CASB (Cloud Access Security Broker)

Cada día, su personal accede a aplicaciones basadas en la nube, ya sea Microsoft Office 365, Box o la G Suite de Google, desde toda clase de dispositivos, tanto en la oficina como de manera remota. Si su organización está buscando una manera de obtener una mejor visibilidad y control sobre su uso de aplicaciones y datos delicados en la nube, puede evaluar si le conviene usar una solución de agente de seguridad para acceso a la nube (o CASB, del inglés “Cloud Access Security Broker”).

Un CASB es un intermediario entre los usuarios y las plataformas basadas en la nube que protegen a los datos en la nube y a la vez abordan las inquietudes en materia de autorizaciones y visibilidad de las corporaciones que usan servicios basados en la nube. Se puede considerar al CASB como un punto central en el que todos los controles de acceso y reglas de autorización se validan frente a políticas establecidas. Un CASB hace más cómodo para los administradores el implementar y hacer valer las políticas de seguridad. Ayuda a las empresas a crear reglas de seguridad cuando sus administradores no están familiarizados con la manera en que se debe suministrar la ciberseguridad. Tal como los explica Gartner, los CASB abordan los problemas de seguridad asociados con servicios externos basados en la nube y plataformas que no estén bajo su control, pero que procesan y almacenan sus datos. Si bien los servicios basados en la nube ofrecen un cierto nivel de seguridad, la seguridad en la nube es de responsabilidad compartida. Le corresponde a usted proteger a sus usuarios, a sus procesos de trabajo y a sus datos.

La seguridad de aplicaciones basadas en la nube se ha convertido en un componente clave para una defensa integral en el mundo actual, en el que tantas cosas están basadas en la nube. Gartner estima que, para el 2022, el 60 % de las grandes empresas estarán incorporando CASB en sus herramientas de seguridad, en comparación con apenas el 20 % de hoy en día.

El término CASB se acuñó en 2012, cuando la idea de usar un agente de seguridad para recursos basados en la nube se convirtió en una necesidad. En el 2013, el primer proveedor de servicios de seguridad en la nube se introdujo al mercado, pero fue la llegada de Office 365 lo que marcó el inicio de la era de los CASB. A medida que más compañías van utilizando aplicaciones basadas en la nube pública o privada, se va incrementando la necesidad de tener CASB.

En un entorno híbrido basado en la nube, los datos se sincronizan entre la nube y los recursos in situ. Ofrece servicios de cifrado para proteger a los datos contra el espionaje, y también permite hacer gestión de identidad para que solamente los usuarios autorizados puedan acceder a los recursos. Estos usuarios pueden compartir documentos y datos con otros usuarios, y las organizaciones pueden obtener visibilidad hacia la manera en que se accede y se comparten los documentos. También ofrece protección contra el malware y el software malintencionado que puede robarse datos de la nube.

Cuando una organización suministra recursos basados en la nube, siempre existe una conexión entre la red in situ y la nube. Esta conexión debe protegerse, pero el punto en que los usuarios se conectan a los recursos basados en la nube también debe protegerse. Así, el hecho de que los teletrabajadores puedan tener acceso a los recursos de la empresa al alcance de la mano dondequiera que estén, precisa de una conexión segura y también de un punto de autenticación seguro.

Los administradores configuran políticas de seguridad que protegen a los datos en la nube, pero el CASB es responsable de hacer valer estas políticas. La primera de las protecciones principales incluye la prevención del malware, para que el ransomware y otras amenazas persistentes avanzadas no puedan obtener acceso a los recursos internos y basados en la nube. La segunda de las protecciones principales es el cifrado, que se usa para proteger los datos cuando se almacenan en un disco y recorren la red.

La prevención del malware funciona escaneando archivos y rechazando cualquier dato sospechoso que pudiese ser utilizado para interrumpir la productividad o robar datos. El cifrado es una protección polivalente. Cualquier dato que pase por un cable es susceptible de espionaje, y el cifrado lo vuelve ilegible en caso de que un atacante intercepte su información delicada. También se usa para proteger los datos almacenados en un dispositivo, protegiendo su información delicada contra el robo en caso de que un usuario pierda sus dispositivos corporativos.

