¿Cómo asegurar la nube?

La marcha hacia la nube para datos y servicios ha hecho que muchas empresas reconsideren su enfoque de la ciberseguridad. ¿Necesitan una estrategia de seguridad en la nube? ¿Cuál es la diferencia de una estrategia de seguridad en la nube? Encuestas recientes han arrojado luz sobre cómo están cambiando las estrategias de seguridad y, lo que es más importante, cómo deberían cambiar.

Colocar más infraestructura de TI en la nube es de alguna manera más seguro que tenerla en casa. Por ejemplo, puede estar razonablemente seguro de que el sistema está ejecutando la última versión con los parches adecuados. Los proveedores de servicios cloud también están incorporando nuevas capacidades, como el uso de lenguaje de máquina, para la detección de anomalías. Sin embargo, también presenta nuevos riesgos, algunos de los cuales son el resultado de un malentendido sobre cómo gestionar la seguridad en la nube.

Es importante saber cómo la estrategia de TI en la nube de una empresa, ya sea híbrida, alojada de forma privada o pública, afecta a su estrategia de ciberseguridad y a la ejecución táctica de dicha estrategia.

¿Qué datos sensibles hay en la nube?

En octubre del 2018, McAfee publicó su informe sobre adopción y riesgo del cloud computing 2018. Esa investigación demostró que el intercambio de datos confidenciales a través de la nube aumenta en un 53% con respecto al año anterior, lo que supone un gran salto. De todos los archivos en la nube, el 21% contiene datos confidenciales, encontró McAfee, y el 48% de esos archivos son eventualmente compartidos.

Estos datos sensibles incluyen datos confidenciales de la empresa (27%), datos de correo electrónico (20%), datos protegidos por contraseña (17%), información de identificación personal (PII) (16%), datos de pago (12%) y datos de salud personal (9%). El riesgo asociado a los datos confidenciales en la nube está creciendo, a medida que las empresas los confían más a la nube. Según McAfee, un 28% más de datos confidenciales se colocaron en la nube durante el año anterior.

Con tantos datos confidenciales en la nube y compartidos a través de la nube, el robo por piratería no es el único riesgo. McAfee descubrió que las empresas tienen un promedio de 14 instancias de infraestructura como servicio (IaaS, por sus siglas en inglés) mal configuradas, lo que resulta en un promedio de 2.200 incidentes de configuración errónea al mes en los que los datos están expuestos al público.

¿Cuál es el riesgo de la seguridad en la nube?

Los datos del proveedor de seguridad de la nube Alert Logic muestran la naturaleza y el volumen de riesgo de cada forma de entorno de nube, en comparación con un centro de datos local. Durante 18 meses, la empresa analizó 147 petabytes de datos de más de 3.800 clientes para cuantificar y categorizar los incidentes de seguridad. Durante ese tiempo, identificó más de 2,2 millones de incidentes de seguridad verdaderamente positivos. Los hallazgos clave incluyen:

* Los entornos de cloud híbridos experimentaron el mayor número medio de incidentes por cliente con 977, seguidos por la cloud privada alojada (684), el centro de datos local (612) y la cloud pública (405).

• Hasta ahora, el tipo de incidente más común fue un ataque a una aplicación web (75%), seguido por un ataque de fuerza bruta (16%), reconocimiento (5%), y software de rescate del lado del servidor (2%).
• Los vectores más comunes para ataques de aplicaciones web fueron SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) y Magento (6,98%).
• * WordPress fue el objetivo de fuerza bruta más común con un 41%, seguido por MS SQL con un 19%.

Tanto si se trata de un entorno de nube pública, privada o híbrida, las amenazas de las aplicaciones web son dominantes. Lo que es diferente entre ellos es el nivel de riesgo al que se enfrenta. “Como defensores, en Alert Logic nuestra capacidad para proteger eficazmente la nube pública también es mayor, porque vemos una mejor relación señal/ruido y perseguimos menos ataques ruidosos”, señala Misha Govshteyn, cofundadora de Alert Logic. “Cuando vemos incidentes de seguridad en entornos de nubes públicas, sabemos que tenemos que prestar atención, porque generalmente son más silenciosos”.

Los datos muestran que algunas plataformas son más vulnerables que otras. “Esto aumenta su superficie de ataque a pesar de sus mejores esfuerzos”, añade Govshteyn. Como ejemplo, señala que “a pesar de la creencia popular”, la pila LAMP ha sido mucho más vulnerable que la pila de aplicaciones basada en Microsoft. También ve las aplicaciones PHP como un hotspot.

“Los sistemas de gestión de contenidos, especialmente WordPress, Joomla y Django, se utilizan como plataformas para aplicaciones web mucho más de lo que la mayoría de la gente cree, y tienen numerosas vulnerabilidades”, indica Govshteyn. “Es posible mantener la seguridad de estos sistemas, pero solo si entiende los marcos y plataformas web que sus equipos de desarrollo tienden a utilizar. La mayoría de la gente de seguridad apenas presta atención a estos detalles, y toma decisiones basadas en malas suposiciones”.

Para minimizar el impacto de las amenazas de la nube, Alert Logic tiene tres recomendaciones principales:

• Confíe en las listas blancas de aplicaciones y bloquee el acceso a programas desconocidos. Esto incluye la realización de evaluaciones de riesgo vs. valor para cada aplicación utilizada en la organización.
• Entender su propio proceso de parches y priorizar su despliegue.
• Restringir los privilegios administrativos y de acceso en función de las tareas actuales de los usuarios. Esto requerirá mantener actualizados los privilegios, tanto para las aplicaciones como para los sistemas operativos.