11 principales amenazas a la seguridad en la nube

Los problemas de identidad y acceso encabezan la lista de preocupaciones de los profesionales de la informática en el informe anual Top Threats to Cloud Computing de la Cloud Security Alliance: La Pandemia 11, publicado a principios de este mes. "Las filtraciones y la pérdida de datos fueron las principales preocupaciones el año pasado", afirma el Vicepresidente Global de Investigación de la CSA, John Yeoh. "Este año, ni siquiera estaban en el top 11".

"Lo que me dice es que el cliente de la nube se está volviendo mucho más inteligente", continúa Yeoh. "Están dejando de preocuparse por los resultados finales —una filtración o pérdida de datos es un resultado final— y se fijan en las causas de esos resultados (acceso a los datos, configuraciones erróneas, aplicaciones inseguras) y toman el control de los mismos".

Esta tendencia indica que los proveedores de servicios en la nube (CSP) están haciendo un mejor trabajo para mantener su parte del modelo de responsabilidad compartida, en el que el CSP es responsable de la protección de su infraestructura, mientras que el usuario de la nube está en el gancho para la protección de los datos, las aplicaciones y el acceso en sus entornos de nube, dice Corey O'Connor, director de productos en DoControl, un proveedor de seguridad automatizada de SaaS. "Esto pone más presión en la organización que consume el servicio, ya que los atacantes, naturalmente, ponen un enfoque mucho más grande en ellos", dice. "Este hallazgo apoya la idea de que las organizaciones que consumen servicios en la nube deben hacer todo lo posible para mitigar el riesgo de eventos de seguridad y violaciones de datos. Tienen que hacer más para mantener su parte del modelo".

He aquí las 11 principales amenazas a la seguridad en la nube de CSA más importantes por orden de importancia.

 

1. Gestión insuficiente de identidades, credenciales, accesos y claves

La preocupación por la identidad y el acceso es lo más importante para los profesionales de la ciberseguridad, según el informe de la CSA. "El acceso encabeza la lista este año porque la protección de los datos empieza y termina con el acceso", afirma Yeoh.

El vicepresidente y analista principal de Forrester, Andras Cser, está de acuerdo. "La identidad y el acceso en las plataformas de un CSP lo son todo", afirma. "Si tienes las llaves del reino, no sólo puedes entrar en él, sino reconfigurarlo, una gran amenaza para la estabilidad operativa y la seguridad de cualquier organización".

"Los atacantes ya no intentan entrar por fuerza bruta en la infraestructura de las empresas", añade Hank Schless, director de soluciones de seguridad de Lookout, un proveedor de soluciones de phishing móvil. "Con tantas formas de comprometer y robar credenciales corporativas, la táctica preferida es hacerse pasar por un usuario legítimo para evitar la detección".

A medida que más organizaciones migran sus aplicaciones a la nube, la gestión de identidades sigue siendo un tema candente, asegura Tushar Tambay, vicepresidente de desarrollo de productos para soluciones de protección de datos en Entrust, una empresa de seguridad digital y emisión de credenciales. "Dado que muchas empresas siguen trabajando también de forma remota, los equipos de TI tienen que verificar las identidades de los empleados que trabajan desde cualquier lugar y en cualquier momento en cualquier dispositivo", afirma. "Además, las empresas se relacionan con clientes y socios en la nube".

Tambay añade que también hay que priorizar la gestión de claves. "Una sólida gestión de claves puede mantener los datos seguros y ayudar a garantizar que las partes de confianza sólo tengan acceso a los datos que son absolutamente necesarios", dice. "Desgraciadamente, asegurar los datos a través de la encriptación puede causar a menudo un pequeño dolor de cabeza en la gestión de claves, debido al creciente número de éstas".

La gestión de la identidad recae casi por completo en el usuario para gestionarla adecuadamente, dice Daniel Kennedy, director de investigación de seguridad de la información y redes de 451 Research. "Los proveedores de la nube proporcionan ayuda, pero la flexibilidad de las plataformas en la nube vienen con el requisito de gestionar eficazmente el acceso y los privilegios de los usuarios y del sistema", dice. "Es una de las principales responsabilidades de la empresa que aprovecha la nube en un modelo de responsabilidad compartida y, por tanto, ocupa un lugar destacado en su evaluación del riesgo".

