Cómo abordar el flagelo de las configuraciones erróneas de la nube
Tabla de contenido:
Un almacén de datos en la nube expuesto que contiene información personal de los jugadores del equipo nacional de fútbol de Australia subraya la creciente amenaza que representan las malas configuraciones de la nube. De acuerdo a IBM, fueron la causa del acceso inicial en el 11% de las filtraciones de datos el año pasado. Pero este tipo de riesgo se puede mitigar implementando mejores prácticas, como auditorías de seguridad periódicas, controles de acceso y cifrado más estrictos, y adhiriéndose a estándares de la industria como ISO 27001.
¿Qué pasó en Football Australia?
En febrero, investigadores de Cybernews confirmado Habían descubierto una filtración de datos en el organismo rector del fútbol de Australia. El incidente fue causado por claves de Amazon Web Services (AWS) configuradas incorrectamente y expuso 127 depósitos de datos confidenciales.
De manera alarmante, uno de estos contenedores no tenía ninguna protección y contenía información de identificación personal (PII), como los contratos y pasaportes de los jugadores de la selección nacional de fútbol de Australia. Otros datos expuestos incluyeron los detalles de los fanáticos que compraron entradas para los juegos, el código fuente y los scripts de la infraestructura digital y otra información que detalla la infraestructura de la organización. Football Australia afirma haber cerrado la brecha de seguridad después de recibir una alerta de los investigadores.
La mala configuración de la nube es una epidemia
Puede resultar difícil para los equipos de TI con poco personal o con exceso de trabajo mantenerse al día con el rápido ritmo de la innovación en la nube y garantizar que los servicios que utilizan sus empresas estén configurados correctamente.
“Las configuraciones erróneas de la nube se han vuelto endémicas por razones comprensibles. El ritmo vertiginoso de la innovación en la nube ha aumentado rápidamente la complejidad”, dice a ISMS.online la analista de seguridad de Increditools, Kelly Indah. “Solo AWS ofrece más de 200 servicios, cada uno con múltiples opciones de configuración. Muchas organizaciones han luchado por mantener actualizadas sus habilidades internas en medio de este tsunami tecnológico”.
Indah también describe la complacencia de algunos profesionales de TI como una de las principales causas de la mala configuración de la nube, y advierte: "La perfecta facilidad de la nube ha llevado a algunos a subestimar el cuidado necesario para bloquear adecuadamente los entornos".
Además, los profesionales de TI a veces creen erróneamente que el proveedor de la nube es responsable de todos los asuntos de ciberseguridad, según Sean Wright, jefe de seguridad de aplicaciones de Featurespace.
Sin embargo, la realidad es que tanto los proveedores como los usuarios tienen una "responsabilidad compartida" por asegurar la nube infraestructura. Wright le dice a ISMS.online que los proveedores de la nube generalmente manejan problemas de infraestructura como hardware, redes y software, mientras que el usuario es responsable de administrar las cuentas de la nube y garantizar que las configuraciones sean seguras.
Cuando personas sin la formación adecuada utilizan plataformas en la nube, inevitablemente surgirán problemas como configuraciones erróneas.
"Con tantos servicios disponibles, es fácil equivocarse", argumenta Wright.
Vance Tran, cofundador de Pointer Clicker, dice que la rápida innovación en la nube ha dado como resultado que los proveedores lancen nuevas funciones "más rápido de lo que las empresas pueden actualizar las políticas y capacitar al personal".
"Además, las empresas reparten responsabilidades entre muchas partes interesadas sin suficiente supervisión, lo que dificulta la supervisión y la responsabilidad de la gestión de la configuración de seguridad", le dice a ISMS.online.
Diferentes tipos de mala configuración
Cuando se trata de abordar este desafío, los equipos de TI y ciberseguridad deben ser conscientes de varios errores de configuración comunes en la nube. Estos incluyen claves y credenciales expuestas (según Football Australia), controles de acceso configurados incorrectamente, reglas de firewall y puertos abiertos, y datos confidenciales no cifrados en reposo y en tránsito, dice Tran de Pointer Clicker.
Pueden surgir una serie de problemas de seguridad cuando los equipos de TI permiten que demasiadas personas accedan a los servicios en la nube, o si utilizan puertos obsoletos como FTP en sus hosts en la nube, argumenta Stephen Pettitt, director de ventas de M247. Dice que estos problemas hacen que la vida de los profesionales de TI sea "aún más difícil".
Hacer que los datos confidenciales sean accesibles accidentalmente para cualquier persona es una mala configuración recurrente de la nube, según Matt Middleton-Leal, director general de EMEA Norte de Qualys.
"Por ejemplo, el 31% de los depósitos de AWS S3 son de acceso público, lo que los expone a posibles vulnerabilidades y ataques de seguridad", le dice a ISMS.online. "Los depósitos públicos de S3 también exponen otros servicios; por ejemplo, las instancias EC2 y las bases de datos RDS pueden verse comprometidas si sus claves de acceso, credenciales o archivos de respaldo se almacenan en un depósito S3 inseguro".
Indah, de Increditools, añade que problemas comunes como los depósitos de almacenamiento en la nube de acceso público y la falta de aplicación de controles de acceso más estrictos "ofrecen una invitación abierta a los ciberdelincuentes".
Las mejores prácticas pueden ayudar
Wright, de Featurespace, aconseja a las organizaciones que se aseguren de que sólo a profesionales suficientemente capacitados se les permita utilizar plataformas y servicios en la nube. De no ser así, aconseja crear un equipo de expertos que pueda garantizar que la implementación de la nube sea segura.
Tran de Pointer Clicker agrega que los modelos de seguridad de confianza cero y la segmentación de la red pueden mitigar muchos riesgos de mala configuración de la nube. Auditar periódicamente los servicios en la nube para detectar configuraciones incorrectas y utilizar herramientas de seguridad automatizadas como Amazon GuardDuty también ayudará a los equipos de seguridad a identificar vulnerabilidades rápidamente, añade.
Otro paso importante es garantizar que los equipos multifuncionales comprendan los modelos de seguridad compartidos.
"La nube hace que la seguridad sea tarea de todos", argumenta Tran. "Con la cultura y los procesos adecuados, incluso las organizaciones pequeñas pueden mantenerse al tanto de un panorama en constante cambio".
Adoptar un marco industrial reconocido mundialmente como ISO 27001 También puede disminuir la probabilidad de configuraciones incorrectas en la nube, según Rob Warcup, socio de Leading Edge Cyber. Le dice a ISMS.online: "ISO 27001 es un excelente marco para garantizar que se cubran todas las bases, incluida la sección '6.2 Conciencia, educación y capacitación sobre seguridad de la información' y la sección 5.1 Políticas de seguridad de la información".
Según Indah de Increditools, tomar medidas proactivas como auditorías periódicas, simulaciones de ataques, capacitación en concientización sobre seguridad, controles de acceso estrictos y cifrado de datos permitirá a las empresas evitar que se produzcan configuraciones erróneas en la nube.
"Con vigilancia y un compromiso continuo con las mejores prácticas de seguridad en la nube, las organizaciones pueden evitar dejar las puertas abiertas al robo de datos", afirma. "Mejore sus configuraciones de nube antes de convertirse en la próxima advertencia".
Como descubrió recientemente Football Australia, las configuraciones incorrectas de la nube pueden tener graves consecuencias. Las comprobaciones periódicas de las brechas de seguridad y el cumplimiento de estándares de seguridad reconocidos en la industria, como ISO 27001, deberían ayudar a las organizaciones a gestionar mejor el riesgo en esta parte de rápido crecimiento de su superficie de ataque corporativa.
