¿Qué es la seguridad de las aplicaciones de la nube?

La seguridad de las aplicaciones de la nube es el proceso de proteger las aplicaciones de software basadas en la nube a lo largo del ciclo de vida del desarrollo. Incluye directivas, herramientas, tecnologías y reglas a nivel de aplicación para mantener la visibilidad de todos los recursos basados en la nube, proteger las aplicaciones basadas en la nube frente a ciberataques y limitar el acceso únicamente a usuarios autorizados.

La seguridad de las aplicaciones de la nube es de vital importancia para las organizaciones que operan en entornos multinube alojados por proveedores externos como Amazon, Microsoft o Google, así como para aquellas que utilizan aplicaciones web colaborativas como Slack, Microsoft Teams o Box. Aunque estos servicios o aplicaciones suponen una importante transformación para las empresas y sus empleados, aumentan de forma drástica su superficie de ataque, lo que proporciona muchos nuevos puntos de acceso para que los adversarios entren en la red y perpetren sus ataques.

¿Por qué las organizaciones necesitan la seguridad de las aplicaciones de la nube?

En los últimos años, muchas organizaciones han adoptado un proceso de desarrollo de software ágil conocido como DevOps. Este enfoque combina el desarrollo de software tradicional y operaciones de TI para acelerar el ciclo de vida del desarrollo y lanzar rápidamente nuevas aplicaciones de software.

Sin embargo, las medidas de seguridad tradicionales de redes, aplicaciones e infraestructuras no suelen ser capaces de proteger las aplicaciones basadas en la nube, por lo que son más vulnerables a los ciberataques durante el desarrollo.

La empresas que se están beneficiando de la nube, especialmente como parte del proceso de desarrollo de software, deben diseñar e implementar una solución de seguridad integral destinada a proteger el entorno en la nube frente a una serie de amenazas y ataques que van en aumento y son cada vez más sofisticados, incluidos aquellos que se dirigen a las aplicaciones.

Descubre cómo CrowdStrike ha ayudado a PenChecks Trust a lograr la coherencia en materia de seguridad y el cumplimiento de normativa y directivas de seguridad de alto nivel. [/epp-cta]

Marco de seguridad de las aplicaciones de la nube

El marco de seguridad de las aplicaciones de la nube consta de tres componentes principales:

1. La gestión de la posición de seguridad en la nube (CSPM) se centra en los errores de configuración, el cumplimiento y la gobernanza, así como en la protección del plano de control.
2. La plataforma de protección de cargas de trabajo en la nube (CWPP) supervisa la protección en tiempo de ejecución y la gestión continua de vulnerabilidades de los contenedores en la nube.
3. El agente de seguridad de acceso a la nube (CASB) tiene el cometido de mejorar la visibilidad en los endpoints, lo que incluye quién accede a los datos y cómo se utilizan.

Tanto la CSPM, como la CWPP y el CASB son aspectos clave para proteger los datos en la nube y el acceso a este entorno. Se recomienda a las organizaciones que implementen los tres métodos de seguridad para optimizar su infraestructura de seguridad en la nube.

Análisis en profundidad de la CSPM, la CWPP y el CASB

Gestión de la posición de seguridad en la nube (CSPM)

La CSPM automatiza la identificación y la corrección de riesgos en las infraestructuras de la nube, lo que incluye la infraestructura como servicio (IaaS), el software como servicio (Saas) y la plataforma como servicio (PaaS).

La CSPM se utiliza para la visualización y evaluación de riesgos, la respuesta a incidentes, la monitorización del cumplimiento y la integración de DevOps, y puede aplicar de manera uniforme las mejores prácticas de seguridad en la nube en entornos híbridos, multinube y de contenedores.

Las soluciones de CSPM ofrecen capacidades de monitorización continua del cumplimiento, prevención de desviaciones de configuración e investigación del centro de operaciones de seguridad (SOC). Además de monitorizar el estado actual de la infraestructura, la CSPM también crea una directiva que define el estado deseado de la infraestructura y, por lo tanto, garantiza que toda la actividad de la red respalde esa directiva.

Las CSPM están diseñadas específicamente para entornos de nube y evalúan todo el entorno, no solo las cargas de trabajo. Las CSPM también incorporan automatización sofisticada e inteligencia artificial, así como corrección guiada, de modo que los usuarios no solo saben que hay un problema, sino que tienen una idea de cómo solucionarlo.

Algunas organizaciones también pueden contar con una evaluación de la posición de seguridad de la infraestructura de la nube (CISPA), que es una CSPM de primera generación. Estas evaluaciones se centran principalmente en la generación de informes, mientras que las CSPM incluyen la automatización a niveles que varían desde la simple ejecución de tareas hasta el uso sofisticado de la inteligencia artificial.

Plataforma de protección de cargas de trabajo en la nube (CWPP)

Las plataformas de protección de cargas de trabajo en la nube (CWPP) protegen las cargas de trabajo de todo tipo en cualquier ubicación, y ofrecen una protección uniforme de las cargas de trabajo de la nube en múltiples proveedores. Se basan en tecnologías como la gestión de vulnerabilidades, el antimalware y la seguridad de aplicaciones que se han adaptado para satisfacer las necesidades de las infraestructuras modernas.