Un CASB tiene un proceso de tres pasos:

• Descubrimiento: El CASB escanea y halla recursos suministrados en la infraestructura de red de la organización.
• Clasificación: Después de que el CASB descubre todos los recursos basados en la nube, se le asigna un valor al riesgo en cada componente, de modo que las aplicaciones y datos se puedan categorizar y evaluar para determinar su importancia.
• Corrección: Con los datos clasificados, la organización puede usar las designaciones de clasificación para aplicar los controles de acceso adecuados sobre los datos y tomar las acciones adecuadas acerca de las solicitudes no autorizadas.

Los administradores determinan las estrategias de seguridad adecuadas, y el CASB ayuda a implementar estas estrategias. Ofrece las defensas necesarias para proteger los datos usando capas de seguridad. Por ejemplo, si su organización les permite a los usuarios conectarse a recursos basados en la nube usando sus propios dispositivos (como smartphones o tablets, por ejemplo), un CASB permite a los administradores monitorizar los datos y controlar el acceso a estos en numerosos puntos de contacto.

Un CASB maneja diversas funcionalidades de seguridad que son comunes en la nube. Estas características de seguridad protegen a los datos contra los hackers externos e internos, así como del malware. Los CASB se pueden usar para:

• Servicios de Inicio de Sesión Único (SSO): Los usuarios pueden autenticar su identidad desde una ubicación y obtener acceso a múltiples sistemas con tan solo un nombre de usuario y contraseña.
• Cifrado: El CASB cifra los datos en reposo (en dispositivos de almacenamiento) y en tránsito (cuando se desplazan por la red) para evitar el espionaje y los ataques de intermediario (MitM, del inglés “Man in the Middle”).
• Herramientas de conformidad: Con tantos elementos a considerar, las herramientas de conformidad de los CASB informan acerca de cada uno de los sistemas, para que los administradores puedan identificar a aquellos que no cumplen los requisitos de conformidad.
• Análisis de tráfico: El monitorizar el entorno es un componente muy importante de una ciberseguridad eficaz, y las herramientas de CASB ofrecen informes basados en el comportamiento de los usuarios y los patrones de tráfico para que los administradores puedan identificar cualquier anomalía.

A medida que vaya investigando acerca de los CASB, descubrirá que existen cuatro “pilares” que definen lo que son los servicios de CASB y qué se puede esperar de ellos. El CASB que elija debe ofrecer cuatro funciones principales, y estas funciones se conocen como los “cuatro pilares de los CASB”. Son un resumen de los beneficios de usar un CASB para que las organizaciones obtengan todo lo necesario para proteger sus datos.

He aquí los cuatro pilares de los CASB:

