La computación en la nube está transformando empresas en todo el mundo a un ritmo sin precedentes, creando un cambio fundamental en la forma en que piensan y operan. La migración a la nube agrega varios beneficios, pero sin políticas y procesos de seguridad de nivel empresarial, también puede dar lugar a vulnerabilidades de seguridad que pueden borrar todas las ganancias obtenidas con el cambio a la tecnología de la nube. Después de analizar la promesa y los riesgos asociados con la computación en la nube, nos esforzamos por ampliar nuestra comprensión de 12 problemas críticos de seguridad en la nube. Ellos son:
- Violaciones de datos
- Débil gestión de identidad, credenciales y acceso
- API inseguras
- Vulnerabilidades del sistema y de la aplicación
- Secuestro de cuenta
- Insiders maliciosos
- Amenazas persistentes avanzadas (APT)
- Pérdida de datos
- Debida diligencia insuficiente
- Abuso y uso nefasto de los servicios en la nube
- Negación de servicio
- Vulnerabilidades tecnológicas compartidas
1. Violaciones de datos
La violación de datos es un incidente en el que una persona no autorizada obtiene acceso a información sensible, protegida o confidencial, incluida información de salud personal, información financiera, información de identificación personal (PII), secretos comerciales y propiedad intelectual. Puede ocurrir debido a un ataque dirigido o como resultado de un error humano, vulnerabilidades o prácticas de seguridad inadecuadas. Aunque todas las violaciones de datos son problemáticas, la sensibilidad de los datos generalmente determina el alcance del daño.
En muchas partes del mundo, las leyes y reglamentos obligan a las organizaciones a ejercer estándares de seguridad específicos para garantizar la protección de la información confidencial contra el uso no autorizado. Cuando se produce una filtración de datos, las empresas pueden incurrir en fuertes multas y también pueden estar sujetas a demandas civiles y, en algunos casos, a cargos penales. Una empresa también acumula costos relacionados con la investigación de una infracción y la notificación a los clientes afectados. Los impactos indirectos incluyen el daño a la reputación de una marca y la pérdida de negocios, que son mucho más difíciles de calcular.
2. Gestión insuficiente de identidad, credenciales y acceso
En general, las violaciones de datos ocurren debido a cuatro razones diferentes: (1) falta de un sistema escalable de administración de acceso a la identidad, (2) falla en el uso de la autenticación de múltiples factores, (3) contraseñas débiles y (4) falta de rotación automatizada continua de claves criptográficas y certificados.
Los sistemas de gestión de acceso a la identidad manejan la gestión del ciclo de vida de los usuarios. Admiten el aprovisionamiento de acceso a los recursos cuando se producen cambios de personal o de funciones. Alivian la carga del mantenimiento del usuario, pero las organizaciones que planean unificar la identidad con un proveedor de la nube deben comprender la seguridad en torno a la solución de identidad de su proveedor de la nube, incluidos los procesos, la infraestructura y la segmentación entre clientes.
Los sistemas de autenticación multifactor, como una tarjeta inteligente, OTP y autenticación telefónica, ayudan a abordar el robo de contraseñas, donde las contraseñas robadas permiten el acceso a los recursos sin el consentimiento del usuario. Las credenciales y las claves criptográficas, por otro lado, crean un pequeño problema cuando están incrustadas en el código fuente o distribuidas en repositorios públicos como GitHub. Las claves deben estar debidamente protegidas, y se necesita una infraestructura de clave pública (PKI) bien protegida para garantizar actividades de administración de claves adecuadas.
Cualquier mecanismo de almacenamiento centralizado, que contenga datos secretos como contraseñas, claves privadas, bases de datos confidenciales de contactos de clientes, es un objetivo de gran valor para los atacantes. Por lo tanto, el monitoreo y la protección de los sistemas centralizados de administración de claves debe ser una alta prioridad.
3. Interfaces y API inseguras
Las interfaces de usuario de software (UI) o las interfaces de programación de aplicaciones (API) son la parte más expuesta de un sistema. Utilizados por los clientes para administrar e interactuar con los servicios en la nube, estos activos son un objetivo frecuente para los atacantes, y los controles adecuados que los protegen son la primera línea de defensa y detección, desde la autenticación y el control de acceso hasta el cifrado y el monitoreo de actividades. La dependencia de un conjunto débil de interfaces y API expone a las organizaciones a una variedad de problemas de seguridad relacionados con la confidencialidad, la integridad, la disponibilidad y la responsabilidad.
