Entendiendo los riesgos de vivir en las Nubes
Entendiendo los riesgos de vivir en las Nubes
Su empresa puede tomar ventaja de las impresionantes capacidades de las plataformas en nube, pero ¿tiene claros los riesgos que eso conlleva? ¿sabe qué puede salir mal, o cómo evitarlo?
Nadie duda que las plataformas de nube en su estado de madurez actual son una maravilla para los departamentos de tecnología. La abstracción de conceptos y la alta elasticidad benefician tanto al “departamento de TI” que sólo tiene un colaborador que divide su tiempo entre ayudar a usuarios con problemas de día a día, administrar la página web, las redes, o el sistema de correos, y estar presionando a la gerencia para comprar un nuevo servidor, como también a la empresa multinacional que puede escalar sus operaciones en órdenes de magnitud para eventos o temporadas altas – pensemos, por ejemplo, en la temporada navideña, o el Mundial de la FIFA – sin tener que preocuparse de una inversión de capital de múltiples decenas millones de dólares en equipo que talvez no vayan a necesitar a largo plazo.
Por otro lado, la flexibilidad y elasticidad abren puertas a riesgos que simplemente no existían en una infraestructura centralizada y física ni en virtualizada en premisa[1]. Esa elasticidad y flexibilidad se pueden convertir en una pesadilla si el control cae en manos equivocadas.
Nadie quiere despertarse y ver que actores maliciosos accedieron a su código fuente propietario, que se consideraba “seguro” en servicios en nube, que datos privados de sus usuarios fueron extraídos de un repositorio y publicados en la Deep Web, que levantaron infraestructura maliciosa para minar criptomonedas en su infraestructura, dejándole una factura, o que su base de datos en modelo serverless – que se refiere a el modelo donde los servicios son consumidos abstrayendo completamente el hardware y sistema operativo en el que ejecutan – fue eliminada completamente y le están solicitando un rescate.
Todos estos son casos reales que le han sucedido a empresas de las Fortune 500 en los últimos meses. En ATTI CYBER, queremos ayudarle a que no le pase lo mismo a usted.
Este artículo le puede ayudar a entender mejor a qué se exponen las empresas que deciden migrar partes críticas de su negocio a la nube, y como evitar los errores más comunes para hacerlo sin abrir un portillo que puedan aprovechar los ciberdelincuentes.
¿Cómo empezar?
Hay muchas situaciones que se deben afrontar de maneras distintas en la nube, pero los principios básicos, en general, se mantienen.
Como con su infraestructura física, la primera etapa de cualquier proceso de mejora de seguridad es entender los riesgos. Recordemos que un riesgo tiene 3 componentes: qué quiero proteger (mis activos) y de qué lo quiero proteger (mis amenazas) y de qué se pueden valer para atacarme (mis vulnerabilidades). Independientemente del nivel de madurez o estado de implementación actual de su sistema de gestión de riesgos, este es el mejor punto de partida, y es el marco que vamos a usar para explicar las principales diferencias con la gestión de riesgos en una infraestructura más tradicional.
Identificar esos riesgos le va a hacer mucho más fácil tomar medidas para protegerse, que es un tema que vamos a tocar también en artículos futuros.
Los activos
En nuestra experiencia, esta es la parte en la que las empresas tienen más claridad. Para entender cuáles son sus activos, puede empezar por preguntarse:
¿Qué información tengo en la nube?, ¿Qué pasa si la pierdo?, ¿Qué pasa si se hace pública?
¿Qué servicios en nube uso?, ¿Qué funciones de mi negocio dependen de esos servicios? ¿Qué pasa si los servicios dejan de funcionar?
Hasta ahí, es muy similar a lo que consideraríamos en una infraestructura tradicional centralizada físicamente. Donde empieza a diferenciarse el análisis de nube es cuando consideramos lo que tenemos disponible en las plataformas que estamos utilizando, aun cuando no utilizamos esas funciones. Un ejemplo muy común es en empresas que usan Microsoft 365, y piensan que no usan nada de Azure, cuando 365 en realidad opera sobre la base de Azure AD.
En estos casos, es de suma importancia asegurarnos de que no existan puntos ciegos, y que todo aquello que no sea utilizado o esté “apagado” sea monitoreado y protegido: asegurarnos de qué si está apagado, se quede apagado.
Las amenazas
Las amenazas usuales siguen existiendo, y, como siempre, van desde organizaciones criminales patrocinadas por gobiernos, hasta el oportunista script kiddie, sin dejar de lado, por supuesto, a los mismos empleados de su organización, tanto por error humano, como aquellos con malas intenciones.
La principal diferencia, es que en una configuración tradicional en premisa existe un perímetro, hay porciones de la infraestructura que no son accesibles desde internet, e idealmente, solo se pueden acceder desde terminales dedicadas para administración.
En contraste con esto, en los servicios de nube, las consolas administrativas son, por definición, servicios que viven en internet. Probablemente, un hacker en Rusia o Corea del Norte no podía acceder fácilmente a su hipervisor en premisa bien protegido, aun teniendo las credenciales administrativas para acceder al mismo. Sin embargo, en plataformas en nube mal aseguradas, es trivial, y la amenaza se agudiza.