• Visibilidad: Monitorizar y vigilar el uso de los recursos brinda la visibilidad necesaria para detectar comportamientos sospechosos. Los administradores deben estar al tanto de todos los datos almacenados en la red y de los dispositivos que usan para acceder. Pueden detectar solicitudes de acceso sospechosas, archivos malintencionados cargados y vulnerabilidades de seguridad causadas por controles de acceso deficientes. Les brinda a los administradores una oportunidad de capacitar a los usuarios en las mejores políticas de seguridad para recursos compartidos. Un CASB también brinda visibilidad hacia los potenciales dispositivos conectados sin autorización, como los de la Shadow IT, y descubre datos que los administradores pueden haber pasado por alto. En vez de autorizar a los usuarios para que suban datos a ubicaciones no autorizadas, un CASB bloquea el acceso a ubicaciones externas y alerta a los administradores de la actividad inusual.
• Conformidad: Las normativas de conformidad supervisan muchos de los factores de ciberseguridad necesarios para proteger los datos basados en la nube. Las organizaciones que vulneran las normativas de conformidad pueden verse sometidas a cuantiosas multas, así que un CASB garantiza que las organizaciones tengan implementadas las herramientas de acceso y monitorización necesarias para garantizar la conformidad. Un CASB garantiza que los datos almacenados en la nube estén cifrados para cumplir con las normativas más recientes. Adicionalmente, la visibilidad de un CASB y los controles de ciberseguridad ayudan a que la organización pueda cumplir con las diversas normativas, como HIPAA, SOX, PCI-DSS, PHI y otras.
• Seguridad de datos: Los datos delicados, como la información del cliente, la propiedad intelectual y los secretos, podrían almacenarse en la nube. El pilar fundamental (y seguramente el más importante) es la seguridad ofrecida, incluyendo controles de acceso, cifrado, datos tokenizados, gestión de permisos, descubrimiento de datos y corrección. La monitorización y los registros son componentes de la funcionalidad de un CASB. El CASB bloquea el acceso a los datos basándose en diversos atributos de los usuarios, como dirección IP, navegador, sistema operativo, dispositivo y ubicación. Mediante una combinación de atributos del dispositivo, un CASB disminuye la posibilidad de falsos positivos y mejora la precisión
• Protección contra amenazas: Junto con la monitorización, la detección de amenazas mitiga cualquier actividad sospechosa. El pilar de detección de amenazas identifica las amenazas internas y externas, las mitiga y envía una notificación a los administradores. Los patrones de comportamiento de los usuarios se usan comúnmente en un CASB para identificar comportamientos sospechosos. Por ejemplo, un vendedor debería tener acceso a los datos de los clientes en una aplicación de ventas, pero el CASB eleva una alerta si el desarrollador intenta descargar los mismos datos. En el escenario anterior, el CASB lo permite, pero el CASB bloquearía el acceso a los datos del cliente y alertaría a un administrador en el segundo escenario.

Las preocupaciones relativas a la seguridad y el cumplimiento con las aplicaciones y servicios basados en la nube están empujando a cada vez más empresas a implementar soluciones de CASB. Estas son:

