Tener una perspectiva clara de la postura de seguridad resulta esencial para anticiparse a los atacantes en el entorno de la nube
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Conforme las estructuras de la nube dependen cada vez en mayor medida de las API y se despliegan de manera flexible en áreas expuestas a posibles ataques, conseguir una comprensión clara se vuelve complicado. Agregando a esta dificultad está la incorporation de métodos de DevOps, microservicios y tecnologías de contenedores, que, aunque promueven la agilidad y la capacidad de crecer, introducen niveles extra de complejidad y potenciales áreas de vulnerabilidad no detectadas.
Tener una perspectiva clara de la postura de seguridad resulta esencial para anticiparse a los atacantes en el entorno de la nube debido a la forma en que está estructurada. La infraestructura en la nube se apoya principalmente en las API y consta de recursos que cambian dinámicamente, dispersos en su mayoría a lo largo de una amplia superficie susceptible a ataques. La combinación de estos elementos, junto con otros, presenta desafíos considerables para lograr una seguridad efectiva en la nube. Por lo tanto, uno de los aspectos fundamentales para mantener el control de la seguridad en este entorno es asegurar una visibilidad confiable. Para mejorar esta visibilidad, se pueden emplear diversos enfoques, como implementar sistemas de registro y supervisión, activar estrategias de gestión de cambios que rastreen todas las modificaciones en los recursos y configuraciones de la nube, así como establecer tácticas de detección de amenazas y respuesta a incidentes.
A pesar de sus beneficios, los microservicios y contenedores introducen múltiples niveles de abstracción, lo que complica la estructura de los sistemas propios de la nube. El equipo de seguridad de Kubernetes emplea el concepto de las 4C de la seguridad inherente a la nube para ilustrar esta situación. Los microservicios y contenedores operan en diversos estratos de abstracción compuestos por una variedad de tecnologías, incluyendo diferentes protocolos de comunicación. Por lo general, los mecanismos de seguridad se diseñan para solucionar problemas de seguridad en tecnologías específicas.
Como resultado, esto restringe la efectividad de los mecanismos de seguridad dentro de una capa de abstracción. En última instancia, en una infraestructura nativa de la nube, se necesitan diversos métodos de seguridad para lograr la transparencia. Sin embargo, estos enfoques de seguridad a menudo funcionan de manera independiente y, por ende, enfrentan dificultades para proporcionar una visión integral. Superar estos retos implica establecer canales de comunicación a través de los distintos niveles de abstracción en los diversos mecanismos de seguridad. Además, dado que los microservicios y contenedores están diseñados para ser flexibles, mantener y rastrear la visibilidad representa un desafío adicional.
La rapidez con la que aumentan tanto la frecuencia como la sofisticación de las amenazas está generando inquietudes significativas en muchas organizaciones. No existe un enfoque único para afrontar estos desafíos; incluso las organizaciones maduras con suficientes recursos para la seguridad no están exentas de preocupaciones. Por lo tanto, la solución no radica únicamente en tener el presupuesto adecuado para adquirir las soluciones de seguridad más avanzadas. Establecer prácticas básicas de seguridad se convierte en el cimiento para reducir los riesgos asociados. Las organizaciones deben asegurarse de esto al promover una cultura centrada en la ciberseguridad. Además, es imperativo adoptar la idea de asumir una violación, dado que no es posible garantizar una seguridad absoluta.
Las organizaciones necesitan implementar sistemas de seguridad que evalúen de manera constante la efectividad de los mecanismos de seguridad. Existen varias soluciones de seguridad que pueden utilizarse para evaluar de forma continua la eficacia de la protección, como la aplicación de pruebas de caos en seguridad, la simulación de amenazas adversarias y la búsqueda proactiva de riesgos. El último punto que deseo destacar es la transición de la ciberseguridad a la ciberresiliencia. Mientras que la ciberseguridad se enfoca en detectar y prevenir ataques, la ciberresiliencia busca detener o adaptarse a los ataques, al mismo tiempo que garantiza la continuidad de las operaciones empresariales frente a circunstancias adversas.
El uso de múltiples nubes públicas y privadas, junto con entornos locales, presenta varios desafíos que pueden contribuir a una mayor complejidad de gestión y costos operativos para las organizaciones. Si bien los entornos híbridos y de múltiples nubes ofrecen diversos beneficios, como flexibilidad, escalabilidad y resiliencia, también conllevan complejidades inherentes que deben gestionarse cuidadosamente. El uso de múltiples nubes públicas y privadas, incluidos entornos locales, implica una infraestructura diversa con diferentes API, tecnologías, etc.
Mantener una postura de seguridad consistente en este entorno diverso es un gran desafío. Los mecanismos de seguridad diferirían según la nube, y las habilidades necesarias para gestionar los mecanismos serían igualmente diferentes. El impacto de este entorno diverso afecta a las personas, los procesos y la tecnología y potencialmente crea puntos ciegos que los atacantes podrían aprovechar. De manera similar, la superficie de ataque expuesta en esta infraestructura diversa es un desafío de gobernar.
Los servicios ofrecidos en la nube generan un valor sustancial para las organizaciones. Sin embargo, la elección de incorporar más de estos servicios debe ser gestionada y considerada no solamente desde una perspectiva de funcionalidad, sino también en términos de seguridad. Es crucial mantener el principio de seguridad por defecto, especialmente debido a que los servicios en la nube tienden a tener funcionalidades que se superponen. Por lo tanto, añadir más servicios sin una planificación adecuada podría llevar a redundancias, malgasto de recursos y una ampliación innecesaria de la superficie de exposición a posibles ataques.
Estos inconvenientes pueden prevenirse mediante la adopción de varias prácticas de seguridad, como análisis de diseño y arquitectura de seguridad, así como ejercicios de simulación de amenazas que respalden la necesidad de estos servicios. Otras estrategias para abordar este asunto involucran el empleo de servicios proporcionados por los proveedores de servicios en la nube para hacer cumplir políticas en toda la organización; por ejemplo, la herramienta AWS Organization. Con la implementación de dichos servicios, se puede establecer una gobernanza rigurosa para evitar la utilización intencionada o errónea de servicios en la nube no previamente planificados.
Uno de los principales retos en la industria actual es la escasez de competencias adecuadas. Para abordar este desafío, se pueden aplicar diversas medidas, entre ellas, destinar recursos financieros para educación y brindar oportunidades de formación a los empleados para que adquieran habilidades y conocimientos relacionados con sus roles laborales. Existen varios programas de capacitación en línea que ofrecen formación en servicios en la nube para las empresas. Estas oportunidades pueden ser aprovechadas por las organizaciones mediante la suscripción a dichos programas y motivando a los trabajadores a inscribirse y participar en ellos.
Adicionalmente, otra estrategia es desarrollar programas internos de formación en la nube dentro de la organización, donde se invite a expertos internos o externos en el campo a compartir su experiencia. Esto podría combinar aspectos teóricos con ejercicios prácticos o formatos de estilo "hackatón" que permitan practicar las habilidades relacionadas con la computación en la nube.
Para más información, visite: https://www.silikn.com/