de la nube en las consolas de administración de la nube, es difícil realizar un seguimiento de esos cambios y revertirlos si algo sale mal. Además, los humanos pueden cometer errores fácilmente. La solución que aconsejan los expertos es adoptar el principio de "infraestructura como código" y utilizar herramientas de gestión de la configuración para que todos los cambios se comparen con las políticas, se rastreen y auditen, y se puedan revertir fácilmente.

6. Busque configuraciones incorrectas continuamente

Y no es suficiente verificar que las configuraciones estén establecidas actualmente cuando se configuran los activos en la nube por primera vez. Las empresas deben asegurarse de no cambiar. Los proveedores de la nube ofrecen algunas herramientas nativas para ayudar con esto, y las herramientas de gestión de la postura de seguridad en la nube pueden llenar los vacíos o proporcionar monitoreo de múltiples nubes.

7. Bloquee los depósitos de almacenamiento y deshabilite el acceso público

Los cubos no seguros de Amazon S3 estaban de moda entre los piratas informáticos hace unos años, y siguen siendo un problema para las empresas. Según el análisis de Tenable de los entornos en la nube, el 9% del almacenamiento en la nube de acceso público contiene datos confidenciales. Usa políticas de bucket y controles de acceso para asegurarte de que el almacenamiento sea privado de forma predeterminada y, si cambias su disponibilidad a pública para realizar pruebas o por algún otro motivo, asegúrate de que vuelva a ser privado cuando hayas terminado.

8. Habilite el registro y la supervisión completos para todas las implementaciones

Las empresas a menudo tendrán monitoreo para los principales servicios en la nube, pero las implementaciones de TI en la sombra se dejan en la oscuridad. Esto es menos un problema tecnológico que de gestión y puede abordarse mediante mejores comunicaciones con las unidades de negocio y un enfoque más disciplinado para implementar tecnología a nivel de toda la empresa. Con el rápido ritmo del cambio tecnológico, esto es más difícil de hacer, pero también más importante, ya que la IA y otros nuevos servicios en la nube pueden afectar datos y procesos confidenciales.

9. Comience seguro desde el primer día

Incorpore seguridad en su arquitectura en la nube desde el principio: es mucho más difícil de adaptar más adelante.

¿La IA resolverá todos los problemas?

Los proveedores prometen que la IA hará que la seguridad sea más fácil, barata y efectiva.

Pero, ¿la IA generativa realmente resolverá el problema de configuración de la nube?

Podría, dice Wilder de Vetcor. "Pero no va a suceder tan rápido como dice la gente. Realmente creo que la IA agencial tiene la posibilidad de mejorar lo que están haciendo los equipos de seguridad, para aliviar la falta de recursos que tenemos. Pero también hay mucha gestión del cambio organizacional que interviene en eso".

Fuente: CSOOnLine 

Comentarios

Publicar un comentario

Entradas populares de este blog

La tendencia de transformar fotos al estilo Ghibli y los graves riesgos que implica

Imagen
Jefe de la Unidad de Ciberdelitos de la Policía advierte que estas prácticas podrían incluso permitir el acceso no autorizado a cuentas bancarias En los últimos días, una tendencia viral ha conquistado las redes sociales: l a transformación de fotos históricas, escenas de películas y memes en ilustraciones   con el inconfundible estilo visual de Studio Ghibli. (Te invitamos a leer: Así fue la captura de alias Momo, líder de los Águilas, vinculado al caso de Malvinas) Esta moda,   impulsada por herramientas de inteligencia artificial,   permite convertir imágenes reales en caricaturas detalladas, simulando la estética del famoso estudio de animación japonés. Sin embargo, detrás de esta aparente diversión, existen riesgos importantes que los usuarios deben considerar antes de compartir sus fotografías. Gonzalo García, jefe de la Unidad Nacional de Ciberdelitos de la Policía Nacional del Ecuador, advierte que aunque convertirnos en un personaje de Ghibli puede parecer ...
Leer más

Ransomware ataca ESXi a través de túneles SSH ocultos

Imagen
 Grupos de ransomware y actores de amenazas están utilizando técnicas de "vivir fuera de la tierra" y utilizando herramientas nativas como SSH para establecer un túnel SOCKS entre sus servidores C2 y el entorno comprometido. "Los dispositivos ESXi, que no están monitoreados, se explotan cada vez más como un mecanismo de persistencia y una puerta de acceso para acceder a las redes corporativas de forma generalizada" , dijeron los investigadores de Sygnia Aaron (Zhongyuan) Hau y Ren Jie Yow en un   informe publicado   la semana pasada. La idea es mezclar datos exfiltrados con el tráfico legítimo y establecer una persistencia a largo plazo en la red comprometida con poca o ninguna detección por parte de los controles de seguridad. La empresa de ciberseguridad Sygnia dijo que en muchos los incidentes analizado, los sistemas ESXi se vieron comprometidos ya sea mediante el uso de credenciales de administrador o aprovechando una vulnerabilidad de seguridad conocida para el...
Leer más

Kali GPT – Revolucionando las pruebas de penetración con IA en Kali Linux

Imagen
  En el mundo digital en rápida evolución, los profesionales de la ciberseguridad buscan continuamente herramientas innovadoras que no solo agilicen los flujos de trabajo, sino que también empoderen a los usuarios con conocimientos más profundos y capacidades de automatización. Entra en escena Kali GPT, un innovador   asistente de IA   diseñado explícitamente para el ecosistema Kali Linux, diseñado por XIS10CIAL. Este artículo examina los orígenes, las capacidades y los beneficios tangibles de Kali GPT, destacando su papel fundamental en las prácticas contemporáneas de ciberseguridad. La génesis de Kali GPT Kali GPT nace de la fusión de la inteligencia artificial avanzada y la robusta plataforma Kali Linux de código abierto, una de las favoritas entre los hackers éticos y los expertos en seguridad. En esencia, Kali GPT es un modelo GPT-4 personalizado, diseñado para interactuar sin problemas dentro del entorno Kali. Su arquitectura aprovecha el procesamiento del lenguaje ...
Leer más