Agente de seguridad de acceso a la nube (CASB)

Los agentes de seguridad de acceso a la nube (CASB) son puntos de implementación de seguridad situados entre los proveedores de servicios en la nube y los clientes de esos servicios. Se aseguran de que el tráfico cumple las directivas antes de permitir el acceso a la red. Los CASB suelen ofrecer firewalls, autenticación, detección de malware y prevención de pérdida de datos.

Amenazas de seguridad de las aplicaciones de la nube

Las aplicaciones de la nube están expuestas a una gran variedad de amenazas que pueden sacar partido de los errores de configuración, las medidas deficientes de gestión de identidades, API inseguras o software sin parches. A continuación se detallan algunas de las amenazas más habituales que deben tener en cuenta las empresas a la hora de desarrollar su estrategia y solución de seguridad de las aplicaciones de la nube.

Errores de configuración

Los errores de configuración son la mayor amenaza para la seguridad en la nube y de las aplicaciones. Entre ellos cabe mencionar, por ejemplo, los errores de configuración de buckets S3, que dejan puertos abiertos al público, o el uso de cuentas inseguras o de una interfaz de programación de aplicaciones (API). Estos errores convierten las cargas de trabajo en la nube en objetivos claros y fácilmente localizables con un simple rastreador web. Como en la nube no hay seguridad del perímetro, estos errores pueden resultar muy costosos. Muchas de las brechas de seguridad comunicadas comenzaron con buckets S3 mal configurados que se utilizaron como punto de entrada.

Dado que muchas herramientas de seguridad de aplicaciones requieren una configuración manual, este proceso puede estar plagado de errores y llevar un tiempo considerable de gestión y actualización. Para ello, las organizaciones deben adoptar herramientas y tecnologías de seguridad, y automatizar el proceso de configuración.

API no seguras

Con frecuencia, las API son el único recurso de la organización con una dirección IP pública, lo que hace que sean un blanco fácil para los ciberdelincuentes, sobre todo si no están bien protegidas por controles de acceso o métodos de cifrado.

Visibilidad y detección de amenazas insuficientes

El cambio a la nube es un fenómeno relativamente reciente para muchas organizaciones. Esto significa que es posible que muchas empresas no tengan la madurez de seguridad necesaria para operar de forma segura en un entorno multinube.

Por ejemplo, es posible que algunas herramientas de escaneo de vulnerabilidades no analicen todos los recursos, como los contenedores dentro de un clúster dinámico. Otras tal vez no distingan el riesgo real de las operaciones normales, lo que genera una serie de falsas alarmas que el equipo de TI debe investigar.

Por ello, las organizaciones deben desarrollar las herramientas, tecnologías y sistemas para inventariar y monitorizar todas las aplicaciones en la nube, cargas de trabajo y otros recursos. También deben eliminar cualquier recurso que la empresa no necesite para limitar la superficie de ataque.

7. Mala interpretación del "modelo de responsabilidad compartida" (es decir, las amenazas en tiempo de ejecución)

Las redes en nube se adhieren a lo que se conoce como "modelo de responsabilidad compartida". Esto significa que gran parte de la infraestructura subyacente está protegida por el proveedor de servicios en la nube. Sin embargo, la organización es responsable de todo lo demás, incluido el sistema operativo, las aplicaciones y los datos. Por desgracia, esta premisa puede malinterpretarse y llevar a pensar que el proveedor en la nube se encarga de proteger en su totalidad las cargas de trabajo en la nube. Como consecuencia, los usuarios ejecutan inadvertidamente cargas de trabajo en una nube pública que no están del todo protegidas, lo que implica que los adversarios pueden atacar el sistema operativo y las aplicaciones para obtener acceso. Incluso las cargas de trabajo configuradas de forma segura pueden convertirse en un objetivo durante el tiempo de ejecución, ya que son vulnerables a los exploits de día cero.

 Shadow IT

El shadow IT, que describe las aplicaciones y la infraestructura que se gestionan y utilizan sin el conocimiento del departamento de TI de la empresa, es otro de los grandes problemas de los entornos de la nube. En muchos casos, DevOps agrava el problema, ya que la barrera para entrar y utilizar un recurso en la nube, ya sea una carga de trabajo o un contenedor, es extremadamente baja. Los desarrolladores pueden generar cargas de trabajo fácilmente, utilizando sus cuentas personales. Estos recursos no autorizados son una amenaza para el entorno, pues en general no están correctamente protegidos y se accede a ellos con configuraciones y contraseñas predeterminadas, que pueden verse comprometidas fácilmente.

