Proteger la nube: Cómo defender la superficie de ataque dominante

Fiabilidad
Resumen

A medida que más datos críticos se alojan en la nube, las organizaciones deben encontrar la manera de cerrar la brecha de cibercapacidades y proteger sus datos, independientemente de dónde vivan en sus entornos.

En una era impulsada por la computación en nube, las organizaciones deben estar preparadas para gestionar una superficie de ataque cada vez más dinámica. Sin embargo, muchos equipos de seguridad tienen dificultades para proteger entornos en la nube cada vez más complejos.

Un nuevo estudio publicado por Palo Alto Networks revela que la gran mayoría de los riesgos de seguridad están presentes en entornos en la nube, con un 80%, frente al 19% de los entornos locales. Esto pone de relieve que la nube es una parte clave de la superficie de ataque de la empresa moderna.

El estudio también destaca que proteger la nube es un reto porque la infraestructura cambia constantemente. Por ejemplo, casi el 50% de las exposiciones mensuales de alto riesgo alojadas en la nube se debieron al cambio constante de los nuevos servicios alojados en la nube que se ponen en línea o a la sustitución de los antiguos.

Por desgracia, también parece que los actores de amenazas son muy conscientes de la capacidad de explotación de los activos en la nube, y CrowdStrike identifica un aumento del 95% en la explotación de la nube en 2022.

¿Por qué la nube es la nueva frontera?

La nube se ha convertido en la superficie de ataque dominante no solo debido a su complejidad, sino también al hecho de que muchas organizaciones están luchando por encontrar profesionales cualificados para asegurar los entornos en la nube.

Según una encuesta de Microsoft, el 38% de los encuestados del Reino Unido que han participado en la contratación de personas con conocimientos de la nube en los últimos 12 meses informaron haber encontrado dificultades para encontrar el conjunto de habilidades adecuado.

Esta escasez de conocimientos ha hecho que muchas organizaciones desconozcan los principales riesgos, errores de configuración y vulnerabilidades de los entornos de nube pública, privada e híbrida.

Por ejemplo, muchas organizaciones desconocen todos los certificados y claves utilizados en sus entornos, lo que las hace vulnerables a la explotación.

Al mismo tiempo, a medida que más organizaciones admiten opciones de trabajo remotas o híbridas, resulta más difícil aplicar controles de acceso coherentes a los activos de datos alojados en la nube.

La lucha por proteger la nube se refleja en el hecho de que el 39% de las empresas sufrieron una violación de datos en su entorno de nube el año pasado, frente al 35% del año anterior.

¿Cuál es la solución?

Aunque asegurar la nube es una tarea ardua, uno de los pasos fundamentales que deben dar las organizaciones es identificar dónde residen los datos en la nube. Una vez que lo hayan hecho, podrán empezar a determinar qué identidades humanas y mecánicas tienen acceso a esta información y empezar a implantar controles de acceso para protegerla de accesos no autorizados.

Vale la pena señalar que las identidades de máquina superan a las humanas en un factor de 45x, y el 68% de las identidades de máquina tienen acceso a datos y activos sensibles. Se trata de un volumen tan elevado que los enfoques manuales no bastan para mantener el ritmo del volumen de identidades que acceden diariamente a información protegida.

En su lugar, las organizaciones deben recurrir a soluciones automatizadas que proporcionen la capacidad de descubrir y clasificar automáticamente los datos almacenados en la nube, así como qué datos tienen acceso a ellos.

Una vez que un equipo de seguridad comprende qué identidades humanas y mecánicas tienen acceso a datos de gran valor, puede empezar a desplegar controles de acceso para verificarlos y autenticarlos antes de que accedan a información protegida.

Esto también establece un marco para hacer cumplir el principio del mínimo privilegio, para garantizar que las identidades sólo tienen acceso a la cantidad mínima de datos necesarios para realizar su función.

Cerrar la brecha de competencias en la nube

Para mejorar su seguridad en la nube, cualquier organización no sólo debe hacer frente a la falta de competencias, sino también al gran déficit de competencias en ciberseguridad, que actualmente asciende a la asombrosa cifra de 3,4 millones de personas menos en las empresas.

Aunque se trata de una época en la que no hay respuestas rápidas, salvo una inversión de toda la industria en la promoción de la próxima generación de talentos en ciberseguridad, las organizaciones pueden trabajar para mejorar su postura de seguridad en la nube invirtiendo en el reciclaje y la mejora de las competencias de los empleados.

Al apoyar la educación, las organizaciones pueden proporcionar a los profesionales de la ciberseguridad conocimientos en áreas como la seguridad en la nube, para que puedan proteger mejor a la empresa. La formación interna del talento en ciberseguridad puede ayudar a mitigar algunos de los efectos secundarios de la escasez de talento en general.

Esto puede ser tan sencillo como invertir en contenidos de cursos proporcionados por proveedores de la nube como Amazon Web Services, Google Cloud y Microsoft Azure. Puede proporcionar a los empleados nuevos conocimientos prácticos sobre cómo gestionar y proteger mejor los entornos en la nube, al tiempo que les proporciona nuevas certificaciones que mejoran su empleabilidad.

Las organizaciones también pueden optar por utilizar cursos desarrollados por proveedores externos como Udemy, Coursera, Pluralsight y Simplilearn.

Lo esencial

Junto con la evolución en curso de las redes basadas en la nube, los equipos de seguridad deben ampliar su conjunto de competencias para abarcar los conocimientos necesarios para implantar controles no sólo en las redes locales, sino también en el entorno de la nube.

A un alto nivel, las organizaciones necesitan invertir en soluciones y enfoques para identificar y proteger los datos donde viven y las brechas en el entorno.

Invirtiendo en tecnología y en las competencias de los empleados, las organizaciones pueden hacer frente a la superficie de ataque de la nube y protegerse de parte del impacto del déficit de competencias cibernéticas.

Temas relacionados

Tim Keary
Technology Specialist
Tim Keary
Editor

Desde enero de 2017, Tim Keary ha sido un escritor y reportero de tecnología independiente que cubre tecnología empresarial y ciberseguridad.