Tabla de contenido:
- La vaguedad en la seguridad no es buena
- Superar vulnerabilidades de seguridad
- Manejo del abuso de usuarios privilegiados
Video: Almacenamiento en la Nube - Lo bueno, lo malo y lo feo (Noviembre 2024)
La encuesta de seguridad en la nube de 2019 del Instituto SANS es aleccionadora (deberá registrarse para obtener una membresía gratuita para leerla). Escrito por Dave Shackleford en abril de 2019, el informe indica algunos hechos y cifras decepcionantes. Por ejemplo, uno pensaría que, después de todos los informes de incumplimiento recientes, seríamos mejores para proteger nuestros recursos en la nube. Pero no solo seguimos siendo bastante malos, sino que el gran problema ni siquiera es la tecnología. Sigue siendo gente. Una clara indicación de esto aparece en la lista del informe de los principales tipos de ataques, comenzando con el secuestro de cuentas o credenciales, y la razón número dos de la configuración incorrecta de los servicios y recursos en la nube.
Por supuesto, hay muchas formas en que se pueden robar las credenciales, siendo el phishing simplemente la última y, en algunos casos, la más difícil de tratar. Pero las credenciales también se pueden obtener de los datos de otras infracciones simplemente porque las personas reutilizan las mismas credenciales donde pueden para que no recuerden más de lo necesario. Además, la práctica tradicional de escribir información de inicio de sesión en notas adhesivas y pegarlas junto a un teclado todavía está muy presente.
La configuración incorrecta de los servicios en la nube es otra área en la que las personas son el punto débil. La diferencia aquí es que las personas saldrán y pondrán en pie un servicio en la nube sin tener idea de lo que están haciendo, y luego lo usarán para almacenar datos sin protegerlo.
"Primero, en la adopción de la nube, ha habido tanto sobre lo fácil que es pararse en la nube que hay expectativas poco realistas", explicó Sprunger. "La gente comete errores, y no está realmente claro qué debe hacer para definir la seguridad en torno a los contenedores".
La vaguedad en la seguridad no es buena
Parte del problema es que los proveedores de la nube realmente no hacen un trabajo adecuado al explicar cómo funcionan sus opciones de seguridad (como descubrí cuando revisé recientemente las soluciones de Infraestructura como servicio o IaaS), por lo que debe adivinar o llamar El vendedor de ayuda. Por ejemplo, con muchos servicios en la nube, tiene la opción de activar un firewall. Pero descubrir cómo configurarlo una vez que se está ejecutando puede no explicarse claramente. En absoluto.
Este problema es tan grave que Shackleford, el autor del informe SANS, comienza el informe con una lista de cubos desprotegidos de Amazon Simple Storage Service (S3) que dieron lugar a infracciones. "Si se cree en los números, el 7 por ciento de los cubos S3 están abiertos al mundo", escribió, "y otro 35 por ciento no está usando el cifrado (que está integrado en el servicio)". Amazon S3 es una gran plataforma de almacenamiento, ya que nuestras pruebas se confirmaron. Problemas como estos se deben simplemente a que los usuarios configuran mal el servicio o ignoran por completo que existen ciertas características.
El abuso de uso privilegiado es el siguiente en la lista y es otro problema derivado de las personas. Sprunger dijo que esto es más que solo empleados descontentos, aunque los incluye. "Gran parte de lo que se pierde son terceros que tienen acceso privilegiado", explicó. "Es mucho más fácil ingresar a través del acceso a la cuenta de servicio. Por lo general, es una cuenta única con una contraseña única, y no hay responsabilidad".
Las cuentas de servicio generalmente se proporcionan a terceros, a menudo vendedores o contratistas que necesitan acceso para brindar soporte o servicio. Era una cuenta de servicio perteneciente a un contratista de calefacción, ventilación, aire acondicionado (HVAC) que fue el punto débil que condujo a la violación de Target en 2014. "Esas cuentas generalmente tienen privilegios divinos", dijo Sprunger, y agregó que son Un objetivo principal para los atacantes.
Superar vulnerabilidades de seguridad
Entonces, ¿qué haces con estas vulnerabilidades? La respuesta corta es entrenamiento, pero es más complejo que eso. Por ejemplo, los usuarios deben estar capacitados para estar atentos a los correos electrónicos de phishing, y esa capacitación debe ser lo suficientemente completa como para reconocer incluso signos sutiles de phishing. Además, debe incluir los pasos que los empleados deben tomar si sospechan que están viendo tal ataque. Esto incluye cómo ver a dónde va realmente un enlace en un correo electrónico, pero también debe incluir procedimientos para informar dicho correo electrónico. La capacitación debe incluir la creencia de que no se meterán en problemas por no actuar según las instrucciones enviadas por correo electrónico que parecen sospechosas.
Del mismo modo, debe existir un cierto nivel de gobierno corporativo para que los empleados aleatorios no salgan y creen sus propias cuentas de servicio en la nube. Esto incluye ver los comprobantes de informes de gastos para los cargos por servicios en la nube en tarjetas de crédito personales. Pero también significa que debe proporcionar capacitación sobre cómo lidiar con la disponibilidad de servicios en la nube.
Manejo del abuso de usuarios privilegiados
Lidiar con el abuso de usuarios privilegiados también puede ser un desafío porque algunos proveedores insistirán en acceder con una amplia gama de derechos. Puede lidiar con algo de esto segmentando su red para que el acceso sea solo al servicio que se está administrando. Por ejemplo, segméntelo para que el controlador HVAC esté en su propio segmento, y los proveedores encargados de mantener ese sistema solo tengan acceso a esa parte de la red. Otra medida que podría ayudar a lograr esto es implementar un sistema robusto de administración de identidad (IDM), que no solo mantendrá un mejor seguimiento de las cuentas, sino también quién las tiene y sus privilegios de acceso. Estos sistemas también le permitirán suspender el acceso más rápidamente y proporcionar una pista de auditoría de la actividad de la cuenta. Y si bien puede gastar mucho dinero en uno, es posible que ya tenga uno en funcionamiento si es una tienda de Windows Server con un árbol de Active Directory (AD) de Microsoft habilitado.
- Las mejores suites de seguridad para 2019 Las mejores suites de seguridad para 2019
- Los mejores proveedores de almacenamiento en la nube para empresas y uso compartido de archivos para 2019 Los mejores proveedores de almacenamiento en la nube para empresas y uso compartido de archivos para 2019
- Los mejores servicios de respaldo en la nube para empresas en 2019 Los mejores servicios de respaldo en la nube para empresas en 2019
También es posible que deba asegurarse de que los proveedores tengan acceso con privilegios mínimos para que sus cuentas solo les otorguen derechos sobre el software o dispositivo que administran y nada más: otro gran uso de un sistema IDM. Puede solicitarles que soliciten acceso temporal para cualquier otra cosa.
Estos son solo los pocos elementos principales en una lista bastante larga de problemas de seguridad, y vale la pena leer el informe de la encuesta de seguridad SANS en su totalidad. Su lista le dará una hoja de ruta de formas de abordar sus vulnerabilidades de seguridad y le ayudará a darse cuenta de más pasos que puede seguir. Pero la conclusión es que si no está haciendo nada sobre los problemas reportados por SANS, entonces su seguridad en la nube apestará y probablemente quedará atrapado en un vórtice de fallas cuando su nube circule por el desagüe a toda velocidad incumplimiento.