Los puntos clave sobre la gestión de accesos e identidades identificados en el informe incluyen:

• Las defensas reforzadas en el núcleo de las arquitecturas empresariales han hecho que el hacking se dirija a la identidad de los usuarios de los puntos finales como fruta fácil de conseguir.
• Se requiere un aislamiento discreto basado en el usuario y la aplicación para lograr una sólida capa de confianza cero más allá de la simple autenticación.
• Las herramientas avanzadas son sólo una parte de la historia, como la gestión de derechos de la infraestructura de la nube (CIEM). Las políticas operativas y los modelos de riesgo estructurados también son vitales.
• La confianza es algo más que dar claves y códigos. Se gana. Los objetos de los usuarios deben recibir puntuaciones de riesgo que se ajusten dinámicamente a las necesidades del negocio.

 

2. Interfaces y API inseguras

Según el informe, las API y otras interfaces similares pueden presentar vulnerabilidades debidas a una configuración incorrecta, vulnerabilidades de codificación o falta de autenticación y autorización, entre otras cosas. Estos descuidos pueden dejarlos potencialmente vulnerables a la actividad maliciosa.

Añade el informe que las organizaciones se enfrentan a una tarea difícil en la gestión y la seguridad de las API. Por ejemplo, la velocidad de desarrollo en la nube se ha acelerado enormemente. Los procesos que llevaban días o semanas utilizando métodos tradicionales pueden completarse en segundos o minutos en la nube. El uso de múltiples proveedores de la nube también añade complejidad, continúa, ya que cada proveedor tiene capacidades únicas que se mejoran y amplían casi a diario. Este entorno dinámico requiere un enfoque ágil y proactivo para el control y la corrección de los cambios que muchas empresas no dominan.

Los puntos clave sobre las APIs incluyen:

• La superficie de ataque proporcionada por las APIs debe ser rastreada, configurada y asegurada.
• Los controles tradicionales y las políticas y enfoques de gestión de cambios deben actualizarse para seguir el ritmo del crecimiento y el cambio de las API basadas en la nube.
• Las empresas deben adoptar la automatización y emplear tecnologías que supervisen continuamente el tráfico anómalo de las API y solucionen los problemas casi en tiempo real.

 

3. Desconfiguración y control de cambios inadecuado

Las malas configuraciones son la configuración incorrecta o subóptima de los activos informáticos que pueden dejarlos vulnerables a daños no deseados o a actividades maliciosas externas e internas, explica el informe. La falta de conocimiento del sistema o de comprensión de los ajustes de seguridad y las intenciones nefastas pueden dar lugar a configuraciones erróneas.

Un problema grave de los errores de configuración es que pueden verse magnificados por la nube. "Una de las mayores ventajas de la nube es su escalabilidad y la forma en que permite crear servicios interconectados para facilitar los flujos de trabajo", afirma Schless. "Sin embargo, esto también significa que una mala configuración puede tener ramificaciones magnificadas en múltiples sistemas".

Debido a una canalización automatizada de integración continua/entrega continua (CI/CD), las configuraciones erróneas y las vulnerabilidades no identificadas durante el tiempo de construcción se despliegan automáticamente a la producción, dice Ratan Tipirneni, presidente y CEO de Tigera, un proveedor de seguridad y observabilidad para contenedores, Kubernetes y la nube. "Las desconfiguraciones y vulnerabilidades en las imágenes se transmiten a todos los contenedores creados a partir de esas imágenes".

Los puntos clave a tener en cuenta sobre la mala configuración y el control de cambios inadecuado incluyen:

• Las empresas deben adoptar las tecnologías disponibles que escanean continuamente los recursos mal configurados para permitir la remediación de las vulnerabilidades en tiempo real.
• Los enfoques de gestión de cambios deben reflejar la naturaleza incesante y dinámica de las continuas transformaciones empresariales y los retos de seguridad para garantizar que los cambios aprobados se realicen correctamente mediante una verificación automatizada en tiempo real.

 

4. Falta de arquitectura y estrategia de seguridad en la nube

El informe señala que el rápido ritmo de los cambios y el enfoque prevalente, descentralizado y de autoservicio de la administración de la infraestructura de la nube dificultan la capacidad de tener en cuenta las consideraciones técnicas y empresariales y el diseño consciente. Sin embargo, añade, no hay que ignorar las consideraciones y los riesgos de seguridad para que los esfuerzos en la nube tengan éxito y sean seguros.

