20 oct. 2020

Cómo prevenir las 11 amenazas en Cloud Computing [II]

Los últimos riesgos involucrados en la computación en la nube apuntan a problemas relacionados con la configuración y la autenticación en lugar del enfoque tradicional en el malware y las vulnerabilidades, según un nuevo informe de Cloud Security Alliance.

El uso de la nube para alojar los datos, las aplicaciones y otros activos de su empresa ofrece varios beneficios en términos de administración, acceso y escalabilidad. Pero la nube también presenta ciertos riesgos de seguridad. Tradicionalmente, esos riesgos se han centrado en áreas como denegación de servicio, pérdida de datos, malware y vulnerabilidades del sistema. El informe argumenta que las últimas amenazas en la seguridad de la nube ahora se han trasladado a decisiones tomadas en torno a la estrategia e implementación de la nube.

Este artículo también está disponible para descargar en inglés: Cómo prevenir las 11 amenazas principales en la computación en la nube [PDF en inglés].

Los 5 puntos anteriores se pueden leer aquí: Cómo prevenir las 11 amenazas en Cloud Computing.

6. Amenazas internas (Insiders)

Los insiders no tienen que atravesar firewall, VPN u otras defensas de seguridad y, en su lugar, operan en un nivel confiable donde pueden acceder directamente a redes, sistemas informáticos y datos confidenciales.

Impacto de negocios

  • Las amenazas internas pueden resultar en la pérdida de información patentada y propiedad intelectual.
  • El tiempo de inactividad del sistema asociado con los ataques internos puede afectar la productividad de la empresa.
  • La pérdida de datos puede reducir la confianza en los servicios de la empresa.
  • Tratar con incidentes de seguridad interna requiere contención, remediación, respuesta a incidentes, investigación, análisis posterior a incidentes, escalado, monitoreo y vigilancia, todo lo cual puede sumarse a la carga de trabajo y al presupuesto de seguridad de una empresa.

Conclusiones y recomendaciones clave

  • Tome medidas para minimizar la negligencia interna para mitigar las consecuencias de las amenazas internas.
  • Brinde capacitación a sus equipos de seguridad para instalar, configurar y monitorear adecuadamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo.
  • Brinde capacitación a sus empleados habituales para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles.
  • Se requieren contraseñas seguras y actualizaciones frecuentes de contraseñas.
  • Informar a los empleados de las repercusiones relacionadas con la participación en actividades maliciosas.
  • Audite de forma rutinaria los servidores en la nube y en las instalaciones, y luego corrija cualquier cambio desde la línea de base segura establecida en toda la organización.
  • Asegúrese de que los sistemas de seguridad de acceso privilegiado y los servidores centrales estén limitados a un número mínimo de empleados, y que estas personas incluyan solo a aquellos con la capacitación para manejar la administración de servidores informáticos de misión crítica.
    Supervise el acceso a todos los servidores informáticos en cualquier nivel de privilegio.

7. Interfaces y API inseguras

Las API (Interfaces de Programación de Aplicaciones) y las UI (Interfaces de Usuario) suelen ser las partes más expuestas de un sistema, a menudo el único activo con una dirección IP pública disponible fuera del límite de confianza.

Desde la autenticación y el control de acceso hasta el cifrado y el monitoreo de la actividad, estas interfaces deben diseñarse para proteger contra intentos tanto accidentales como maliciosos de eludir la seguridad.

Impacto de negocios

  • Aunque la mayoría de los proveedores de la nube intentan integrar la seguridad en sus modelos, los clientes de la nube también deben comprender las implicaciones de seguridad.
  • Un conjunto débil de interfaces y API expone a las organizaciones a varios problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad.

Conclusiones y recomendaciones clave

  • Practique una buena higiene de API. Esto incluye la supervisión diligente de elementos como inventarios, pruebas, auditorías y protecciones de actividad anormal.
  • Asegure la protección adecuada de las claves API y evite la reutilización.
  • Considere la posibilidad de utilizar frameworks de API abiertos y estándar; por ejemplo Open Cloud Computing Interface (OCCI) e Cloud Infrastructure Management Interface (CIMI).

8. Plano de control débil

El plano de control habilita la seguridad y la integridad para complementar el plano de datos, que proporciona la estabilidad de los datos. Un plano de control débil significa que la persona a cargo no tiene el control total de la lógica, la seguridad y la verificación de la infraestructura de datos.

Impacto de negocios

  • Un plano de control débil podría provocar la pérdida de datos, ya sea por robo o corrupción.
  • También se puede incurrir en sanciones reglamentarias por la pérdida de datos.
  • Con un plano de control débil, es posible que los usuarios tampoco puedan proteger sus aplicaciones y datos comerciales basados ​​en la nube.

Conclusiones y recomendaciones clave

  • Los controles de seguridad adecuados proporcionados a través de un proveedor de nube son necesarios para que los clientes de la nube puedan cumplir con sus obligaciones legales y estatutarias.
  • Los clientes de la nube deben realizar la debida diligencia y determinar si el servicio en la nube que pretenden utilizar posee un plano de control adecuado.

9. Fallos de la metaestructura y de la aplicación

Existen fallas potenciales en múltiples niveles en el modelo de metaestructura y aplicación. Por ejemplo, la implementación deficiente de la API por parte del proveedor de la nube ofrece a los atacantes la oportunidad de interrumpir a los clientes de la nube la confidencialidad, la integridad o la disponibilidad del servicio.