Otro factor importante que considerar es la estandarización, que, aunque nos da muchas ventajas, también tiene su lado negativo: facilita la automatización de los ataques. Esto se da mediante bots, tanto para la identificación de objetivos, como para la explotación una vez que logran el acceso. Un ejemplo común de esto es que hoy en día existen scripts automatizados que revisan páginas como el popular repositorio de código fuente GitHub constantemente buscando patrones que asemejen llaves de los servicios de almacenamiento en nube de AWS (S3), y, una vez que las encuentran, intentan acceder automáticamente, completando el ataque sin necesidad de que un humano intervenga. Por la automatización, es un ataque que se diseña una sola vez, y puede ser efectivo contra muchísimas empresas. Si los desarrolladores de su organización utilizan estos productos (o sus equivalentes de otros fabricantes) y no siguen las prácticas apropiadas, su empresa podría ser una de estas.
Queda claro, entonces, que la cantidad de amenazas de las que preocuparse es mucho mayor, por lo que las consecuencias de dejar portillos abiertos (vulnerabilidades) pueden ser más serias e inmediatas. Por suerte, también existen muchas formas de protegerse, entre ellas los sistemas de confianza cero, o perímetro definido por software, que nos ayudan a restaurar esa capa de seguridad que perdimos al salir de la red local.
Las vulnerabilidades
En cuanto a vulnerabilidades, es tal vez la sección en la que más diferencias va a notar con la infraestructura tradicional, y el primer factor para considerar es modelo de responsabilidad compartida de nube.
Esto suele variar un poco de proveedor a proveedor, y servicio y servicio, pero, en general, se refiere a que cuando usted adquiere un servicio de nube, hay una responsabilidad compartida. Por plantearlo de la manera más simplista posible: el proveedor se encarga de la seguridad de la plataforma, infraestructura o los servicios, y usted de la seguridad de lo que sea que ponga en el servicio, y de que las configuraciones sean las apropiadas.
Los más familiarizados reconocerán que se está haciendo una transferencia de riesgo, lo puede ser muy deseable (reduce carga de trabajo y complejidad), o un punto en contra (reduce el control).
Cabe aclarar que los proveedores de nube más populares mantienen estándares sumamente altos en cuanto a la porción que ellos manejan, por lo que usualmente, la migración de una infraestructura en premisa a una en nube realizada de manera correcta tiende a mejorar la postura de seguridad comparada a la opción en premisa.
La otra conclusión natural de lo anterior es que la importancia de mantener procesos y configuraciones seguras crece exponencialmente al adoptar servicios de nube. Acá, la principal recomendación que le brindamos a nuestros clientes es ser conscientes de las diferencias fundamentales entre la infraestructura de premisa y la de nube. Manejar las configuraciones en la nube requiere experiencia y conocimientos específicos, los cuales no necesariamente van de la mano de la experiencia manejando una infraestructura tradicional, por lo que es esencial contar con profesionales capacitados diseñando, desplegando, operando, y auditando la plataforma.
Las opciones de capacitación y documentación brindadas por los proveedores tienden a ser de buena calidad y financieramente accesibles, por lo que pueden utilizarse para capacitar a los colaboradores para operar las plataformas. Por otro lado, para diseño, implementación, y posterior auditoría, por el tiempo que requiere capacitarse a estos niveles más elevados, tiende a ser más efectivo buscar la asesoría de un tercero especialista en el tema, especialmente para operaciones grandes y críticas.
En conclusión
Sí, usar las plataformas de nube puede ser beneficioso para su empresa, y probablemente es una decisión correcta para mejorar el control de costos, la agilidad, y competitividad, sin embargo, no es decisión que tomarse a la ligera, y, como todo proceso de cambios, mientras mejor se planee y ejecute, menor va ser el riesgo de que lleve problemas imprevistos. Analizar objetivamente como cambian los activos, amenazas, y vulnerabilidades con el uso de estas plataformas reduce los puntos ciegos, y le ayuda a encontrar cualquier brecha antes que un atacante.
Más adelante, estaremos publicando artículos con un carácter más operacional, que le pueden ayudar a tomar medidas específicas para los riesgos que identifique. Si hay algún tema que sea de su interés, ¡déjenoslo saber en los comentarios!
Si desea acompañamiento con su implementación de servicios de nube, ya sea que está considerando migrar, o que ya opera una o varias plataformas, y le interesa entender y mejorar la postura de seguridad actual, sería un gusto apoyarle. Puede contactarnos por nuestros canales usuales, que son:
- Hotline:+506 4070-0435
- Whatsapp:+506 6164-1507
- Email:services@atticyber.com
Fuentes
https://businessinsights.bitdefender.com/worst-amazon-breaches
https://businessinsights.bitdefender.com/worst-amazon-breaches
[1] El término “en premisa” se utiliza para referirse a la infraestructura que está físicamente en ubicaciones y equipo físico controlados por la organización, o para los sistemas que se encuentran virtualizados dentro de estos equipos. En la práctica, agrupa las infraestructuras que no están en una nube de ningún proveedor.