• “Shadow IT” y la proliferación de aplicaciones externas: Cuando los CASB aparecieron por vez primera, las empresas los utilizaron fundamentalmente para contrarrestar lo que se conoce como Shadow IT (aplicaciones y servicios basados en la nube que se usan sin la aprobación explícita del departamento de informática). Ahora las compañías enfrentan el desafío de tener que dirigir cientos o miles de aplicaciones externas y scripts con permisos de OAuth (que usan tokens en vez de contraseñas) para acceder a datos empresariales. Estas aplicaciones externas agregan más funcionalidades a Office 365, G Suite, Box y otras plataformas. Pero algunas están deficientemente elaboradas, o son demasiado malintencionadas. Y, una vez autorizado un token de OAuth, el acceso continúa hasta que este se revoca. Después de auditar a cada aplicación basada en la nube para sus controles de seguridad, tales como certificaciones, y otros riesgos, tales como permisos de datos en general, los equipos de TI pueden tomar decisiones informadas acerca de los controles de acceso adecuados para aplicaciones basadas en la nube que sean riesgosas y pueden promover el uso de servicios “seguros” basados en la nube.
• Vulneración de cuentas basadas en la nube: Las aplicaciones y datos en la nube suelen ser accedidos por cibercriminales mediante cuentas comprometidas. Proofpoint analizó recientemente más de 100.000 inicios de sesión no autorizados entre millones de cuentas basadas en la nube monitorizadas y hallaron que el 90 % de los titulares son víctimas de ciberataques. El sesenta por ciento de los inquilinos tienen al menos una cuenta comprometida en su entorno. Estas típicamente comienzan por ataques de fuerza bruta, en los que los perpetradores envían múltiples nombres de usuario o contraseñas para intentar adivinas las credenciales de los usuarios para poder acceder a una cuenta. Otro método es el phishing de credenciales, en el que se intenta que los usuarios revelen sus contraseñas mediante correos electrónicos de ingeniería social. Una vez que tienen las credenciales en su poder, los atacantes usan estas cuentas basadas en la nube para hacerse pasar por usuarios legítimos y pedirles a los empleados que les envíen dinero o datos corporativos. Los agentes de amenaza también secuestran cuentas de correo electrónico para distribuir correos electrónicos no deseados y de phishing.
• Pérdida de propiedad intelectual: El riesgo de perder secretos comerciales, diseños ingenieriles y otros datos corporativos delicados es muy real cuando los empleados emplean la colaboración basada en la nube o herramientas de mensajería para compartir archivos e información. La negligencia o falta de formación de los empleados puede producir un exceso de intercambio de archivos mediante enlaces públicos a los que cualquiera puede acceder. También son comunes las amenazas internas. Un ejemplo común es el robo de registros de ventas de los clientes a servicios de CRM por parte de personal de ventas que planea abandonar la empresa. Las empresas pueden incrementar la visibilidad hacia el manejo de los datos en la nube y mejorar su seguridad de datos, empleando políticas centradas en el usuario para controlar el acceso a servicios y datos en la nube mediante soluciones de CASB.
• Regulaciones más estrictas y multas más cuantiosas: Las organizaciones en prácticamente todos los sectores consideran que mantenerse al día con los requisitos de cumplimiento se ha vuelto complicado. Muchas regulaciones y mandatos sectoriales ahora le obligan a saber dónde están sus datos y cómo se comparten en la nube. Las infracciones a la reciente privacidad de los datos y regulaciones de residencia pueden acarrear multas considerables. Por ejemplo, los infractores del RGPD pueden ser multados hasta por el 4 % de sus ingresos mundiales anuales. Los CASB pueden facilitar el cumplimiento y ahorrarle los dolores de cabeza y el tiempo empleado en auditorías.
• Visibilidad hacia el uso de la nube: Tanto si es para proteger los datos como si es para obtener perspectivas hacia el cómo se usan los recursos basados en la nube, un CASB ofrece la visibilidad necesaria para la seguridad y las futuras ampliaciones. Un CASB puede ayudar a las organizaciones a planificar los recursos futuros, de modo que el rendimiento se mantenga. También ayuda a los administradores a supervisar las actividades de amenazas y disponer los recursos para mitigar los ataques.

Ahora que ya sabe por qué necesita un CASB, demos un vistazo a las prestaciones de los CASB. Estos realizan varias funciones clave que van más allá de los cortafuegos y portales de internet corporativos:

1. Gobernanza de aplicaciones basadas en la nube: Los CASB gobiernan las aplicaciones y servicios basados en la nube, ofreciendo una vista centralizada de su entorno en la nube, con detalles como quién está accediendo a qué aplicación y a cuáles datos en la nube, desde dónde y desde qué dispositivo. Como el uso de las aplicaciones basadas en la nube se ha vuelto tan prevalente, los CASB catalogan a los servicios basados en la nube (incluyendo las aplicaciones de OAuth externas), califican el nivel de riesgo y fiabilidad general de los servicios basados en la nube y les asignan una puntuación. Los CASB incluso suministran controles automatizados de acceso de y hacia servicios basados en la nube según las calificaciones de riesgo basadas en la nube y otros parámetros, tales como la categoría de la aplicación y los permisos de datos.
2. Defensa contra amenazas basadas en la nube: Los CASB pueden ayudar a detectar las amenazas basadas en la nube, monitorizando inicios de sesión que sean sospechosos o excesivos y enviando alertas. Los CASB también emplean herramientas avanzadas antimalware y de entornos de prueba para analizar y bloquear amenazas. Y, en algunos casos, los proveedores de CASB se basan en sus propias investigaciones a nivel mundial y en algunos canales externos para identificar los comportamientos y características de los ataques basados en la nube, tanto actuales como emergentes. Las sofisticadas soluciones de CASB de hoy en día también le permiten configurar políticas para corregir automáticamente las amenazas basadas en la nube. Para tomar medidas preventivas, usted puede configurar controles adaptables de acceso enfocados en los usuarios basándose en el rol del usuario (tal como privilegios y estado VIP), el nivel de riesgo asociado con el inicio de sesión y otros parámetros contextuales, como la ubicación del usuario, la higiene del dispositivo y otros.
3. Protección de datos delicados: La detección y eliminación de intercambios externos de archivos, así como prevención contra la pérdida de datos (DLP, del inglés “Data Loss Prevention”), son componentes clave de una solución CASB. Por ejemplo, los CASB le permiten configurar y aplicar políticas de seguridad de datos para permitirles a los usuarios acceder solamente a ciertas categorías de datos basándose en sus privilegios. En la mayoría de las soluciones CASB, la DLP funciona de manera nativa y también está integrada con soluciones de protección de datos empresariales.
4. Conformidad para la nube: Los CASB pueden resultar de gran ayuda a la hora de demostrar que usted está ejerciendo una buena gobernanza sobre los servicios basados en la nube. Mediante la visibilidad, corrección automática, creación y cumplimiento de políticas, y prestaciones de creación de informes, los CASB le permiten cumplir con todas las regulaciones tanto sectoriales como gubernamentales. Estas incluyen normativas regionales, como el reglamento general de protección de datos (RGPD) de la Unión Europea y estándares y reglas sectoriales, como la ley de portabilidad y responsabilidad de seguros de salud (HIPAA).

Los CASB ofrece los recursos de seguridad necesarios para garantizar la seguridad de los datos alojados en la nube. Un CASB cuenta con los portales web, cortafuegos, políticas, elementos de gobernabilidad y controles de acceso que el negocio necesita para proteger sus datos. Una corporación que no tenga los recursos de seguridad puede aprovechar las ofertas de CASB para que la seguridad se pueda integrar con la infraestructura de suministro. Los proveedores de CASB se destacan por la simplicidad de sus recursos de ciberseguridad. Sin embargo, ofrecen beneficios en diversos casos que seguramente afectan a su organización.

Algunos casos de uso para los CASB son:

• Aplicaciones que se ejecutan en dispositivos personales: Si la organización tiene una política de BYOD (traiga su dispositivo), un CASB protege a los dispositivos personales contra el malware sin interferir con la privacidad de datos de sus empleados. Los datos corporativos están protegidos, mientras que los datos de los empleados quedan intactos.
• Prevención de pérdida de datos: Un CASB identifica los datos delicados y vela por el cumplimiento de las políticas de autorización, para que los usuarios estén “autorizados”, “bloqueados” o tengan acceso “limitado” a la información corporativa. También pueden cifrar datos en reposo (por ejemplo, los que están almacenados en la nube) o en tránsito (como los que se transfieren por internet).
• Bloquear malware y ransomware: El malware y el ransomware suponen amenazas considerables para la seguridad de los datos, pero un CASB impide que estas aplicaciones se instalen en el entorno. También frena el flujo de malware entre la nube y la red in situ mediante el uso de proxies y funciones de cuarentena en tiempo real.
• Monitorización y manejo de comportamientos sospechosos de los usuarios: Los atributos estáticos para usuarios ya no son una manera eficaz de detectar actividades malintencionadas. En su lugar, un CASB usa parámetros de referencia y datos de tráfico continuo para detectar a los atacantes y bloquear el acceso a archivos malintencionados.
• Cifrado: Un CASB usa el cifrado para los datos en reposo y los datos en tránsito para garantizar la conformidad y proteger los datos.
• Validación de usuarios autenticados: La gestión de acceso por identidad y la colaboración integrada con Active Directory son dos beneficios significativos del usar un CASB en vez de su propia solución. Usando un CASB, los administradores pueden configurar una funcionalidad de inicio de sesión único, gestionar la autenticación de múltiples factores e integrar las soluciones actuales (como Okta) en el entorno en la nube de la organización.
• Identificar errores de configuración: Un pequeño error de configuración en la nube puede derivar en una grave violación de datos, pero el CASB se encarga de monitorizar y descubrir configuraciones riesgosas en la infraestructura, y de alertar a los administradores. De hecho, algunos fallos de configuración se pueden remediar automáticamente.
• Detener a la Shadow IT y las aplicaciones no autorizadas: El análisis de registros y la monitorización de dispositivos y aplicaciones no autorizados evita que las organizaciones resulten víctimas de violaciones de datos de la mayoría de los ordenadores portátiles y smartphones, o cuando un atacante intente hacer una autenticación desde una ubicación sospechosa.