4. Vulnerabilidades del sistema
Las vulnerabilidades del sistema son errores explotables en los programas o los componentes del sistema operativo (kernel, bibliotecas del sistema y herramientas de aplicación) que los atacantes pueden usar para infiltrarse en un sistema informático para robar datos, tomar el control o interrumpir el servicio. Estas vulnerabilidades y ataques se pueden mitigar con procesos básicos de TI, como el escaneo regular de vulnerabilidades, el seguimiento de las amenazas del sistema informadas y la instalación de parches o actualizaciones de seguridad. El impacto de las vulnerabilidades del sistema sin parches en la seguridad del sistema de información es profundo y costoso. Sin embargo, los costos de protección son relativamente pequeños en comparación con otros gastos de TI.
5. Secuestro de cuenta
El secuestro de cuentas y servicios, generalmente con credenciales robadas o métodos como el phishing y la explotación de vulnerabilidades de software, sigue siendo una de las principales amenazas. Los atacantes a menudo pueden acceder a áreas críticas de los servicios de computación en la nube con credenciales robadas, lo que les permite comprometer la confidencialidad, la integridad y la disponibilidad de los servicios. Los atacantes pueden aprovechar el acceso a la cuenta para robar datos, afectar los servicios y sistemas en la nube, dañar la reputación de los inquilinos y más. Las organizaciones deben tratar de prohibir el intercambio de credenciales de cuenta entre usuarios y servicios y, cuando sea posible, aprovechar las sólidas técnicas de autenticación de dos factores. Todas las cuentas y las actividades de las cuentas deben ser monitoreadas hasta un propietario humano y rastreables.
6. Insiders maliciosos
Un infiltrado malicioso es un empleado, contratista u otro socio comercial actual o anterior, que tiene o tuvo acceso autorizado y abusó del acceso de una manera que afecta negativamente la confidencialidad, la integridad o la disponibilidad de la información o los sistemas de una organización.
En particular, la amenaza interna no siempre involucra a actores malintencionados. Los informantes pueden no ser necesariamente maliciosos, pero «solo están tratando de hacer su trabajo». Por ejemplo, pueden cargar accidentalmente una base de datos de clientes en un repositorio público o copiar datos confidenciales entre jurisdicciones o países. Los controles para limitar el riesgo de personas internas maliciosas incluyen controlar el proceso de cifrado y las claves, garantizar que tenga las políticas adecuadas, segregar funciones, minimizar el acceso por función y el registro, la supervisión y la auditoría efectivos de las actividades de los administradores.
7. Amenazas persistentes avanzadas
Las amenazas persistentes avanzadas (APT) son una forma parásita de ataques cibernéticos que se infiltran en los sistemas para establecer un punto de apoyo en la infraestructura desde la cual se contrabandean los datos y la propiedad intelectual. Las APT persiguen sigilosamente sus objetivos durante períodos prolongados, a menudo adaptándose a las medidas de seguridad diseñadas para defenderse de ellos. La suplantación de identidad (spearphishing), los sistemas de piratería directa, la entrega de código de ataque a través de dispositivos USB, la penetración a través de redes asociadas y el uso de redes no seguras o de terceros son puntos de entrada comunes para las APT. Una vez instalados, los APT pueden moverse lateralmente a través de las redes de los centros de datos y combinarse con el tráfico regular de la red para lograr sus objetivos. Aunque la detección y eliminación de APT puede ser un desafío, algunas pueden detenerse con medidas de seguridad proactivas. Los programas de concientización, debido a que muchas de estas vulnerabilidades requieren la intervención o acción del usuario, son una de las mejores defensas contra estos ataques.
