En la actualidad aún persisten algunos mitos sobre la tecnología en la nube, el equipo de Check Point analizo los más populares y los contrato con las verdaderas realidades.
1. La visibilidad en la nube es fácil
Está pagando por usar recursos en la nube, por lo que debe saber exactamente cuáles son esos recursos, así como toda la información relevante, como:
Cuantas cuentas tenemos
¿Los desarrolladores agregaron máquinas, nuevas funciones o se conectaron al mundo exterior?
¿Quién puso eso ahí?
¿Está configurado correctamente?
¿Tiene vulnerabilidades?
¿Puedo detenerlos antes de que llegue al entorno de ejecución?
Desafortunadamente, toda esta información es mucho más difícil de rastrear de lo que muchos creen. Sin visibilidad sobre cómo deberían comportarse los recursos, no puede observar cuándo se desvía ese comportamiento. Sin paneles de control consolidados, es muy difícil identificar y actuar sobre las amenazas de manera oportuna.
(Y eso no dice nada de la importancia de la visibilidad para garantizar que cumpla con las leyes y los estándares relevantes de la industria. Ah, y el pequeño problema del dinero: asegurarse de no pagar más de lo que usa).
2. La seguridad es responsabilidad del proveedor de la nube
Como cliente de la nube, la organización del usuario final tiene la responsabilidad de proteger los datos que colocan en la nube en el conocido "modelo de responsabilidad compartida". Al proteger la infraestructura nativa de la nube, es vital comprender exactamente dónde se encuentran las responsabilidades, considerando que sus responsabilidades varían según los servicios que esté consumiendo.
Hay muchas formas diferentes de proteger sus datos en la nube y las organizaciones no logran hacer la gran mayoría de ellas.
3. Cuantas más herramientas de seguridad tenga, mejor
Por el contrario, más herramientas de seguridad simplemente no equivalen a más seguridad. Según The Oracle y KPMG Cloud Threat Report 2020 , el 70% de los encuestados informan que se necesitan demasiadas herramientas para proteger los entornos de nube pública. En promedio, cada uno utiliza más de 100 controles de seguridad discretos. Múltiples proveedores de seguridad, que brindan soluciones dispares, bloquean diferentes vectores de ataque, todo resulta en brechas. Y esas brechas crean puntos de acceso para los atacantes.
Demasiada complejidad de la nube +
Demasiadas soluciones de seguridad diferentes +
Soluciones que no cooperan =
Sin inteligencia o arquitectura compartidas, brechas ni riesgos
Para superar estas brechas, es imperativo implementar herramientas y recursos para ayudar a simplificar la administración de seguridad de la nube y tomar el control de la seguridad.
4. Las infracciones exitosas son el resultado de ataques sofisticados
Si bien es cierto que existen atacantes altamente sofisticados, la realidad es que su creciente sofisticación no es la razón detrás de los ataques más exitosos. Los errores y la mala configuración por parte de los usuarios finales son los que impulsan la gran mayoría de los ataques.
Gartner predice que, hasta el 2025, al menos el 99% de las fallas en la nube serán culpa del cliente.
Las películas pueden representar una escena emocionante al estilo de Misión Imposible con atacantes agachándose bajo los láseres y descifrando con éxito el código de la puerta de la bóveda. Pero la realidad es más parecida a un ladrón afortunado que simplemente encuentra una puerta abierta en el momento oportuno, porque la última persona que cerró la puerta no pudo girar el dial.
De hecho, Sergio Lourerio, director de seguridad en la nube de Outpost24, dijo : “Todavía estamos en los primeros días de la seguridad de la infraestructura en la nube y lo que estamos viendo es una prevalencia de ataques oportunistas, no muy sofisticados, como buscar AWS S3 de acceso público. depósitos de datos ".
5. La automatización de la seguridad es ideal, lo que hace que la supervisión humana sea arcaica e innecesaria
De nuevo, un "factoide" aquí que mezcla verdad y ficción. El verdadero ideal de seguridad es una combinación de automatización y supervisión humana.