El CASB de Proofpoint brinda una visibilidad detallada hacia sus datos, controles de acceso y cualquier amenaza persistente. Le permite tener una visión general de la manera en que se usan sus datos y les da información a los administradores acerca de los riesgos que podrían crear un incidente de violación de datos. Los administradores pueden ver los intentos de autenticación sospechosos, las alertas de prevención de pérdida de datos y los paneles de control que le permiten evaluar en gran detalle su seguridad.

Cada proveedor tendrá sus propias ofertas, pero usted debe encontrar un proveedor que ofrezca servicios de seguridad en la nube que se integren bien en la infraestructura actual de su empresa. Al buscar proveedores, es importante tener en cuenta y buscar precios, ventajas, funcionalidades y servicios aprobados. Encuentre a un proveedor que se ajuste a las necesidades de su organización. Sin embargo, hay algunos elementos que su CASB debe tener necesariamente. La oferta que le haga su proveedor debe incluir a los cuatro pilares, y también las siguientes prestaciones:

• Descubrimiento de aplicaciones basadas en la nube: Hallar aplicaciones sin usar o anticuadas que todavía estén disponibles a los usuarios.
• Gobernabilidad de datos y riesgo: Configuración de reglas de acceso y autorización.
• Monitorización de actividades: Obtención de visibilidad e información acerca del acceso y el uso que se les da a los datos.
• Prevención de amenazas: Detección y mitigación automática de amenazas.
• Seguridad de datos: Uso de prevención de pérdida de datos para bloquear a los atacantes y alertar a los administradores.
• Análisis de actividades: Brindar una visualización que ayude a los administradores a tomar decisiones para proteger mejor sus datos.
• Control de acceso para puntos de contacto: Gestión de puntos de contacto móviles y monitorización de su uso de acceso a datos.
• Opción de corrección: Resolución de problemas después de que ocurra, para que los datos se puedan restaurar.
• Consideraciones de implementación: Compatibilidad con implementación basada en API y automatización de transferencias y suministro de datos.
• Infraestructura de provisión: Reducción de la latencia y mitigación de ataques de denegación de servicio distribuido (DDoS).
• Protección contra amenazas de malware y phishing: El CASB debe identificar los riesgos de malware, bloquearles el acceso a la infraestructura y los datos, y alertar a los administradores.
• Gestión de la cuenta: Los administradores deben ser capaces de configurar el CASB para que detenga los intentos sospechosos de autenticación y autorización.
• Descubrimiento de datos y aplicaciones delicadas: Su CASB seleccionado debe escanear y descubrir datos delicados, ejecutar evaluaciones de riesgo y gestionar el acceso en las diversas aplicaciones y datos.
• Tener en cuenta el rendimiento: La integración del CASB no debe interferir con el rendimiento de la red o la productividad de los usuarios.
• Las certificaciones necesarias: Algunos sectores requieren que los proveedores y servicios basados en la nube tengan ciertas certificaciones específicas, incluyendo FERPA, COPPA, CSP y otras.
• Un buen soporte técnico al cliente: Los administradores típicamente tienen diversas razones para necesitar de la ayuda de un CASB, así que el proveedor debe ofrecer ayuda incluso si representa un coste adicional para incidencias específicas.