El salto a la nube debe llegar de la mano de nuevas herramientas y modelos de seguridad en cloud. Los datos demuestran que este nuevo entorno expone a la empresa a una mayor probabilidad de sufrir ataques que deriven en pérdidas —económicas y de reputación— muy graves. Todavía queda un largo camino por recorrer en este sentido.
Una de las consecuencias más evidentes del traslado de las operaciones a la nube es la necesidad de cambiar también el modelo y las herramientas empleados para asegurar las aplicaciones y los datos y protegerlos ante cualquier acceso no autorizado.
Sin embargo, a tenor de los datos que manejamos desde Check Point, este mensaje no ha calado todavía en el ámbito empresarial o, por lo menos, no con la fuerza requerida.
Es evidente que las redes basadas en cloud se están volviendo un objetivo cada vez más apetecible para los cibercriminales. A ello contribuyen la adopción acelerada de este tipo de estrategias, la complejidad de gestión inherente a los modelos multicloud y la evolución —todavía pendiente— de muchas organizaciones en materia de seguridad en cloud.
Durante los últimos años, Check Point Research se ha encargado de seguir la evolución del panorama de las amenazas en la nube; también hemos sido testigos del aumento constante de la adopción de este tipo de infraestructuras en los entornos corporativos. En la actualidad, el 98% de las organizaciones globales utilizan servicios basados en la nube y aproximadamente el 76% de ellas tienen entornos multicloud que integran servicios de dos o más proveedores.
Las amenazas a redes basadas en la nube han experimentado un aumento del 48% con respecto a 2021
Por ejemplo, tomando como base los dos últimos años, las amenazas a redes basadas en la nube han experimentado un aumento del 48% en el número de ataques por organización con respecto a 2021. Este incremento de la ciberdelincuencia es especialmente relevante en Asia, que ha sufrido un repunte del 60%, seguida de Europa, donde ha aumentado un 50%, y Norteamérica, con un 28%.
Mayor impacto
Otro de los datos relevantes que se pueden extraer de este estudio es que el impacto de las CVE (common vulnerabilities and exposures) más recientes y de mayor envergadura es superior en entornos cloud que en los modelos on-premise.
De hecho, aunque el número de ataques que tienen como objetivo las redes alojadas en la nube sigue siendo un 17% inferior al que se produce en los entornos tradicionales, al estudiar los distintos tipos de incidentes, y en concreto los exploits de vulnerabilidades, se observa un mayor uso de las CVE más recientes (las reveladas entre 2020 y 2022) en comparación con las redes locales.
Por otra parte, hay que tener en cuenta la repercusión que tienen estos incidentes de seguridad. Por ejemplo, en 2022 la red móvil más extensa de Tailandia, AIS, dejó accidentalmente expuesta una base de datos de ocho mil millones de registros de internet. Esto se tradujo en un coste económico cifrado en cerca de 58.000 millones de dólares para la compañía. Desde luego, una de las infracciones más caras jamás registradas.
Otro ejemplo: en noviembre de 2022, en los Estados Unidos, el FBI y la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) revelaron en un aviso conjunto que un grupo de amenazas no identificado, respaldado por Irán, pirateó una organización del Poder Ejecutivo Civil Federal (FCEB) para implementar el malware de criptominería XMRig. Los atacantes comprometieron la red federal después de piratear un servidor sin parches. Para ello emplearon un exploit en remoto de la vulnerabilidad de ejecución de Log4Shell (CVE-2021-44228).
Pero, además, los daños que pueden provocar estas vulneraciones no son solamente económicos: normalmente causan también pérdidas de datos, entrada y expansión masiva de malware y otros ataques de ransomware en la organización; sin mencionar los daños en la reputación e imagen de la compañía.
La complejidad de este escenario multicloud, con sus implicaciones en el ámbito de la seguridad, está suscitando un interesante debate en torno a la regulación de estos modelos. De hecho, la situación puede propiciar que muchas empresas se planteen devolver los flujos de trabajo a un contexto local para reducir la superficie sometida a amenazas.
Prácticas recomendadas de seguridad en cloud
Aunque los proveedores cloud ofrecen servicios de seguridad nativos, es esencial usar herramientas adicionales para lograr una mejor protección frente a infracciones, fugas de datos y ciberataques. Las siguientes son las prácticas más recomendadas para robustecer la seguridad en cloud:
Zero trust en redes y microsegmentos aislados. Hay que desplegar recursos y aplicaciones críticos para la empresa en secciones aisladas de la red en la nube del proveedor. Para microsegmentar las cargas de trabajo entre sí, hay que utilizar subredes con políticas de seguridad granulares en las gateways de subred. Además, se deben emplear configuraciones de enrutamiento estáticas definidas por el usuario para personalizar el acceso a los dispositivos virtuales, las redes virtuales y sus gateways, así como a las direcciones IP públicas.
La seguridad como prioridad. Se debe incorporar la protección y el cumplimiento de normativas en una fase temprana del ciclo de vida del software. DevSecOps ayuda a integrar las comprobaciones de seguridad de forma continua en el proceso de despliegue, en lugar de al final.
Gestión de vulnerabilidades. El establecimiento de políticas de vigilancia garantiza que su despliegue cumple las políticas corporativas de integridad del código. Hay que crear procesos de corrección para alertar al equipo de desarrollo sobre los archivos no conformes y aplicar las medidas correctoras adecuadas. Asimismo, se deben incorporar herramientas que permitan explorar los componentes con vulnerabilidades críticas.
Análisis continuo. Los proveedores de seguridad cloud proporcionan una sólida gestión de su postura, aplicando sistemáticamente normas de control y cumplimiento a los servidores virtuales. Esto ayuda a garantizar que están configurados según las mejores prácticas y debidamente segregados con reglas de control de acceso.
IPS y firewall. Hay que evitar que el tráfico malicioso llegue a los servidores de aplicaciones web. Un WAF (web application firewall) puede actualizar automáticamente las reglas en respuesta a los cambios de comportamiento del tráfico.
Protección de datos mejorada. Es necesario mantener una protección de datos con cifrado en todas las capas de recursos compartidos y comunicaciones de archivos, así como una gestión continua de los recursos de almacenamiento de datos. La detección de buckets mal configurados y la identificación de recursos huérfanos proporcionan una capa de seguridad adicional.
Detección en tiempo real. Los proveedores de seguridad en cloud de terceros suman contexto al cruzar de manera inteligente los datos de registro con información interna, sistemas de gestión de activos y configuración, escáneres de vulnerabilidades, datos externos, etc. También proporcionan herramientas que ayudan a visualizar el panorama de amenazas y mejoran los tiempos de respuesta. Los algoritmos de detección de anomalías basados en IA permiten detectar ciberataques desconocidos, para después analizarlos y determinar su perfil de riesgo, a veces incluso activando una corrección automática.