En su día a día, las empresas se enfrentan a diversos riesgos, amenazas y retos en materia de seguridad. Para muchos, estos tres conceptos significan lo mismo, pero la realidad es que presentan algunas diferencias. Entender los matices que los distinguen te ayudará a proteger mejor los recursos de la nube.

¿Qué diferencia hay entre riesgos, amenazas y desafíos?

• El riesgo es la posibilidad de perder datos o la presencia de un punto débil.
• La amenaza es un tipo de ataque o adversario.
• Los desafíos son los obstáculos a los que se enfrenta una organización para implementar una seguridad práctica en la nube.

Veamos un ejemplo: un endpoint de API alojado en la nube y expuesto a la Internet pública es un riesgo; el atacante que intenta acceder a datos confidenciales utilizando esa API es la amenaza (junto con las técnicas utilizadas); y el desafío al que se enfrenta la organización es proteger de manera efectiva las API públicas y garantizar su disponibilidad para los clientes y usuarios legítimos que las necesitan.

Para que la estrategia de seguridad de la nube sea completa, debe abordar estos tres aspectos. De ese modo, no habrá grietas en los cimientos. Cada uno de estos tres conceptos ofrece una óptica o ángulo diferente desde el que concebir la seguridad en la nube. Una estrategia sólida debe mitigar el riesgo (controles de seguridad), proteger frente a las amenazas (procesos seguros de codificación e implementación) y superar los desafíos (implementar soluciones culturales y técnicas) para que la empresa utilice la nube para crecer con seguridad.

 Cuatro riesgos para la seguridad de la nube

No puedes deshacerte del riesgo por completo, pero sí puedes gestionarlo. Conocer de antemano los riesgos más comunes te preparará para afrontarlos en tu entorno. ¿Qué cuatro riesgos identificamos para la seguridad de la nube?

1. Superficies de ataque no gestionadas
2. Errores humanos
3. Errores de configuración
4. Brechas de datos

1. Superficies de ataques no gestionadas

La superficie de ataque es igual a la exposición total del entorno. La adopción de microservicios puede provocar una explosión de carga de trabajo disponible públicamente. Cada carga de trabajo aumenta la superficie de ataque. Si no lo gestionas con cuidado, podrías exponer tu infraestructura de maneras que no imaginas, hasta que se produzca un ataque.

Algo a lo que nadie quiere enfrentarse.

La superficie de ataque también puede incluir fugas sutiles de información que acaben desembocando en un ataque. Por ejemplo, los threat hunters del equipo de CrowdStrike detectaron que un atacante utilizaba muestras de datos de solicitudes DNS que había recopilado a través de una red WiFi pública para obtener los nombres de buckets S3. CrowdStrike logró detener el ataque antes de que los atacantes provocasen daños, pero es un gran ejemplo de la naturaleza omnipresente del riesgo. Ni siquiera los estrictos controles aplicados a los buckets S3 fueron suficientes para ocultar por completo su existencia. Debemos ser conscientes de que, en cuanto utilizamos la nube o la Internet pública, exponemos automáticamente nuestra superficie de ataque al mundo.

Seguramente utilizas estos recursos porque los necesitas para funcionar, pero es importante que los tengas controlados en todo momento.

2. Errores humanos

Según Gartner, hasta 2025, el 99 % de todos los fallos de seguridad en la nube se deberán, en cierta medida, a errores humanos. Los errores humanos constituyen un riesgo que siempre está presente cuando se desarrollan aplicaciones empresariales. Sin embargo, alojar recursos en la nube pública agrava el riesgo.

Debido a la facilidad de uso de la nube, los usuarios podrían estar utilizando API sin que seas consciente de ello y sin los controles adecuados, lo que genera grietas en tu perímetro. Aborda los errores humanos con controles sólidos que ayuden a las personas a tomar las decisiones correctas.

Una última regla: no culpes a las personas de los errores. La culpa es del proceso. Desarrolla procesos y medidas de seguridad para que las personas actúen como corresponde. Señalar con el dedo no mejorará la seguridad de tu negocio.

3. Errores de configuración

Los entornos de la nube no paran de crecer porque los proveedores incorporan nuevos servicios continuamente. Además, muchas empresas recurren a más de un proveedor.

Cada proveedor tiene una configuración predeterminada diferente, y cada servicio tiene sus propias implementaciones y particularidades. Hasta que las empresas no dominen la protección de los diversos servicios de la nube, los adversarios seguirán explotando los errores de configuración.