Estos problemas pueden agravarse cuando intervienen varios proveedores de la nube. "Aprovechar a los proveedores de la nube ya no es una novedad, pero el espacio de los productos de seguridad sigue surgiendo y evolucionando en torno a la nube", afirma Kennedy. "Como ejemplos, al principio vimos surgir la seguridad de la carga de trabajo en la nube como un enfoque para proporcionar funciones de seguridad comunes de terceros".

"La mayoría de la gente de seguridad que se ocupa de la seguridad en la nube debe considerar qué combinación de controles por defecto del proveedor de la nube, controles premium del mismo y qué ofertas de productos de seguridad de terceros abordan su perfil de riesgo específico, y a veces ese perfil es diferente a nivel de aplicación. Esto introduce mucha complejidad frente a las amenazas emergentes", añade Kennedy.

Entre las principales conclusiones sobre la falta de arquitectura y estrategia de seguridad en la nube se encuentran las siguientes:

• Las empresas deben tener en cuenta los objetivos de negocio, el riesgo, las amenazas a la seguridad y el cumplimiento legal en el diseño y las decisiones sobre servicios e infraestructuras en la nube.
• Dado el rápido ritmo de cambio y el limitado control centralizado en las implantaciones de la nube, es más importante, y no menos, desarrollar y adherirse a una estrategia de infraestructura y a unos principios de diseño.

Se aconseja a los adoptantes que consideren las prácticas fundacionales de diligencia debida y evaluación de la seguridad de los proveedores. Deben complementarse con un diseño y una integración seguros para evitar los tipos de fallos sistémicos que se produjeron en las violaciones de SolarWinds, Kaseya y Bonobos.

 

5. Desarrollo de software inseguro

Si bien la nube puede ser un entorno poderoso para los desarrolladores, las organizaciones deben asegurarse de que los desarrolladores comprendan cómo el modelo de responsabilidad compartida afecta a la seguridad de su software. Por ejemplo, una vulnerabilidad en Kubernetes podría ser responsabilidad de un CSP, mientras que un error en una aplicación web que utiliza tecnologías nativas de la nube podría ser responsabilidad del desarrollador para arreglar.

Los puntos clave a tener en cuenta sobre el desarrollo de software inseguro incluyen:

• El uso de tecnologías en la nube evita reinventar las soluciones existentes, lo que permite a los desarrolladores centrarse en los problemas exclusivos de la empresa.
• Al aprovechar la responsabilidad compartida, elementos como los parches pueden ser propiedad de un CSP en lugar de la empresa.
• Los CSP dan importancia a la seguridad y proporcionan orientación sobre cómo implementar los servicios de forma segura.

 

6. Recursos de terceros no seguros

Según el informe de la CSA, los riesgos de terceros existen en todos los productos y servicios que consumimos. Señalaba que, dado que un producto o servicio es una suma de todos los demás productos y servicios que utiliza, un exploit puede empezar en cualquier punto de la cadena de suministro del producto y proliferar a partir de ahí. Los actores de las amenazas saben que sólo necesitan comprometer el eslabón más débil de la cadena de suministro para propagar su software malicioso, a menudo utilizando los mismos vehículos que los desarrolladores utilizan para escalar su software.

Las principales conclusiones sobre los recursos inseguros de terceros son las siguientes:

• No puedes evitar las vulnerabilidades en el código o los productos que no has creado, pero puedes tomar una buena decisión sobre qué producto utilizar. Busca los productos que cuentan con soporte oficial. Además, considera aquellos con certificaciones de cumplimiento, que hablen abiertamente de sus esfuerzos de seguridad, que tengan un programa de recompensas por errores y que traten a sus usuarios de forma responsable informando de los problemas de seguridad y entregando las correcciones rápidamente.
• Identifica y haz un seguimiento de los terceros que utilizas. No querrás descubrir que has estado utilizando un producto vulnerable sólo cuando se publique la lista de víctimas. Esto incluye el código abierto, los productos SaaS, los proveedores de la nube y los servicios gestionados, así como otras integraciones que puedas haber añadido a tu aplicación.
• Realiza una revisión periódica de los recursos de terceros. Si encuentras productos que no necesitas, elimínalos y revoqca cualquier acceso o permiso que les hayas concedido en tu repositorio de código, infraestructura o aplicación.
• No seas el eslabón más débil. Realiza pruebas de penetración en tu aplicación, enseña a tus desarrolladores a codificar de forma segura y utiliza soluciones de pruebas de seguridad de aplicaciones estáticas (SAST) y dinámicas (DAST).