8. Pérdida de datos
Los datos almacenados en la nube pueden perderse por motivos distintos a los ataques malintencionados. Un incendio o un terremoto también pueden ocasionar la pérdida permanente de los datos del cliente, a menos que el proveedor o el consumidor de la nube tome las medidas adecuadas para respaldar los datos, siguiendo las mejores prácticas en continuidad comercial y recuperación ante desastres, así como respaldo diario de datos y posiblemente almacenamiento fuera del sitio. . Los datos también se pueden perder si un cliente los cifra antes de cargarlos en la nube pero pierde la clave de cifrado. Los consumidores de la nube deben revisar las disposiciones sobre la contratación de pérdida de datos, preguntar sobre la redundancia de la solución de un proveedor y ver qué entidad es responsable de la pérdida de datos y en qué condiciones.
9. Debida diligencia insuficiente
Desarrollar una buena hoja de ruta y una lista de verificación de diligencia debida es esencial para tener la mayor probabilidad de éxito al considerar mudarse a la nube o fusionarse o adquirir una empresa que ya se haya mudado a la nube. Una organización que se apresura a adoptar tecnologías en la nube y seleccionar CSP sin la debida diligencia está expuesta a una gran cantidad de riesgos comerciales, financieros, técnicos, legales y de cumplimiento que amenazan su éxito. Las empresas que se trasladan a un modelo de tecnología en la nube deben ejecutar una debida diligencia exhaustiva para comprender los riesgos que asumen al adoptar este modelo de tecnología e involucrar a los proveedores que lo proporcionan.
10. Abuso y uso nefasto de los servicios en la nube
Las implementaciones de servicios en la nube con poca seguridad, las pruebas gratuitas de servicios en la nube y los registros de cuentas fraudulentos pueden exponer los modelos de computación en la nube como IaaS, PaaS y SaaS a ataques maliciosos. Los ejemplos de uso indebido de los recursos basados en servicios en la nube incluyen el lanzamiento de ataques DDoS, spam de correo electrónico y campañas de phishing; “minería” de moneda digital; fraude de clics automatizado a gran escala; ataques informáticos de fuerza bruta de bases de datos de credenciales robadas; y hospedaje de contenido malicioso o pirateado. El uso malicioso de los recursos del servicio en la nube puede reducir la capacidad disponible para clientes legítimos alojados por proveedores de servicios en la nube. Responder al uso malicioso también puede reducir la disponibilidad de los recursos de respuesta para abordar otros problemas de atención al cliente. Las mitigaciones por el uso indebido de los servicios en la nube incluyen la detección de CSP de fraude con instrumentos de pago y el abuso de las ofertas en la nube, incluidos ejemplos de ataques DoS de red entrantes y salientes.
11. Denegación de servicio
La denegación de servicio (DoS) son ataques destinados a evitar que los usuarios puedan acceder a sus datos o aplicaciones. Al obligar al servicio en la nube objetivo a consumir cantidades excesivas de recursos finitos del sistema, como memoria, potencia del procesador, espacio en disco o ancho de banda de la red, los atacantes provocan una ralentización intolerable del sistema, lo que deja a los usuarios legítimos confundidos o enojados sobre por qué el servicio no responde. Los ataques DoS asimétricos a nivel de aplicación aprovechan las vulnerabilidades en servidores web, bases de datos u otros recursos de la nube. Los ataques DoS asimétricos a nivel de aplicación aprovechan las vulnerabilidades en servidores web, bases de datos u otros recursos de la nube. Es posible que un atacante no pueda eliminar su servicio de Internet por completo, pero puede hacer que utilice demasiado tiempo de procesamiento, obligándolo a eliminarlo usted mismo.
12. Vulnerabilidades tecnológicas compartidas
La mayoría de los proveedores de servicios en la nube brindan sus servicios de manera escalable al compartir infraestructura, plataformas o aplicaciones. La tecnología de la nube divide la oferta «como servicio» sin cambiar sustancialmente el hardware/software listo para usar, a veces a expensas de la seguridad. Los componentes subyacentes (por ejemplo, cachés de CPU, GPU, etc.), que comprenden la infraestructura que respalda la implementación de servicios en la nube, pueden no estar diseñados para ofrecer propiedades de aislamiento sólidas para una arquitectura multiusuario (IaaS), plataformas reimplementables (PaaS) o multicliente. aplicaciones (SaaS). Puede conducir a vulnerabilidades tecnológicas compartidas, potencialmente explotadas en todos los modelos de entrega. La organización requiere una estrategia de defensa en profundidad que garantice que el modelo de servicio sea IaaS, PaaS o SaaS.