Por Eyal Arazi
Febrero 20, 2019
Con la migración de los workloads al entorno de la nube pública las organizaciones se exponen a una lista de nuevos vectores de ataque nativos de la nube que no existían en el mundo de los centros de datos basados en instalaciones. En este nuevo entorno, la seguridad de los workloads se define por los usuarios que tienen acceso a su entorno de nube y los permisos que tienen. Como resultado, la protección contra el exceso de permisos y la respuesta rápida cuando se abusa de esos permisos se convierte en la principal prioridad de los administradores de seguridad.
Los usuarios internos se convierten en externos
Tradicionalmente, las cargas de trabajo informáticas residían dentro de los centros de datos de la organización, donde estaban protegidas contra amenazas internas. La protección de las aplicaciones se centraba principalmente en la protección perimetral, a través de mecanismos como firewalls, IPS/IDS, WAF y protección DDoS, puertas de enlace seguras, etc.
Sin embargo, mover los workloads a la nube ha llevado a las organizaciones (y a los administradores de TI) a perder el control físico directo sobre sus cargas de trabajo y a renunciar a muchos aspectos de la seguridad a través del Modelo de responsabilidad compartida. Como resultado, la información privilegiada del viejo mundo basada en las instalaciones de repente queda expuesta en este nuevo mundo de workloads alojados en la nube pública.
Los administradores de TI y los hackers ahora tienen acceso idéntico a estos workloads alojados en la nube pública, utilizando métodos de conexión y protocolos estándar, y API públicas. Como resultado, el mundo entero se convierte en una amenaza interna.
Por lo tanto, la seguridad de la carga de trabajo está definida por las personas que pueden acceder a eses workloads y los permisos que tienen.
Sus permisos = Sus superficies de ataque
Una de las principales razones para migrar a la nube es acelerar el tiempo de comercialización y los procesos empresariales. Como resultado, los entornos en la nube hacen que sea muy fácil activar nuevos recursos y otorgar permisos de amplio alcance, y es muy difícil hacer un seguimiento de quién los tiene y qué permisos realmente usan.
Con demasiada frecuencia, hay una brecha entre los permisos otorgados y los permisos usados. En otras palabras, muchos usuarios tienen demasiados permisos, que nunca usan. Con frecuencia, los hackers explotan esos permisos innecesarios con fines maliciosos.
Como resultado, los workloads en la nube son vulnerables a las filtraciones de datos (es decir, robo de datos de las cuentas en la nube), infracciones del servicio (es decir, apropiación completa de los recursos en la nube) y la explotación de recursos (como criptominería). Tales permisos indiscriminados a menudo se caracterizan erróneamente como "configuraciones incorrectas", pero en realidad son el resultado del uso indebido o abuso de permisos por personas que no deberían tenerlos.
Por lo tanto, la protección contra esos permisos indiscriminados se convierte en la principal prioridad para proteger los workloads alojados en la nube pública.
Las protecciones tradicionales brindan soluciones fragmentadas
El problema es que las soluciones existentes brindan protección incompleta contra la amenaza del exceso de permisos.
Los mecanismos de nubes públicas integrado suelen proporcionar una protección bastante básica y, en su mayoría, una seguridad centrada en el entorno informático general y no visualizan la actividad dentro de las cargas de trabajo individuales. Además, dado que muchas empresas ejecutan un entorno de nube múltiple y nube híbrida, las protecciones integradas que ofrecen los proveedores de la nube no protegen los activos fuera de su red.
Las herramientas de cumplimiento y gestión usan las listas estáticas de mejores prácticas para analizar el uso de los permisos. Sin embargo, no detectan (y alertan) sobre permisos excesivos, y generalmente no visualizan la actividad dentro de los workloads.
Las soluciones basadas en agentes requieren personal de implementación (y administración) en servidores basados en la nube, y protegen solo a los servidores en las que están instaladas. Sin embargo, no conocen la actividad general del usuario en la nube y el contexto de la cuenta, y generalmente no pueden proteger los recursos que no son del servidor, como servicios, contenedores, funciones sin servidor, etc.
Las herramientas de los Agentes de seguridad de acceso a la nube (CASB) se centran en proteger las aplicaciones de software como servicio (SaaS), pero no protegen los entornos de infraestructura como servicio (IaaS) o de plataforma como servicio (PaaS).
Un nuevo enfoque de protección
La protección moderna de los entornos alojados en la nube pública requiere un nuevo enfoque.
Asuma que sus credenciales están comprometidas: Los hackers adquieren credenciales robadas de muchas maneras, e incluso las empresas más grandes no son inmunes al robo de credenciales, suplantación de identidad (phishing), exposición accidental y otras amenazas. Por lo tanto, las defensas no pueden depender únicamente de la protección de contraseñas y credenciales.
Detección de permisos excesivos: Es primordial identificar y alertar contra el exceso de permisos, ya que frecuentemente se explotan con fines maliciosos. Esto no puede hacerse mediante una simple medición usando las listas estáticas de mejores prácticas, sino que debe basarse en analizar la brecha entre los permisos que un usuario ha definido y los que realmente usa.
Fortalecimiento de la postura de seguridad La mejor manera de detener una filtración de datos es prevenirla antes de que ocurra. Por lo tanto, fortalecer su postura de seguridad en la nube y eliminar permisos excesivos y configuraciones incorrectas garantiza que, incluso si las credenciales de un usuario se ven comprometidas, estas no les serán demasiado útiles a los atacantes.
Búsqueda de actividades anómalas: Una filtración de datos no significa que algo salió mal, sino que una lista completa de cosas salió mal. La mayoría de las filtraciones de datos siguen una progresión típica, que puede detectarse y detenerse a tiempo, si sabe lo que está buscando. Monitorear la actividad sospechosa en su cuenta en la nube (por ejemplo, el uso anómalo de permisos) ayudará a identificar la actividad maliciosa a tiempo y detenerla antes de que se expongan los datos del usuario.
Respuesta automatizada: El tiempo es dinero, y más aún cuando se trata de prevenir la exposición de datos confidenciales del usuario. Los mecanismos de respuesta automatizados le permiten responder más rápido a los incidentes de seguridad y bloquear los ataques en cuestión de segundos después de la detección.
Servicio de protección de workloads en la nube de Radware
Radware está ampliando su línea de servicios de seguridad para proporcionar una solución nativa de la nube sin agentes para la protección integral de los workloads alojados en la nube. La solución de Radware protege tanto la postura de seguridad general de su cuenta de AWS o Azure en la nube, como los workloads individuales en la nube, protegiendo contra los vectores de ataque nativos de la nube.
Las soluciones de Radware abordan el problema del exceso de permisos nativos de la nube mediante el análisis de la brecha entre los permisos otorgados y los usados, y proporcionan recomendaciones de endurecimiento inteligentes para fortalecer las configuraciones. Radware utiliza algoritmos avanzados de aprendizaje automático para identificar actividades maliciosas dentro de su cuenta en la nube, así como mecanismos de respuesta automatizados para bloquear automáticamente dichos ataques. Esto ayuda a los clientes a evitar el robo de datos, proteger los datos confidenciales de los clientes y cumplir con los requisitos de cumplimiento.
Commenti