Cloud Security – Seguridad en la nube

El cómputo en la nube es un término que engloba todo lo relativo a la migración de los sistemas a la nube. ¿Pero qué es la nube? Es un servicio de computación que procesa y almacena datos en una red de servidores remotos. Esto junto con la fuerza laboral móvil o remota, ha traído consigo un nuevo conjunto de riesgos de seguridad en la nube y de cumplimiento. La toma de posesión de cuentas en la nube, el intercambio excesivo de datos y el uso de aplicaciones basadas en la nube no aprobadas presentan enormes desafíos a los equipos de seguridad. Es por esto que obtener visibilidad y control sobre las aplicaciones aprobadas por el departamento de informática es clave para la seguridad de almacenamiento en la nube. Muchas organizaciones están procurando blindar aplicaciones como Microsoft Office 365, Google G Suite, Box, Dropbox, Salesforce, Slack, AWS, ServiceNow y muchas otras.

El término “seguridad en la nube” o “cloud security” abarca una amplia gama de tecnologías, controles y prácticas usadas para proteger a las personas, los datos y las infraestructuras contra los ataques y riesgos de incumplimiento en las plataformas de cómputo en la nube. Es un punto clave para aprovechar al máximo la nube de una manera segura y acorde con los parámetros de cumplimiento.

Un elemento clave de la seguridad en la nube son los CASB, el acrónimo en inglés de agente de seguridad de acceso a la nube o agente de seguridad de aplicaciones en la nube. Un CASB puede implementarse in situ o en la nube, ubicándose entre los usuarios de los servicios en la nube y las aplicaciones en la nube. Se encarga de monitorizar la actividad en la nube, bloquear ataques y hacer cumplir las políticas de seguridad^[1].

Las organizaciones usan el cómputo en la nube y las herramientas de colaboración o mensajería basadas en la nube para compartir archivos e información con sus colegas y asociados. A la vez, pueden poner en riesgo datos regulados y propiedad intelectual (PI), tales como secretos comerciales, diseños ingenieriles y otros datos corporativos. La negligencia o falta de formación de los empleados puede producir un exceso de intercambio de archivos mediante enlaces públicos a los que cualquiera puede acceder. También es común que ocurra el robo de datos por parte de actores internos. Por ejemplo, un vendedor que se haya ido de su empresa podría robarse datos de servicios de CRM basados en la nube.

El término “Shadow IT” (en español, “TI oculta”) se refiere al uso de aplicaciones y servicios basados en la nube sin la aprobación explícita del departamento de informática. Los usuarios típicamente usan aplicaciones de software como servicio (SaaS, del inglés “software-as-a-service”) para compartir archivos, usar las redes sociales, colaborar y hacer conferencias web. Cuando los usuarios cargan datos corporativos en aplicaciones no aprobadas, es posible que estén infringiendo las regulaciones de privacidad, almacenamiento y archivo de datos.

Existe otro problema que actualmente va en auge: aplicaciones y cadenas de comandos con permisos OAuth. Las aplicaciones externas conectadas a OAuth acceden a servicios de cómputo en la nube aprobados por los departamentos de informática, tales como Microsoft Office 365 y Google G Suite. Es común ver cientos (y hasta miles) de aplicaciones y secuencias de comandos en el entorno de la nube de una organización. Algunos de estos conllevan riesgos a causa de un diseño deficiente, lo que otorga permisos de datos más amplios de lo estrictamente necesario. Algunos son malintencionados o fáciles de explotar. ¿Cuál es el peligro de la OAuth? Una vez autorizado un token de OAuth, el acceso a los datos y aplicaciones empresariales continúa hasta que es explícitamente revocado.

Un CASB puede ayudar a las organizaciones a lidiar con las cuatro principales dificultades para la seguridad en la nube.

Shadow IT

Las personas y departamentos de una corporación suelen implementar nuevas aplicaciones y servicios sin la aprobación, y hasta sin el conocimiento, de los responsables de seguridad de TI. Estos servicios pueden generar pérdidas de datos, intercambio excesivo de datos, problemas de cumplimiento y muchos más.

A la vez, muchos usuarios instalan aplicaciones y cadenas de comandos externas con permisos de Office 365 que acceden a servicios de informática basados en la nube aprobados, como Microsoft Office 365 y Google G Suite.

Muchas de estas aplicaciones son útiles, y añaden importantes funcionalidades a las aplicaciones de cómputo comunes. Pero algunas suponen riesgos porque son demasiado malintencionadas o tienen un diseño deficiente, que otorga permisos de datos mucho más amplios de lo estrictamente necesario. Y una vez que se autoriza un token de OAuth, el acceso a los datos y aplicaciones empresariales continúa hasta que se haya revocado explícitamente ─incluso si cambia la contraseña del usuario─.

Los CASB ofrecen visibilidad y control sobre la Shadow IT para limitar los riesgos de cloud security relacionados con el personal.

Compromiso/secuestro de cuentas en la nube

Los cibercriminales suelen usar cuentas basadas en la nube comprometidas para obtener acceso a datos valiosos y hasta a dinero. Una vez que los atacantes se apoderan de las credenciales de una cuenta en la nube, suplantan a los usuarios legítimos. Pueden engañar a su personal para que les envíen dinero o revelen datos corporativos. También secuestran cuentas de correo electrónico para distribuir correos electrónicos de spam y de phishing.