Impacto de negocios

  • La metaestructura y la estructura de la aplicación son componentes críticos de un servicio en la nube. Las fallas que involucran estas características a nivel de proveedor de nube pueden afectar gravemente a todos los consumidores de servicios.
  • Al mismo tiempo, las configuraciones incorrectas por parte del cliente podrían perturbar al usuario financiera y operativamente.

Conclusiones y recomendaciones clave

  • Los proveedores de la nube deben ofrecer visibilidad y exponer las mitigaciones para contrarrestar la falta de transparencia inherente de la nube para los clientes.
  • Los clientes de la nube deben implementar funciones y controles adecuados en los diseños nativos de la nube.
  • Todos los proveedores de la nube deben realizar pruebas de penetración y proporcionar hallazgos a los clientes.

10. Visibilidad limitada del uso de la nube

La visibilidad limitada del uso de la nube ocurre cuando una organización no tiene la capacidad de visualizar y analizar si el uso del servicio en la nube dentro de la organización es seguro o malicioso.

Impacto de negocios

  • Falta de gobernanza. Cuando los empleados no están familiarizados con el acceso adecuado y los controles de gobierno, los datos corporativos confidenciales se pueden colocar en ubicaciones de acceso público en lugar de en ubicaciones de acceso privado.
  • Falta de conciencia. Cuando los datos y los servicios están en uso sin el conocimiento de la empresa, no pueden controlar su IP. Eso significa que el empleado tiene los datos, no la empresa.
  • Falta de seguridad. Cuando un empleado configura incorrectamente un servicio en la nube, puede volverse explotable no solo para los datos que residen en él, sino también para datos futuros.
  • El malware, las redes de bots, el malware de minería de criptomonedas y más pueden comprometer los contenedores en la nube, poniendo datos organizacionales, servicios y finanzas en riesgo.

Conclusiones y recomendaciones clave

  • La mitigación de estos riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad de la nube de arriba hacia abajo. Este proceso generalmente comienza con la creación de una solución integral que se vincule con las personas, los procesos y la tecnología.
  • Solicite capacitación a toda la empresa sobre las políticas y el cumplimiento de uso de la nube aceptados.
  • Todos los servicios en la nube no aprobados deben ser revisados ​​y aprobados por el arquitecto de seguridad en la nube o la administración de riesgos de terceros.
  • Invierta en soluciones como agentes de seguridad de acceso a la nube (CASB) o puerta de enlace definida por software (SDG) para analizar las actividades salientes y ayudar a descubrir el uso de la nube, los usuarios en riesgo y seguir el comportamiento de los empleados con credenciales para identificar anomalías.
  • Invierta en un firewall de aplicaciones web (WAF) para analizar todas las conexiones entrantes a sus servicios en la nube en busca de tendencias sospechosas, malware, denegación de servicio distribuida (DDoS) y riesgos de botnet.
  • Seleccione soluciones que estén diseñadas específicamente para monitorear y controlar todas sus aplicaciones empresariales clave en la nube (planificación de recursos empresariales, gestión de capital humano, experiencia comercial y gestión de la cadena de suministro) y garantizar que se puedan mitigar los comportamientos sospechosos.
  • Implemente un modelo de confianza cero en toda su organización.

11. Abuso y uso nefasto de los servicios en la nube

Los actores maliciosos pueden aprovechar los recursos de computación en la nube para dirigirse a usuarios, organizaciones u otros proveedores de la nube, y también pueden alojar malware en los servicios en la nube. Algunos ejemplos del uso indebido de los recursos de la nube incluyen: lanzamiento de ataques DDoS, campañas de correo electrónico no deseado y phishing, "extracción" de moneda digital, fraude de clics automatizado a gran escala, ataques de fuerza bruta de bases de datos de credenciales robadas y alojamiento de contenido malicioso o pirateado.

Impacto de negocios

  • Si un atacante ha comprometido el plano de gestión de la infraestructura en la nube de un cliente, el atacante puede utilizar el servicio en la nube con fines ilícitos mientras el cliente paga la factura. La cuenta podría ser sustancial si el atacante consumiera recursos sustanciales, como la minería de criptomonedas.
  • Los atacantes también pueden usar la nube para almacenar y propagar malware. Las empresas deben tener controles para hacer frente a estos nuevos vectores de ataque. Esto puede significar la adquisición de tecnología de seguridad que pueda monitorear la infraestructura en la nube o las llamadas API desde y hacia el servicio en la nube.

Conclusiones y recomendaciones clave

  • Las empresas deben monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso de servicios en la nube.
  • Emplee tecnologías de prevención de pérdida de datos (DLP) en la nube para monitorear y detener cualquier exfiltración de datos no autorizada.

"La complejidad de la nube puede ser el lugar perfecto para que los atacantes se escondan, ofreciendo ocultación como plataforma de lanzamiento para un daño mayor", dijo John Yeoh, vicepresidente global de investigación de CSA, en un comunicado de prensa. "El desconocimiento de las amenazas, los riesgos y las vulnerabilidades hace que sea más difícil proteger a las organizaciones de la pérdida de datos. Los problemas de seguridad descritos en esta iteración del informe Top Threats, por lo tanto, son un llamado a la acción para desarrollar y mejorar la concientización, configuración y gestión de identidad".

Fuente: TechRepublic

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!