Imagen: Trend Micro – 2021
La nube es un entorno lleno de potencial, que brinda fácil acceso a
tecnologías que no estaban disponibles hace una década. Sin embargo, ahora se
puede decir que es equivalente a un centro de datos completo que se inicia con
un solo comando. El escalado para satisfacer las demandas de millones de
clientes puede automatizarse por completo. El análisis avanzado de aprendizaje
automático es tan simple como una llamada a la API.
Esto ha permitido a los equipos acelerar la innovación y centrarse casi
exclusivamente en ofrecer valor empresarial. Pero no todo es bueno. La
suposición era que junto con este aumento potencial, los desafíos de seguridad
que se ve en las instalaciones también aumentarían, y los equipos deberían
tener problemas con los días cero, las cadenas de vulnerabilidades y la TI en
la sombra.
El mayor desafío es cometer errores en la forma de una mala
configuración del servicio.
Responsabilidad compartida
La evidencia en torno a la suposición inicial que la gente hace sobre
la seguridad en la nube, está relacionada con que los propios proveedores de
servicios en la nube son un gran riesgo. Pero, los datos no apoyan esta
suposición en absoluto.
Cada uno de los cuatro grandes proveedores de servicios en la nube,
Alibaba Cloud, AWS, Google Cloud y Microsoft Azure, han tenido dos brechas de
seguridad en sus servicios durante los últimos cinco años. Ahora, es importante
tener en cuenta que cada uno de los cuatro grandes ha tenido que lidiar con
toneladas de vulnerabilidades de seguridad durante este período de tiempo.
Una gran cantidad de servicios en la nube son simplemente ofertas de
servicios administrados por proyectos comerciales o de código abierto
populares, y estos proyectos han tenido varios problemas de seguridad con los
que los proveedores han tenido que lidiar.
Dependiendo del tipo de servicio que esté utilizando en la nube, sus
responsabilidades cambian. Si usa máquinas virtuales, usted es el responsable
del sistema operativo, las aplicaciones que se ejecutan en ese sistema
operativo y los datos. Y a medida que pasa a un servicio completamente
administrado, solo es responsable de los datos que procesa y almacena con el
servicio. Pero para todos los tipos de servicios en la nube, usted es
responsable de la configuración del servicio.
A pesar de tener una línea clara de responsabilidades, los proveedores
ofrecen una serie de funciones para ayudarle a cumplir con sus
responsabilidades y ajustar los servicios para satisfacer sus necesidades.
Ritmo de cambio
Cuando se presentan configuraciones incorrectas, son errores,
descuidos, y otras veces, son una elección incorrecta debido a la falta de
conciencia. Pero todo vuelve al poder que la nube se hace accesible. La
reducción de estas barreras ha tenido un aumento proporcional en el ritmo de la
innovación.
Los equipos se mueven más rápido. A medida que estos equipos maduran,
pueden mantener una alta tasa de innovación con una baja tasa de fallas. De
hecho, el 43% de los equipos que han adoptado una filosofía de DevOps pueden
implementar al menos una vez a la semana, mientras mantienen una tasa de fallas
por debajo del 15%.
Fundamentalmente, cuando encuentran una falla, son capaces de
resolverla en el día. Lo que es más impresionante, el 46% de esos equipos
resuelven esos problemas en una hora. Pero, como se sabe, los ciberdelincuentes
no necesitan un día. Cualquier apertura puede ser suficiente para ganar terreno
creando un incidente.
Por otro lado, el otro 57% de los equipos, la mayoría de los cuales son
de grandes empresas, a menudo sienten que su falta de ritmo brinda protección.
Moverse con cautela en la nube les permite adoptar un enfoque más mesurado y
reducir sus tasas de error.
Si bien esto puede ser cierto, y no hay evidencia para apoyar o refutar
esta suposición, todavía se están produciendo cambios a su alrededor. Los
propios proveedores de servicios en la nube se están moviendo a un ritmo
rápido, en 2020, los cuatro grandes proveedores de hiperescala lanzaron más de
5.000 nuevas funciones para sus servicios.
Objetivo de la ciberseguridad
Ahora, el objetivo de la ciberseguridad es bastante simple y consiste
en garantizar que todo lo que se construya funcione según lo previsto y solo
según lo previsto. En un entorno local tradicional, este enfoque estándar es un
perímetro sólido y una visibilidad profunda en toda la empresa. Pero eso no
funciona en la nube.
El ritmo del cambio es demasiado rápido, tanto a nivel interno como con
el proveedor. Los equipos más pequeños se están construyendo cada vez más. Muy
a menudo, por diseño, estos equipos actúan fuera de la infraestructura central
del CIO, lo cual requiere que la seguridad se trate como otro aspecto relevante.
No se puede tratar como una actividad independiente.
El rol de los controles de seguridad
La mayoría de las veces, cuando se habla de controles de seguridad, se
hace referencia a lo que lo detiene, es decir un sistema de prevención de
intrusiones capaz de detener gusanos y otros tipos de ataques a la red. Los
controles anti malware pueden detener el ransomware, los cripto mineros y otros
comportamientos maliciosos.
Para cada control de seguridad, existe una lista de cosas que son
capaces de detener los ataques. Esto es excelente y funciona bien para los
equipos de seguridad.
Pero los constructores tienen una perspectiva diferente. Los
constructores quieren construir. Cuando se enmarca en el contexto adecuado, es
fácil mostrar cómo los controles de seguridad pueden ayudarlos a construir
mejor.
La gestión correcta ayuda a garantizar que la configuración permanezca
establecida independientemente de cuántas veces se despliegue un equipo durante
la semana. Los controles de red aseguran a los equipos que solo el tráfico
válido llega a su código. El control de admisión de contenedores garantiza que
se implemente el contenedor correcto en el momento adecuado.
Los controles de seguridad hacen mucho más que evitar que sucedan
cosas.
0 Comentarios