Las tecnologías en la nube ofrecen numerosas ventajas para las empresas y resultan muy útiles en una gran variedad de casos de uso. Sin embargo, cada vez son más vulnerables a una amplia gama de problemas de seguridad, lo que hace necesario incorporar herramientas y tecnologías de seguridad de vanguardia para abordar estos puntos débiles. Los indicadores de ataque (IOA) son señales que indican que se puede estar produciendo un ataque y actúan como un sistema de alerta temprana contra las brechas.
En este artículo, exploraremos la gran importancia que tienen los IOA para la seguridad de la nube y explicaremos cómo las organizaciones pueden usarlas para reforzar la seguridad en Google Cloud. Además, hablaremos de cómo la plataforma CrowdStrike Falcon® puede integrarse con Google Cloud para proporcionar funciones mejoradas de IOA basadas en IA y una sólida posición de seguridad para la cuenta de Google Cloud.
La importancia de los IOA para la seguridad de la nube
Los IOA tienen por objetivo identificar patrones de ataque antes de que se conviertan en brechas efectivas. En cambio, los indicadores de compromiso (IOC), que son más reactivos, son más útiles en el proceso forense posterior a la brecha. Los IOA se desarrollaron para detectar anomalías en el comportamiento y patrones sospechosos normalmente asociados con amenazas sofisticadas, como exploits de día cero o amenazas persistentes avanzadas. Este enfoque único en la seguridad de la nube, basado en el comportamiento, ofrece ventajas significativas con respecto a los métodos de detección más tradicionales basados en firmas y reglas, como puede ser el sistema de protección contra intrusiones en la red (NIPS).
Los IOA desplazan el enfoque del análisis estático de eventos (como la inspección de datos de telemetría) a la intención y metodología de los ciberdelincuentes. Si se centran en los IOA, los analistas de seguridad podrán responder y diagnosticar con más rapidez a un posible ataque, ya que podrán rastrear movimientos y adelantarse a amenazas tanto potenciales como en curso. En última instancia, los IOA mejoran drásticamente la capacidad del equipo de seguridad para detectar amenazas más encubiertas y sofisticadas.
IOA en Google Cloud
Google Cloud es uno de los principales proveedores de servicios en la nube del mundo. Como ocurre con cualquier entorno en la nube, detectar amenazas de seguridad y preservar la seguridad de todos los recursos en un sistema tan vasto y diverso es un gran desafío y requiere las mejores herramientas de ciberseguridad disponibles.
Al monitorizar y analizar en tiempo real los logs de auditoría de Google Cloud y los logs de flujos de VPC, las herramientas de prevención de amenazas basadas en IOA ayudan a detectar actividades anómalas en la red en la cuenta de Google Cloud. Estas actividades, como picos o caídas repentinas en el tráfico, escaneo de puertos o transferencias de datos inusualmente grandes a ubicaciones externas, pueden ser indicadores tempranos de actividades maliciosas.
Las herramientas de prevención de amenazas basadas en IOA también están diseñadas para detectar el comportamiento sospechoso de los usuarios, una señal de alerta importante. Múltiples intentos fallidos de inicio de sesión, intentos de inicio de sesión a horas inusuales o inicios de sesión desde ubicaciones geográficas inesperadas son indicadores de un ataque. A menos que se identifiquen rápidamente para así mitigarlos con éxito, estos indicadores suelen ser los precursores de brechas catastróficas.
Las herramientas de prevención de amenazas basadas en IOA destacan en la detección de IOA a nivel de sistema, como cambios en archivos críticos sin la debida autorización, picos anormalmente altos en el uso de recursos o la instalación de nuevo software desconocido.
Porter Airlines
Lee este caso de cliente y descubre cómo Porter Airlines consolida la seguridad de la nube, la identidad y los endpoints con CrowdStrike.
Leer el caso de clienteCómo CrowdStrike se integra con Google Cloud
No todas las herramientas de prevención de amenazas basadas en IOA ofrecen el mismo conjunto de funciones, nivel de sofisticación o compatibilidad con proveedores de la nube como Google Cloud. La plataforma Falcon se integra a la perfección con Google Cloud y utiliza IOA basadas en IA para mejorar las capacidades de seguridad.
Visibilidad y monitorización continuas
CrowdStrike Falcon® Cloud Security se integra en la gestión de la posición de seguridad de la nube (CSPM) para monitorizar y analizar continuamente los recursos implementados en el entorno de Google Cloud. Así, esta solución te ayuda a identificar rápidamente posibles irregularidades, errores de configuración, riesgos de cumplimiento y problemas de seguridad.
Los paneles de control de seguridad de la nube proporcionan visibilidad sobre las configuraciones de recursos de la nube, los permisos de acceso, el estado de cumplimiento y las medidas de corrección. Con esta información, resulta posible corregir cualquier posible vulnerabilidad, aplicar las mejores prácticas para la seguridad de la nube y garantizar la plena adherencia a los requisitos normativos.
Detección y corrección de amenazas en tiempo real
Cuando nos enfrentamos a una amenaza, la diferencia entre que la brecha sea catastrófica o que la mitigación sea eficaz suele reducirse a una cuestión de minutos, si no de segundos. Falcon Cloud Security se integra a la perfección con Google Cloud para procesar los datos en tiempo real y permitir a tu equipo responder de inmediato para frenar los ataques antes de que se conviertan en brechas efectivas. Falcon Cloud Security filtra el ruido de manera inteligente, distinguiendo las vulnerabilidades y problemas críticos de aquellos que no requieren atención inmediata. Al priorizar las amenazas de manera eficiente, la organización puede centrarse en abordar los riesgos más urgentes.
Inteligencia sobre amenazas y análisis del comportamiento
Al aprovechar tácticas, técnicas y procedimientos basados en el comportamiento, Falcon Cloud Security puede detectar patrones que indiquen una actividad inusual del usuario. La solución recurre a la inteligencia sobre amenazas para comparar estos patrones inusuales con mecanismos de ataque conocidos y determinar si el comportamiento en cuestión puede clasificarse con certeza como actividad maliciosa.
Conclusión
Las intrusiones en la nube están creciendo a un ritmo asombroso y afectan a las operaciones de empresas de todo el mundo. La mejor manera de proteger el entorno en la nube de tu organización es utilizar herramientas de seguridad de primer nivel que ayuden a prevenir ataques (como las herramientas de prevención de amenazas basadas en IOA) y a realizar análisis forenses posteriores a la brecha (como las herramientas de detección basadas en IOC). Las plataformas de seguridad de la nube y las herramientas CSPM que emplean IOA basadas en IA presentan capacidades de detección de amenazas en tiempo real y corrección proactiva al identificar comportamientos sospechosos al instante y filtrar eventos para eliminar el ruido y los falsos positivos.
Para obtener más información, prueba la demo interactiva de CrowdStrike Falcon Cloud Security.
Cody Queen ocupa el puesto de Senior Product Marketing Manager en CrowdStrike y lidera los esfuerzos de comercialización de productos shift-left y Falcon Cloud Security. Antes de incorporarse a CrowdStrike, Cody trabajó en Cybereason como comercial de productos para la protección de cargas de trabajo en la nube y seguridad de endpoints y, anteriormente, en los servicios gestionados de centros de datos del negocio de seguridad y APEX Cloud de Dell Technologies. Además, cuenta con más de 14 años de experiencia en el sector público para la planificación, gestión y respuesta ante amenazas de seguridad contra los Estados Unidos.