4. Brechas de datos

Las brechas de datos se producen cuando la información confidencial sale de tu perímetro sin tu conocimiento o sin tu permiso. Los datos son el tesoro más preciado para los atacantes, por lo que suelen ser el principal objetivo de la mayoría de ataques. Los errores de configuración en la nube y la falta de protección en tiempo de ejecución pueden abrir las puertas de par en par a los ciberdelincuentes.

El impacto de las brechas de datos dependerá del tipo de datos que se haya robado. Los atacantes venden la información de identificación personal y la información médica personal en la dark web a aquellos que quieren robar identidades o utilizar la información en correos electrónicos de phishing.

Otra información confidencial, como correos electrónicos o documentos internos, podría utilizarse para dañar la reputación de una empresa o sabotear el precio de sus acciones. Independientemente del motivo detrás del robo de datos, las brechas siguen siendo una gran amenaza para las empresas que utilizan la nube.

Cómo gestionar los riesgos para la seguridad de la nube

Sigue estos consejos para gestionar los riesgos de la nube:

• Evalúa los riesgos periódicamente para detectar nuevos riesgos.
• Prioriza e implementa controles de seguridad para mitigar los riesgos identificados (CrowdStrike puede ayudarte).
• Documenta y revisa los riesgos que decidas aceptar.

Cuatro amenazas para la seguridad de la nube

Una amenaza es un ataque contra los recursos de la nube que tiene por objetivo explotar un riesgo. ¿Qué cuatro amenazas suelen poner en riesgo la seguridad de la nube?

1. Exploits de día cero
2. APT
3. Amenazas internas
4. Ciberataques

1. Exploits de día cero

La nube es "el ordenador de otra persona". Sin embargo, siempre que utilices ordenadores y software, incluso los que se ejecutan en el datacenter de otra organización, te toparás con la amenaza de los exploits de día cero.

Los exploits de día cero atacan vulnerabilidades en sistemas operativos y software populares que el proveedor no ha solucionado. Su peligro radica en que, aunque la configuración de tu nube sea de primer nivel, un ciberdelincuente puede explotar vulnerabilidades de día cero para introducirse en el entorno.

2. Amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) son ciberataques sofisticados y duraderos en los que un intruso establece una presencia no detectada en una red para robar datos confidenciales durante un tiempo prolongado.

Las APT no son ataques rápidos "drive-by". El atacante permanece dentro del entorno, pasando de una carga de trabajo a otra, buscando información sensible para robarla y venderla al mejor postor. Estos ataques son peligrosos porque pueden empezar utilizando un exploit de día cero y luego pasar desapercibidos durante meses.

3. Amenazas internas

Una amenaza interna es una amenaza de ciberseguridad que  procede del interior de la organización, normalmente de un empleado, exempleado u otra persona con acceso directo a la red, los datos confidenciales y la propiedad intelectual de la empresa, y conocimientos de los procesos de negocio, las políticas de la empresa u otra información que puede ayudarle a perpetrar el ataque.

4. Ciberataques

El ciberataque se produce cuando ciberdelincuentes, hackers u otros adversarios digitales intentan acceder a una red o sistema informático, normalmente con el fin de alterar, robar, destruir o exponer información.

Algunos de los ciberataques contra empresas más frecuentes son los relacionados con malware, phishing, ataques de denegación de servicio (DoS) y ataques de denegación de servicio distribuido (DDoS), inyecciones SQL y ataques basados en el IoT.

Cómo abordar las amenazas para la seguridad de la nube

Hay tantos ataques específicos, que protegerse frente a todos ellos supone un gran desafío. Sin embargo, a continuación proponemos tres directrices que pueden seguirse para proteger los recursos de la nube de estas y otras amenazas.

• Aplica estándares de codificación seguros para desarrollar microservicios.
• Revisa una y otra vez la configuración de la nube para detectar lagunas.
• Cuando la base sea segura, adopta una postura de ataque con Threat Hunting. (CrowdStrike puede ayudarte)

Cuatro desafíos para la seguridad en la nube

Los desafíos son las lagunas que se forman entre la teoría y la práctica. Saber que se necesita una estrategia de seguridad de la nube está muy bien, pero ¿por dónde se empieza? ¿Cómo se aborda el cambio cultural? ¿Qué pasos deben seguirse a diario para conseguirlo?

¿A qué cuatro desafíos para la seguridad de la nube se enfrentan todas las empresas que recurren a la nube?

