IBM Security divulgó nuevos datos que examinan los principales desafíos y amenazas que afectan la seguridad de la nube, tales como Shadow IT y complejidad, indicando que la facilidad y agilidad que nuevas herramientas en la nube pueden ser implementadas, también están dificultando su control por parte de los equipos de seguridad.
De acuerdo con los datos de la encuesta de IBM y el análisis de casos de estudio, problemas básicos de supervisión de la seguridad que incluyen gobernanza, vulnerabilidad y configuraciones erróneas, siguen siendo los principales factores de riesgo que las organizaciones deberían abordar para asegurar el aumento de la transferencia de cargas de trabajo a la nube. Un análisis de los incidentes de seguridad durante el año pasado también arroja luz sobre cómo los cibercriminales se enfocan en entornos de nube con malware personalizado, ransomware y más.
Dado que las empresas se están moviendo rápidamente a la nube para adaptarse a las demandas remotas de la fuerza laboral, es esencial comprender los desafíos de seguridad que plantea esta transición para gestionar el riesgo.
Mientras que la nube habilita muchas capacidades críticas de negocios y tecnología, la adopción y gestión ad-hoc de los recursos de la nube también puede crear complejidad para los equipos de TI y de ciberseguridad.
Según la consultora IDC, más de un tercio de las empresas compraron más de 30 tipos de servicios en la nube de 16 proveedores diferentes solo en 2019.
Como consecuencia de esta fragmentación, no siempre queda claro quién tiene responsabilidad por la seguridad en la nube, y se generan «puntos ciegos» en las políticas, con la posibilidad de que Shadow IT introduzca vulnerabilidades y configuraciones erróneas.
Con el fin de obtener una mejor imagen de la nueva realidad de seguridad, a medida que las empresas se adaptan rápidamente a entornos híbridos multi-nube, IBM Institute for Business Value (IBV) e IBM X-Force Incident Response and Intelligence Services (IRIS) examinaron los desafíos únicos que afectan a las operaciones de seguridad en la nube, así como las principales amenazas dirigidas a entornos en la nube. Entre las principales conclusiones se encuentran:
- Complejidad en la responsabilidad: El 66% de los encuestados manifiestan que confían en proveedores de servicios de nube para la seguridad básica, sin embargo, la percepción de quién es responsable de brindar seguridad varía mucho entre las plataformas y aplicaciones específicas de la nube.
- Aplicaciones de nube dejan la puerta abierta: La ruta más común usada por los cibercriminales para comprometer los entornos de la nube fue a través de aplicaciones basadas en la nube, que representan el 45% de los incidentes en los estudios de casos de IBM X-Force IRIS. En esos casos, los cibercriminales aprovecharon los errores de configuración y las vulnerabilidades dentro de las aplicaciones, que a menudo permanecieron sin ser detectadas debido a que los empleados pusieron en pie nuevas aplicaciones en la nube por su cuenta, fuera de los canales aprobados.
- Amplificación de ataques: Si bien el robo de datos fue el principal impacto de los ataques en la nube que fueron evaluados, los hackers también hicieron blanco en la nube para criptominería y ransomware4, utilizando recursos de la nube para amplificar el efecto de estos ataques.
¿Quién es responsable de la seguridad en la nube?
Una encuesta del IBM Institute for Business Value reveló que las organizaciones principalmente asignan la responsabilidad de la seguridad a los proveedores de servicios de nube, a pesar de que los problemas de configuración, que generalmente son responsabilidad de los usuarios, suelen ser los culpables de las infracciones de datos (que representan más del 85% de todas las violaciones de registros en 2019 de las empresas que participaron del estudio).
Además, las percepciones de responsabilidad por la seguridad en la nube variaron ampliamente entre las distintas plataformas y aplicaciones. Por ejemplo, la mayoría de los encuestados (73%) consideró que los proveedores de nube pública eran la principal parte responsable de proveer seguridad para el software como servicio (SaaS), mientras que solo el 42% consideró que los proveedores eran los principales responsables de asegurar la infraestructura de la nube como servicio (IaaS).
Si bien este tipo de modelo de responsabilidad compartida es necesario para la era de multi-nubes híbridas, también puede generar políticas de seguridad variables y una falta de visibilidad en los entornos de la nube. Las organizaciones que pueden racionalizar sus operaciones de nube y seguridad pueden ayudar a reducir este riesgo, a través de políticas claramente definidas que se aplican en todo su entorno de TI.