En un estudio de más de 1.000 usuarios de servicios en la nube con más de 20 millones de cuentas de usuarios, se registraron más de 15 millones de intentos no autorizados de inicio de sesión tan solo en la primera mitad del 2019. Más de 40.000 de estos intentos resultaron en inicios de sesión exitosos. En general, alrededor del 85% de los usuarios que fueron objeto de ciberataques, y un 45% de ellos tuvieron al menos una cuenta comprometida en sus respectivos entornos^[3]. Los atacantes típicamente comprometen las cuentas en una de las siguientes tres maneras:

• Los ataques de fuerza bruta, una técnica de ensayo y error en la que el atacante envía muchas combinaciones de nombre de usuario y contraseña hasta que uno de ellos funciona.
• El phishing de credenciales, en el que el atacante usa un correo electrónico con ingeniería social para engañar a los usuarios y convencerles de que revelen sus contraseñas.
• El reciclaje de contraseñas, en el que el atacante utiliza contraseñas filtradas en una violación de datos no relacionada, con la esperanza de que el usuario tenga otra cuenta con el mismo nombre de usuario (con frecuencia una dirección de correo electrónico) y la contraseña está en riesgo.

Pérdida de datos y robo de IP

En un día laboral típico, la gente comparte información con sus colegas, asociados y otros mediante colaboración basada en la nube o herramientas de mensajería. Pero la falta de formación de los empleados o la mala intención de los trabajadores podría redundar en que se compartiesen datos delicados con personas que no debería ser capaces de verlos.

Las corporaciones enfrentan cada vez más riesgos para el cumplimiento en el cómputo en la nube, debido a las siempre cambiantes regulaciones de ciberseguridad. Las regulaciones gubernamentales y del sector le obligan a saber en dónde están los datos en la nube y cómo se comparten. El Reglamento General de Protección de Datos de la Unión Europea (RGPD) afecta a millones de organizaciones. Es por esto por lo que desarrollar un plan para cumplir con las nuevas reglas es fundamental para todas las organizaciones. Un CASB puede ser un elemento clave para ello.

Los ataques de hoy en día se orientan a personas, no a tecnologías. Esto es igual de cierto para los sistemas en la nube y para los in situ. A medida que las empresas se van cambiando a plataformas de mensajería y colaboración desde la red corporativa a la nube, se vuelven cada vez más vulnerables ante ataques.

Los hackers tienden a enfocarse en aplicaciones populares de SaaS, como Microsoft Office 365 y Google G Suite. Prácticamente todos los miembros de su empresa usan estas aplicaciones y tienen acceso a las comunicaciones empresariales y datos clave. Los atacantes se sirven de una variedad de técnicas para comprometer credenciales basadas en la nube y para provecharse de usuarios vulnerables, por ejemplo:

• Ataques inteligentes de fuerza bruta. Las herramientas automáticas se usan para generar múltiples combinaciones de nombres de usuarios y contraseñas expuestas en grandes volcados de credenciales.
• Campañas de phishing avanzado. Estas campañas orientadas y bien realizadas tienen diversas encarnaciones, y su objetivo es engañar a las personas para que revelen sus credenciales de autenticación.
• Intercambios de archivos malintencionados. Esta clase de ataques suele utilizar enlaces de phishing, ladrones y descargadores de credenciales. Los perpetradores de amenazas también distribuyen malware mediante servicios en la nube, como Dropbox.

Un CASB con un amplio complemento de soluciones de cloud security, con sólidas prestaciones de detección, corrección y autenticación basada en riesgos es la mejor defensa posible contra las amenazas de hoy en día, que se enfocan en las personas. Esto incluye ataques de fuerza bruta, ataques de phishing e intercambios de archivos malintencionados.

Protegerse contra amenazas basadas en la nube

Los cibercriminales suelen atacar a personas, no a tecnologías, con aplicaciones SaaS populares basadas en la nube, como Microsoft Office 365 o Google G Suite. Un CASB con un amplio complemento de soluciones de seguridad en la nube ofrece la mejor defensa contra las amenazas centradas en las personas que existen hoy en día.

Hacer valer el cumplimiento

A medida que sus empleados, contratistas y asociados van compartiendo cada vez más datos en la nube, el riesgo de fugas se incrementa. Usted precisa de unos mecanismos de seguridad de almacenamiento en la nube que tengan presentes los riesgos y que “conecten los puntos” para detectar y evitar tales filtraciones. Adicionalmente, el cumplimiento de las regulaciones gubernamentales y mandatos del sector es esencial. Esto incluye lo siguiente: información personal identificable (IPI), como números de seguridad social o fecha de nacimiento; información de tarjetas de pago del consumidor (PCI) e información médica protegida (PHI), como registros médicos.

Gestionar las aplicaciones basadas en la nube en su entorno

Dada la proliferación de aplicaciones basadas en la nube, el gobierno para el uso de estas aplicaciones es esencial. Como media, las corporaciones usan alrededor de 1000 aplicaciones basadas en la nube, y algunas de ellas tienen serias carencias en materia de seguridad. Pueden infringir reglamentos de conservación de datos, como el RGPD. Además, los atacantes suelen emplear complementos externos y la ingeniería social para engañar y convencer a las personas para que otorguen acceso a sus aplicaciones SaaS aprobadas.

Las capacidades de gestión de las aplicaciones basadas en la nube le conceden un importante nivel de visibilidad hacia los riesgos de la nube. También brindan importantes controles que alertan y forman a los usuarios finales y establecen respuestas automatizadas para el acceso a la nube, tales como “permitir”, “solo lectura” o “bloquear”.

[1] Gartner Inc. “Magic Quadrant for Cloud Access Security Brokers”
[2] Ibid.
[3] Proofpoint. “Cloud Attacks Prove Effective Across Industries in the First Half of 2019”