1. Falta de seguridad en la nube y conocimientos
2. Gestión de identidades y accesos
3. Shadow IT
4. Cumplimiento en la nube

1. Falta de estrategia y conocimientos de seguridad en la nube

Los modelos de seguridad de los datacenter tradicionales no son válidos para la nube. Los administradores deben incorporar nuevas estrategias y formarse en nuevas competencias específicas para la computación en la nube.

Es innegable que la nube aporta agilidad a las organizaciones, pero también puede generar vulnerabilidades en aquellas que carecen del conocimiento y la experiencia interna que les permita responder con eficacia a los desafíos de seguridad en la nube. Una planificación deficiente puede dar lugar a que se malinterpreten las implicaciones del modelo de responsabilidad compartida, donde se establecen las obligaciones de seguridad del proveedor de la nube y del usuario. Y este malentendido puede dar lugar al aprovechamiento de lagunas de seguridad accidentales.

2. Gestión de identidades y accesos

La gestión de identidades y accesos (IAM) es fundamental. Aunque pueda parecer obvio, el reto está en los detalles.

Crear los roles y permisos necesarios en una empresa formada por miles de empleados es una tarea de gran envergadura. Las estrategias integrales de IAM se componen de tres pasos esenciales: diseño de roles, gestión de los privilegios de acceso e implementación.

Empieza por diseñar de manera coherente las funciones basándote en las necesidades de los usuarios de la nube. Diseña las funciones al margen de cualquier sistema de IAM específico. Se trata de describir, a través de las funciones, el trabajo de los empleados, algo que no cambiará si cambias de proveedor de nube.

A continuación, en la estrategia para gestionar los privilegios de acceso, define qué roles requerirán más protección debido a sus privilegios. Controla de manera estricta quién puede acceder a credenciales con privilegios y renuévalas regularmente.

Por último, es el momento de implementar los roles diseñados en el servicio de IAM del proveedor de la nube. Este paso te resultará mucho más sencillo si has desarrollado esta estrategia de antemano.

3. Shadow IT

Las tecnologías en la sombra (Shadow IT) suponen un reto para la seguridad porque elude el proceso estándar de aprobación y gestión de TI.

Shadow IT es el resultado de que los empleados adopten los servicios en la nube para hacer su trabajo. La facilidad con la que pueden crearse y eliminarse recursos en la nube hace difícil controlar su crecimiento. Por ejemplo, los desarrolladores pueden generar cargas de trabajo rápidamente utilizando sus cuentas. Por desgracia, los recursos que se crean de esta manera pueden no estar correctamente protegidos y se accede a ellos con contraseñas predeterminadas y configuraciones inadecuadas.

La adopción de DevOps complica las cosas. A los equipos de la nube y DevOps les gusta trabajar con rapidez y aplicar una estrategia fluida. Sin embargo, es difícil obtener los niveles de visibilidad y administración que exigen los equipos de seguridad sin entorpecer las actividades de DevOps. En DevOps necesitan un medio que les permita desplegar sin obstáculos aplicaciones seguras e incorporarse directamente a la metodología de integración continua/entrega continua (IC/EC). Es preciso contar con una estrategia unificada para que los equipos de seguridad obtengan la información que necesitan sin ralentizar a DevOps. Los departamentos de TI y de seguridad deben buscar soluciones que funcionen en la nube, pero a la velocidad de DevOps.

4. Cumplimiento en la nube

Las organizaciones deben cumplir la normativa que protege los datos confidenciales, como el PCI DSS o la HIPAA. Entre los datos confidenciales se incluye la información de tarjetas de crédito, registros sanitarios del paciente, etc. Para garantizar el cumplimiento, muchas organizaciones limitan el acceso y lo que los usuarios pueden realizar cuando se les concede acceso. Si no se definen medidas para controlar el acceso, monitorizar el acceso a la red se convierte en todo un reto.

Cómo abordar los desafíos para la seguridad en la nube

Cada desafío es único y, por tanto, requiere soluciones específicas. Dedica el tiempo necesario a la fase de planificación antes de utilizar los servicios de la nube. Si quieres que tu estrategia sea sólida, debes tener en cuenta los desafíos más frecuentes en la nube, como los que hemos comentado aquí. De ese modo, dispondrás de un plan de acción para todos los retos previstos.

¿Has sufrido una brecha en la nube?

Ponte en contacto con el equipo de servicios de CrowdStrike para obtener visibilidad de la actividad del atacante. Trabajaremos con tu equipo
para detener la brecha y que tu organización pueda volver a la normalidad lo antes posible.

Contacto