Principales amenazas en la nube: robo de datos, criptominería y ransomware
Para tener una mejor idea de cómo los cibercriminales dirigen sus ataques a los entornos en la nube, los expertos en respuesta a incidentes IRIS de X-Force realizaron un análisis exhaustivo sobre los casos relacionados con la nube que el equipo respondió durante el año pasado. Los hallazgos del análisis son:
- Los ciberdelincuentes lideran la carga: Cibercriminales motivados por dinero fueron la categoría de grupo de amenazas más comúnmente observada, que se enfoca en entornos de nube en casos de respuesta a incidentes de IBM X-Force.
- Explotación de aplicaciones en la nube: El punto de entrada más común para los atacantes fue a través de aplicaciones en la nube, incluidas tácticas como el uso de fuerza bruta, la explotación de vulnerabilidades y configuraciones incorrectas. Las vulnerabilidades a menudo permanecieron sin ser detectadas debido al shadow IT, cuando un empleado sale de los canales aprobados y coloca una aplicación en la nube vulnerable. La gestión de vulnerabilidades en la nube puede ser un desafío, ya que las vulnerabilidades en los productos en la nube permanecieron fuera del alcance de los CVE (Common Vulnerabilities and Exposures) tradicionales hasta 2020.
- Ransomware en la nube: El ransomware se implementó tres veces más que cualquier otro tipo de malware en entornos de nube en casos de respuesta a incidentes de IBM, seguido de cryptominers y malware de botnet.
- Robo de datos: Fuera del despliegue de malware, el robo de datos fue la actividad de amenaza más común que IBM observó en entornos de nube vulnerados durante el último año, desde información de identificación personal (PII) hasta correos electrónicos relacionados con clientes.
- Retornos exponenciales: Los actores de amenazas utilizaron recursos en la nube para amplificar el efecto de ataques como criptominería y denegación de servicio (DDoS). Además, los grupos de amenazas usaron la nube para alojar su infraestructura y operaciones maliciosas, agregando escala y una capa adicional de ofuscación para no ser detectados.
Elementos para mejorar su seguridad en la nube
Si bien la revolución de la nube plantea nuevos desafíos para los equipos de seguridad, las organizaciones que pueden adoptar un modelo de gobernanza más maduro y optimizado para la seguridad de nube, pueden obtener beneficios significativos en su capacidad de respuesta y agilidad en materia de seguridad.
La encuesta del IBM Institute for Business Value reveló que las organizaciones que se clasificaron con alta madurez en la evolución de la Nube y la Seguridad pudieron identificar y contener las brechas de datos más rápido que sus pares que aún estaban en las primeras etapas de su recorrido de adopción de la nube. En términos de tiempo de respuesta de violación de datos, las organizaciones más maduras pudieron identificar y contener las violaciones de datos el doble de rápido que las organizaciones menos maduras (ciclo de vida de amenaza promedio de 125 días frente a 250 días).
A medida que la nube se vuelve esencial para las operaciones de negocio y para la fuerza laboral cada vez más remota, IBM Security recomienda que las organizaciones se centren en los siguientes elementos para ayudar a mejorar la ciberseguridad en entornos híbridos y de múltiples nubes:
- Establecer una gobernanza y cultura colaborativas: Adoptar una estrategia unificada que combine las operaciones de nube y seguridad, que abarque a desarrolladores de aplicaciones, Operaciones de TI y Seguridad. Definir políticas y responsabilidades claras para los recursos existentes en la nube, así como para la adquisición de nuevos recursos de nube.
- Tomar una visión basada en el riesgo: Evaluar los tipos de carga de trabajo y los datos que planean migrar a la nube y definir políticas de seguridad apropiadas. Comenzar con una evaluación basada en el riesgo para dar visibilidad en su entorno y crear una hoja de ruta para la adopción gradual de la nube.
- Aplicar una administración de acceso sólida: Aprovechar las políticas y herramientas de administración de acceso para acceder a los recursos de la nube, incluida la autenticación multifactor, para evitar la infiltración con credenciales robadas. Restringir las cuentas privilegiadas y configurar todos los grupos de usuarios con los privilegios mínimos necesarios para minimizar el daño que podría causarse en caso de que la cuenta se vea comprometida (zero trust model).
- Tener las herramientas adecuadas: Asegurarse de que las herramientas de monitoreo de seguridad, visibilidad y respuesta sean efectivas en todos los recursos cloud y on-promise. Considerar cambiar a tecnologías y estándares abiertos que permitan una mayor interoperabilidad entre herramientas.
- Automatizar los procesos de seguridad: La implementación de una automatización de seguridad efectiva en su sistema puede ayudar a mejorar sus capacidades de detección y respuesta, en lugar de depender de la reacción manual a los eventos.
- Usar simulaciones proactivas para ensayar en varios escenarios de ataque: Esto puede ayudar a identificar dónde pueden existir puntos ciegos y también abordar cualquier problema forense potencial que pueda surgir durante la investigación del ataque.