El informe State of Pentesting de 2020 examinó qué vulnerabilidades de seguridad de las aplicaciones web se pueden encontrar de manera confiable utilizando máquinas frente a la experiencia humana. “ El estudio encontró que tanto los humanos como las máquinas aportan valor cuando se trata de encontrar clases específicas de vulnerabilidades . Los seres humanos 'ganan' al encontrar omisiones de lógica empresarial, condiciones de carrera y exploits encadenados, según el informe ".
6. La nube es intrínsecamente más segura
En realidad, este no es realmente un mito, sino más bien un hecho : un poco de verdad y un poco de falsedad, todo junto.
La verdad alimenta el mito:
Los proveedores de la nube son generalmente más confiables en tareas como parchear servidores. Dejarlo en sus manos tiene sentido y la confianza en los proveedores de servicios en la nube es merecidamente alta. En, The Egregious 11 , The Cloud Security Alliance (CSA) describe las principales amenazas para la computación en la nube. Las respuestas a encuestas recientes mostraron una caída significativa en la clasificación de los problemas tradicionales de seguridad en la nube bajo la responsabilidad de los proveedores de servicios en la nube . Las preocupaciones bajaron tanto que CSA decidió excluirlas del último informe.
Preocupaciones de seguridad en la nube que rompen el mito:
Asegurar todo en múltiples nubes implica asegurar el acceso, administrar identidades y auditorías constantes, por nombrar solo algunas. El aumento de la expansión de las cargas de trabajo en múltiples nubes públicas y privadas da como resultado la dificultad para obtener visibilidad y la falta de un contexto de extremo a extremo en torno al riesgo. Estos desafíos solo se ven agravados por las brechas de seguridad inevitables con soluciones dispares.
Además, las tecnologías sin servidor fragmentan su aplicación en componentes más pequeños a los que se puede llamar. Este cambio, junto con el uso de activadores basadosen eventos de diversas fuentes (como almacenamiento, colas de mensajes y bases de datos) significa que los atacantes tienen más objetivos y más vectores de ataque.
7. Debes ralentizar a los desarrolladores para estar seguro
Tomado de un artículo en Computer Business Review , “Los desarrolladores deben contar con complementos que activen controles de seguridad y cumplimiento en cada paso del proceso de DevOps, exponiendo los resultados directamente dentro de las herramientas que usan comúnmente para permitir una rápida corrección del código vulnerable. . "
Además, los pasos de remediación deben automatizarse, ya sea para solucionar problemas o optimizar los procesos de seguridad. Permita que los desarrolladores hagan su trabajo de forma segura, sin agregar trabajo, como proporcionar herramientas para automatizar tareas, como generar permisos para funciones sin servidor. Tome medidas para eliminar la fricción en lugar de ralentizar las cosas.
8. La seguridad de las aplicaciones SaaS es administrada por el proveedor de SaaS y no requiere su atención
A diferencia de IaaS, las aplicaciones SaaS de hecho no requieren sus esfuerzos para parchear los servidores. Como usuario final, simplemente concede acceso a los empleados de su organización y los deja correr.
Sin embargo, muchas aplicaciones SaaS necesariamente contendrán información confidencial. Los usuarios a menudo pueden interactuar con archivos, lo que incluye compartir y configurar el acceso. Y los usuarios que otorgan acceso a otros y que no se les rescinde cuando abandonan su organización son, de hecho, problemas de seguridad que requieren su atención.
.
Como puede ver, la seguridad en la nube está plagada de mitos, pero una vez que los desenmaraña, es fácil descubrir los hechos e identificar las estrategias necesarias para transformar la seguridad de su empresa en la nube.
En OCM-IT podemos ayudar al departamento de TI encargado de la seguridad en nube, a dar un correcto soporte y protección a la organización, con las herramientas de seguridad informática que brinda CheckPoint.