 

7. Vulnerabilidades del sistema

Se trata de fallos en un CSP que pueden utilizarse para comprometer la confidencialidad, la integridad y la disponibilidad de los datos, e interrumpir las operaciones del servicio. Entre las vulnerabilidades típicas se encuentran los días cero, los parches que faltan, los ajustes vulnerables de configuración o por defecto, y las credenciales débiles o por defecto que los atacantes pueden obtener o descifrar fácilmente.

Los puntos clave sobre las vulnerabilidades del sistema incluyen:

• Las vulnerabilidades del sistema son fallos dentro de los componentes del sistema que a menudo se introducen a través de errores humanos, lo que facilita que los hackers ataquen los servicios en la nube de tu empresa.

La respuesta tras un incidente es una propuesta costosa. La pérdida de datos de la empresa puede tener un impacto negativo en los ingresos y la reputación de tu negocio.
Los riesgos de seguridad debidos a las vulnerabilidades del sistema pueden minimizarse en gran medida mediante la detección rutinaria de vulnerabilidades y la aplicación de parches, combinados con prácticas rigurosas de IAM.

 

8. Revelación accidental de datos en la nube

La exposición de datos sigue siendo un problema generalizado entre los usuarios de la nube, según el informe, ya que el 55% de las empresas tienen al menos una base de datos expuesta a la Internet pública. Muchas de esas bases de datos tienen contraseñas débiles o no requieren ningún tipo de autenticación, lo que las convierte en objetivos fáciles para los agentes de amenazas.

Las principales conclusiones sobre la divulgación accidental de datos en la nube son las siguientes:

• ¿Qué bases de datos están en las nubes? Revisa las bases de datos de tu plataforma como servicio (PaaS), el almacenamiento y las cargas de trabajo informáticas que alojan las bases de datos, incluidas las máquinas virtuales (VM), los contenedores y el software de base de datos instalado en ellos.
• ¿Qué se expone efectivamente desde el entorno de la nube? Elije motores de exposición que tengan visibilidad completa de tu entorno de nube para identificar cualquier enrutamiento o servicios de red que permitan que el tráfico quede expuesto externamente. Esto incluye balanceadores de carga, balanceadores de carga de aplicaciones, redes de entrega de contenido (CDN), emparejamiento de redes y firewalls en la nube.
• Evalúa la exposición externa de un clúster de Kubernetes. El motor de exposición debe tener en cuenta muchos componentes de red de Kubernetes, incluidas las direcciones IP del clúster, los servicios de Kubernetes y las reglas de ingreso.
• Reduce la exposición al acceso asegurándose de que la base de datos está configurada con la política de IAM con menos privilegios, y que las asignaciones de esta política están controladas y supervisadas.

 

9. Configuración errónea y explotación de las cargas de trabajo sin servidor y de los contenedores.

La gestión y el escalado de la infraestructura para ejecutar aplicaciones puede seguir siendo un reto para los desarrolladores, según el informe. Deben asumir más responsabilidad controles de red y seguridad para tus aplicaciones.

Aunque parte de esa responsabilidad puede descargarse a un CSP mediante el uso de cargas de trabajo sin servidor y en contenedores, para la mayoría de las organizaciones, la falta de control de la infraestructura de la nube limita las opciones de mitigación de los problemas de seguridad de las aplicaciones y la visibilidad de las herramientas de seguridad tradicionales. Por ello, el informe recomienda crear prácticas organizativas sólidas en torno a la higiene de la nube, la seguridad de las aplicaciones, la observabilidad, el control de acceso y la gestión de secretos para reducir el radio de explosión de un ataque.

Entre las principales conclusiones sobre la desconfiguración y la explotación de las cargas de trabajo sin servidor y con contenedores se incluyen:

• Las empresas deben implementar la gestión de la postura de seguridad en la nube (CSPM), el CIEM y las plataformas de protección de la carga de trabajo en la nube para aumentar la visibilidad de la seguridad, imponer el cumplimiento y lograr el menor privilegio en las cargas de trabajo sin servidor y en contenedores.
• Deben invertir en formación sobre seguridad en la nube, procesos de gobernanza y patrones de arquitectura segura en la nube reutilizables para reducir el riesgo y la frecuencia de las configuraciones inseguras en la nube.
• Los equipos de desarrollo deben poner mayor rigor en la seguridad de las aplicaciones y en las mejores prácticas de ingeniería antes de migrar a las tecnologías sin servidor que eliminan los controles de seguridad tradicionales.