Falta de una estrategia integral de seguridad de la nube

Aunque las cargas de trabajo se trasladan a la nube, los administradores siguen intentando protegerlas del mismo modo que protegen los servidores de un datacenter privado o local. Lo malo es que los modelos de seguridad tradicionales para datacenters no son adecuados para la nube. Teniendo en cuenta los ataques sofisticados y automatizados a los que nos enfrentamos hoy en día, es indispensable contar con una seguridad integrada y avanzada para evitar que se produzcan brechas. La organización debe proteger todo el entorno de TI, incluidos los entornos multinube, así como los datacenters de la organización y los usuarios móviles. Adoptar un enfoque coherente e integrado que proporcione una visibilidad completa y un control detallado de toda la organización reducirá los problemas, minimizará las interrupciones del negocio y permitirá a las organizaciones trabajar en la nube de forma segura y con confianza.

Prácticas recomendadas para la seguridad de las aplicaciones en la nube de CrowdStrike

Las empresas deben diseñar e implementar una solución de seguridad integral destinada a proteger el entorno en la nube frente a una serie de amenazas y ataques que van en aumento dentro del entorno de la nube, incluidos los relacionados con las aplicaciones en la nube. Para ello, la estrategia de seguridad de la nube debe cumplir los siguientes principios:

1. Centrarse en el adversario

En todas las áreas de seguridad, incluida la nube, es crucial conocer a los adversarios y su forma de actuar: quiénes son, qué quieren, cómo consiguen lo que buscan y cómo se mapea la superficie de ataque. CrowdStrike ha observado que muchos ciberdelincuentes están tan activos en la nube como en otras partes del panorama de las tecnologías.

La diferencia es que la nube les ofrece la oportunidad de utilizar nuevas tácticas, técnicas y procedimientos (TTP).

 2. Reducir el riesgo de exposición

Las aplicaciones o cargas de trabajo basadas en la nube amplían la superficie de ataque de la organización, creando más vías de entrada para los ciberdelincuentes que pretenden atacar.

Existen dos maneras principales de reducir el riesgo de exposición:

1. Mejorar la visibilidad de todo el entorno de la nube con un inventario de todas las aplicaciones, cargas de trabajo y otros recursos en la nube.
2. Limitar la superficie de ataque mediante la búsqueda y la eliminación de aplicaciones o cargas de trabajo que no sean necesarias para el funcionamiento de la empresa.

 3. Desarrollar e implementar una directiva, un marco y una arquitectura de seguridad de la nube

Desarrolla y aplica directivas de seguridad de la nube para garantizar la seguridad permanente de todos los recursos basados en la nube. Estas directivas deben definir qué usuarios tendrán acceso a las aplicaciones, cómo se autenticará y concederá el acceso a través de medidas de seguridad avanzadas como la autenticación multifactor (MFA) y los métodos de gestión de identidades y accesos (IAM).

Las organizaciones también deben desarrollar una estrategia de seguridad integral que aborde todos los elementos de la ciberseguridad, incluida la seguridad de red, la seguridad de la infraestructura, la seguridad de los endpoints y la seguridad de la nube. La arquitectura de seguridad de la nube debe incluir varios aspectos críticos de la infraestructura: protección de datos, monitorización y visibilidad, detección de amenazas, gobernanza de la nube, cumplimiento de la normativa aplicable y medidas de seguridad para los componentes físicos de la infraestructura.

4. Monitorizar la superficie de ataque

Es importante seguir buscando formas de mejorar la visibilidad de las superficies de ataque. Así, a los adversarios les resultará más difícil ocultarse y además los costes de sus ataques se incrementarán.

Esta estrategia consiste en desplegar CrowdStrike Falcon® agent en todos los contenedores y cargas de trabajo en la nube y emplear al equipo de CrowdStrike Falcon® OverWatch™ para cazar amenazas de forma proactiva 24/7. Además, CrowdStrike utiliza indicadores de ataque (IOA) específicos nativos de la nube, analiza patrones de aprendizaje automático y lleva a cabo Threat Hunting no convencional, para detectar actividad de mando y control (hands-on-keyboard) de los adversarios en el plano de control y las cargas de trabajo en la nube de CrowdStrike.

Este nivel de visibilidad, acompañado de una actitud proactiva en la caza de amenazas, ha permitido a CrowdStrike detectar comportamientos sutiles, casi imperceptibles, con una precisión extraordinaria, como un incidente en el que el adversario indagaba la existencia de determinados buckets S3. Estos buckets no eran accesibles públicamente y tenían nombres que imposibilitaban el empleo de métodos de fuerza bruta, lo que indujo a los analistas de CrowdStrike a investigar cómo había podido el adversario obtener una lista de ellos.

Tras investigar a fondo, las fuentes de inteligencia de CrowdStrike supusieron que quizá el adversario obtenía los nombres de los buckets S3 de las muestras de datos de solicitudes DNS que habían recopilado de múltiples recursos públicos. Este tipo de datos se consigue fácilmente accediendo a recursos de conexiones Wi-Fi públicas. La enseñanza que conviene extraer es que el adversario a veces tiene más conocimiento y visibilidad de la presencia de una empresa en la nube de lo que cabría pensar.