La adopción de la nube se ha vuelto fundamental para la transformación digital, ya que proporciona a las empresas la agilidad y escalabilidad que necesitan para prestar un mejor servicio a los clientes. Sin embargo, la adopción de la nube ha ampliado la superficie de ataque que las empresas deben controlar y defender.

A los equipos de seguridad les cuesta mantenerse al día debido a la escasa visibilidad y a los enfoques fragmentados en la gestión de la seguridad y detección de amenazas, a lo que se añade que la superficie de ataque se amplía con cada carga de trabajo nueva que se implementa en la nube. Por tanto, para proteger la nube, se requiere un modelo de seguridad distinto al que se aplica al entorno local.

Vulnerabilidades comunes de la nube

Para defender los entornos de nube, los equipos de seguridad deben protegerse contra las vulnerabilidades comunes de la nube, incluidas las siguientes:

Errores de configuración

Los errores de configuración suelen estar causados por la falta de conocimientos generales o la falta de revisión. Algunos ejemplos se producen cuando se da a los usuarios acceso innecesario a recursos o cuando se configuran contenedores de manera que quedan expuestos al público.

API poco seguras

Las API se utilizan cada vez más en el desarrollo de software moderno y en microservicios, aplicaciones y backends de sitios web. Deben gestionar solicitudes muy diversas. Por desgracia, algunas de estas solicitudes son obra de ciberdelincuentes y atacan vulnerabilidades y errores de configuración.

Ausencia de mecanismos de autenticación multifactor (MFA)

La MFA exige a los usuarios presentar al menos dos formas de identificación para validar su acceso a una cuenta o a datos. Las contraseñas de los usuarios son vulnerables al robo, por lo que la ausencia de mecanismos de MFA una vulnerabilidad potencialmente grave.

Falta de control sobre las acciones de usuarios finales

Ejercer el control de quién puede acceder a los recursos de la nube y monitorizar la actividad de los usuarios son componentes críticos de la protección de la nube. Sin estos procesos, las organizaciones se arriesgan a no detectar actividades maliciosas.

Debilidades en la seguridad de la cadena de suministro de software

Las aplicaciones nativas de la nube suelen utilizar software de código abierto. Dado que las amenazas atacan este tipo de software, las organizaciones deben actuar para mitigar el riesgo de que se introduzcan errores de configuración y vulnerabilidades.

¿Cómo funciona el aprovechamiento de vulnerabilidades de la nube?

Los investigadores de CrowdStrike están continuamente analizando el panorama de amenazas en constante evolución al que se enfrentan las organizaciones en la actualidad. Los ciberatacantes han tomado nota de que cada vez más empresas adoptan nuevas arquitecturas en la nube en busca de una mayor escalabilidad, eficiencia y seguridad, y ahora atacan estas infraestructuras dirigen a la infraestructura en la nube.

Los ciberdelincuentes normalmente aprovechan de manera oportunista las vulnerabilidades conocidas de ejecución remota de código en el software de servidor, buscando servidores vulnerables, sin centrarse en ningún sector o región geográfica en particular. Tras el acceso inicial, pueden utilizar distintas herramientas. Los ataques más amplios a servicios en la nube para conseguir el acceso inicial aprovechan las vulnerabilidades de las aplicaciones de transferencia de archivos.

Desde enero de 2021, múltiples empresas han denunciado brechas relacionadas con estos exploits. VMware también ha recibido ataques de los ciberdelincuentes, entre otras causas por CVE-2021-21972, una vulnerabilidad crítica que afecta a los productos VMware ESXi, vCenter Server y Cloud Foundation. Esta vulnerabilidad ofrece un medio de acceso sencillo y fiable, que los atacantes pueden utilizar en distintos sistemas operativos host, vectores de ataque y fases de intrusión. Es probable que muchos ciberdelincuentes, en especial grupos de caza mayor (big game hunting), hayan aprovechado esta vulnerabilidad.

¿Qué puedes hacer para proteger tu entorno en la nube?

Facilita protección en tiempo de ejecución y obtén visibilidad en tiempo real

No es posible proteger lo que no se ve, ni siquiera en los casos en que se tenga previsto inutilizar la infraestructura. La protección en tiempo de ejecución y la visibilidad permanente son fundamentales para proteger la infraestructura de la nube y evitar una brecha. Es indispensable proteger las cargas de trabajo, los servidores y los contenedores con una solución para endpoints de nueva generación que cubra servidores, estaciones de trabajo y dispositivos móviles, tanto si residen en un datacenter local o un clúster virtual como si están alojados en la nube.

Márcate como prioridad acabar con los errores de configuración

La causa más frecuente de las intrusiones en la nube sigue estando en los errores humanos y los olvidos cometidos durante las labores administrativas cotidianas. Es esencial configurar una nueva infraestructura con patrones predeterminados que faciliten la adopción de operaciones seguras. Una forma de hacerlo es utilizar una fábrica de cuentas en la nube para crear fácilmente nuevas subcuentas y suscripciones. Esta estrategia garantiza que la configuración de nuevas cuentas se realizará de forma predecible, lo que elimina una de las causas habituales de errores humanos. Además, debes gestionarlo todo de manera integral junto con tu CSPM. A continuación, debes aplicar la solución CSPM a toda la infraestructura hasta el día en que la cuenta o la suscripción hayan quedado fuera de servicio para asegurar que los equipos de operaciones tengan visibilidad continua.

Obtén más control sobre las acciones de los usuarios

Las organizaciones deben implementar controles de acceso, como los incluidos en las soluciones de gestión de los derechos sobre la infraestructura de nube (CIEM) de CrowdStrike, para gestionar y proteger los recursos en la nube. Estos controles deben apoyarse en la visibilidad de las cargas de trabajo y la infraestructura de la nube. Para proteger los entornos en nube, define roles predeterminados y grupos de seguridad de red que eviten que los desarrolladores y operadores tengan que crear sus propios perfiles de seguridad y, accidentalmente, lo hagan mal.

Sé proactivo en lo que respecta a proteger las API

La proliferación de API plantea un reto para los desarrolladores y los equipos de seguridad. Sin embargo, si las organizaciones optan por implementar la seguridad antes de la ejecución e integrarla en el proceso de IC/EC, pueden reducir el riesgo. Además, los ataques de inyección de código dirigidos a API vulnerables pueden prevenirse con un firewall de aplicaciones web configurado para filtrar las peticiones por dirección IP de origen y/o información de cabecera HTTP.

Utilizar una solución de gestión de la posición de seguridad de la nube (CSPM)

La fábrica de cuentas en la nube debe incluir registros detallados y una solución CSPM —como CrowdStrike Falcon Cloud Security™— que envíe alertas a los responsables, incluidos los equipos de operaciones en la nube y el centro de operaciones de seguridad (SOC). Busca activamente las suscripciones a la nube que no estén gestionadas y, cuando las encuentres, no des por supuesto que las gestiona otra persona. Es preciso identificar a los responsables e inducirles a desmantelar cualquier entorno de shadow IT en la nube o asegurarse de que las organizaciones pueden aplicar las directivas de seguridad de manera uniforme en todas las plataformas de la nube.

Protege los recursos multinube aplicando el principio del mínimo de privilegios

El riesgo de ataque se incrementa cuando hay un exceso de permisos. Los usuarios solo deberían tener el nivel de acceso que necesitan para llevar a cabo su trabajo de manera eficaz. Si el principio del mínimo de privilegios rige las decisiones sobre los derechos de acceso, las organizaciones pueden reducir la gravedad de los daños que pueden producirse si una cuenta está en riesgo.