 

10. Crimen organizado, hackers y grupos APT

Los grupos de amenazas persistentes avanzadas (APT) suelen centrar su forma de robar en la adquisición de datos. Estos grupos son estudiados de cerca por grupos de inteligencia de amenazas, que publican informes detallados sobre los métodos y tácticas de los grupos. El informe de la CSA recomienda a las organizaciones que utilicen esos informes para organizar ejercicios de "equipo rojo" con el fin de protegerse mejor de los ataques de las APT, así como realizar ejercicios de caza de amenazas para identificar la presencia de cualquier APT en sus redes.

Los puntos clave del informe en el área de las APT incluyen

• Realizar un análisis del impacto en el negocio de tu organización para conocer sus activos de información.
• Participar en grupos de intercambio de información sobre ciberseguridad.
• Comprender cualquier grupo de APT relevante y sus tácticas, técnicas y procedimientos (TTP).
• Realizar ejercicios de seguridad ofensivos para simular las TTP de estos grupos APT.
• Asegurarse de que las herramientas de supervisión de la seguridad están ajustadas para detectar las TTP de cualquier grupo APT relevante.

 

11. Exfiltración de datos en la nube

La exfiltración de datos de almacenamiento en la nube se produce cuando la información sensible, protegida o confidencial es liberada, vista, robada o utilizada por un individuo fuera del entorno operativo de la organización. El informe señala que muchas veces la exfiltración de datos puede ocurrir sin el conocimiento del propietario de los datos. En algunos casos, el propietario puede no ser consciente del robo de los datos hasta que se lo notifica el ladrón o hasta que aparecen a la venta en Internet.

Aunque la nube puede ser un lugar cómodo para almacenar datos, continúa el informe, también ofrece múltiples formas de exfiltrarlos. Para protegerse contra la exfiltración, las organizaciones han empezado a recurrir a un modelo de confianza cero en el que se utilizan controles de seguridad basados en la identidad para proporcionar el acceso menos privilegiado a los datos.

Entre los puntos clave del informe sobre la exfiltración del almacenamiento en la nube se encuentran los siguientes:

• El almacenamiento en la nube requiere un entorno bien configurado (gestión de la postura de seguridad SaaS [SSPM], CSPM), la remediación de las vulnerabilidades en la infraestructura como servicio (IaaS), que sigue siendo un importante vector de amenazas, y un fuerte control de la identidad y el acceso tanto de personas como de personas no humanas.
• Para detectar y prevenir los ataques y la exfiltración de datos, aplica las guías de buenas prácticas del CSP y las capacidades de supervisión y detección.
• Se requiere una formación de concienciación de los empleados sobre el uso del almacenamiento en la nube, ya que los datos están dispersos en varias ubicaciones y controlados por varias personas.
• Evaluar la resistencia de la seguridad de los proveedores de la nube y, como mínimo, el cumplimiento de las normas de seguridad, el acuerdo legal y el acuerdo de nivel de servicio (SLA).
• Si no está limitado por el negocio, el cifrado del lado del cliente puede proporcionar protección contra los atacantes externos o los internos maliciosos del CSP. En general, el cifrado no siempre es factible, debido a consideraciones de implementación.
• Clasificar los datos puede ayudar a establecer diferentes controles y, si se produce una exfiltración, a evaluar el impacto y las acciones de recuperación necesarias.

 

Cambio de enfoque de la seguridad en la nube

El informe de la CSA señaló que su edición de 2022 continuaba una tendencia incipiente encontrada en su versión anterior: un alejamiento del enfoque tradicional de la seguridad de la información, como las vulnerabilidades y el malware. En cualquier caso, estos problemas de seguridad son una llamada a la acción para desarrollar y mejorar la concienciación y la configuración de la seguridad en la nube, así como la gestión de la identidad. La nube en sí misma es menos preocupante, por lo que ahora la atención se centra más en la implementación de la tecnología de la nube.

Nota del editor: Este artículo, publicado originalmente el 11 de marzo de 2016, se ha actualizado para reflejar las últimas investigaciones.