Cómo responder a las brechas en la nube: registros de auditoría, detección de amenazas y respuesta a incidentes
Para tratar el tema de cómo responder hoy en día a las brechas de seguridad en la nube, conviene empezar con una lección de historia.
Si es aficionado a la historia, o simplemente prestó atención en el instituto, probablemente le suene la Línea Maginot, una serie de posiciones defensivas que el ejército francés construyó en el período de entreguerras. Para evitar que Alemania invadiera Francia como había ocurrido en la Primera Guerra Mundial, el gobierno francés tuvo la genial idea de construir una línea de fortificaciones infranqueables.
Por desgracia para los franceses, el ejército alemán simplemente esquivó la Línea Maginot en 1940 e invadió Francia desde el noreste, que no estaba fortificado. Al haber confiado demasiado en las medidas defensivas, los franceses y sus aliados británicos no estaban preparados para la rapidez con la que la guerra se desarrolló una vez que se rompieron las defensas. En apenas 46 días y a pesar de haber establecido una excelente postura defensiva, los franceses sufrieron lo que un historiador acertadamente denominó una “extraña derrota”.
¿Qué tiene que ver la caída de Francia con la seguridad en la nube, se preguntará? La respuesta es que, al igual que los franceses aprendieron por las malas en 1940 que es imposible evitar una brecha militar, hoy en día las organizaciones también deben ser conscientes de que es imposible garantizar que no se produzca una brecha en la nube. Aunque es importante invertir en medidas defensivas mediante la gestión de la postura de seguridad en la nube (CSPM), también hay que estar preparado para responder a una brecha en la nube cuando se produzca, como inevitablemente ocurrirá.
Hay tres elementos clave a la hora de prepararse para una brecha en la nube:
- Los registros de auditoría en la nube, que le ayudan a detectar actividad inusual en su entorno de nube que pudiera indicar una brecha o un intento de brecha.
- La detección de amenazas, que utiliza diversas fuentes de datos para identificar brechas activas.
- La respuesta a incidentes, que le permite reaccionar de forma rápida y eficaz cuando se descubre una brecha.
En este artículo analizamos qué se necesita para protegerse contra las brechas en la nube, explicando el papel que desempeñan los registros de auditoría, la detección de amenazas y la respuesta a incidentes en la gestión de las amenazas de seguridad en la nube.
La inevitabilidad de las brechas en la nube
El primer paso para prepararse ante posibles brechas en la nube es reconocer que ocurrirán. Por mucho que perfeccione sus herramientas y procesos de CSPM para reforzar la seguridad del entorno de nube contra los ataques, siempre existe el riesgo de que una configuración insegura aceche en lo más profundo de la pila de la nube o de que surja un nuevo tipo de amenaza que explote una vulnerabilidad que nadie ha previsto.
Al fin y al cabo, hasta las empresas tecnológicas más sofisticadas sufren brechas de seguridad habitualmente, a pesar de invertir grandes recursos en la seguridad de la nube y de contar con profesionales de ciberseguridad de primer orden. De modo que si ellos no pueden evitar las brechas, usted tampoco.
Lógicamente, esto no quiere decir que no merezca la pena invertir en CSPM como una forma de prevenir las brechas. Perfeccionar todo lo posible las defensas de seguridad en la nube, detectando las configuraciones inseguras y diseñando arquitecturas seguras, es crucial para minimizar el número de brechas que se producen. Además, también ayuda a mitigar el daño que puede causar una brecha.
Aun así, no es realista pretender una inmunidad completa ante las brechas.
Cómo prepararse para las brechas en la nube: auditorías, detección de amenazas y respuesta a incidentes
Una cosa que sí puede hacer es preparase de antemano a las brechas para que, cuando se produzca una, sea capaz de identificarla, evaluarla y responder a ella con la mayor rapidez y eficacia posible. Para ello es necesario invertir en tres áreas clave: registros de auditorías, detección de amenazas y respuesta a incidentes.
Registros de auditoría y la nube
Los entornos en la nube son complejos, por decirlo suavemente. Es probable que su organización implemente diferentes servicios en la nube, como el almacenamiento de objetos, las máquinas virtuales, los containers y las funciones serverless, por nombrar solo algunas de las categorías populares de servicios de computación en la nube. También es posible que usted tenga varias cuentas para cada nube y que, como el 93 % de las organizaciones modernas, utilice varias nubes al mismo tiempo.
Los registros de auditoría son el primer paso importante para hacer un seguimiento de las posibles amenazas de seguridad dentro de un entorno de nube de múltiples capas y cada vez más extenso. Los registros de auditoría registran sistemáticamente las acciones dentro de un entorno de nube a medida que tienen lugar. Le dicen quién ha hecho qué, cuándo ha ocurrido y qué ha cambiado.
En otras palabras, con los registros de auditoría puede supervisar sistemáticamente qué nuevos recursos se han desplegado en la nube, qué políticas de IAM se han modificado, qué cuentas de usuario se han añadido o eliminado, etc. Y puede hacerlo en todos sus entornos y servicios en la nube.
Esta información le permite obtener una visibilidad temprana de las posibles amenazas de seguridad, incluso en los casos en los que una amenaza aún no se ha convertido en una brecha real. Por ejemplo, los registros de auditoría pueden alertarle de la creación de una VM no autorizada o de un nuevo rol de IAM, que ser algunos de los primeros pasos que dan los atacantes cuando intentan introducirse en su entorno de nube.
Uso de los registros de auditoría en la nube
Todos los principales proveedores de nubes públicas ofrecen servicios nativos para habilitar los registros de auditoría y ayudarle a rastrearlos. Sin embargo, dado que estos servicios suelen funcionar solo con cuentas de nube y nubes individuales, es aconsejable que agregue los registros de auditoría de todos sus entornos de nube para poder analizarlos de forma centralizada utilizando herramientas de auditoría de terceros que sean capaces de detectar patrones sospechosos en de los datos de auditoría de cualquier entorno de nube pública.
También debe asegurarse de configurar la auditoría de la nube de forma eficaz. La clave de un buen registro de auditoría es encontrar el equilibrio adecuado entre registrar demasiada información o muy poca. Normalmente no es necesario conocer cada uno de los pequeños cambios que se producen en el entorno de nube, por lo que si se registran demasiados datos, el equipo se hartará de recibir alertas. Pero sí querrá estar al tanto de los principales eventos relacionados con la seguridad, como los cambios en las configuraciones de IAM, las actualizaciones de la configuración de red, el despliegue de nuevas workloads o los cambios en las cuentas de usuario.
Detección de amenazas en la nube
Si bien el registro de auditoría es el primer paso para detectar posibles brechas, la detección de amenazas va más allá. La detección de amenazas es el uso de diferentes fuentes de datos, como los registros de auditoría, los registros de red y las métricas de la nube, para detectar amenazas activas y evaluar su posible impacto.
Es decir, la detección de amenazas no solo le ayuda a identificar las brechas, sino también a saber de qué tipo de brecha se trata y el daño que podría causar. Además, la detección de amenazas le ayuda a elaborar un plan para responder de la manera más eficiente a las distintas amenazas a las que se enfrentan sus entornos de nube.
Algunas amenazas son más graves que otras. Una amenaza que afecte a un entorno de desarrollo y prueba, por ejemplo, probablemente no sea tan peligrosa como una vulnerabilidad de día cero que afecte a una workload de producción crítica. La detección de amenazas le ayuda a decidir a qué tipo de amenazas debe dar prioridad.
Asimismo, la detección de amenazas utiliza los datos de la inteligencia de amenazas para proporcionar un contexto sobre los diferentes tipos de amenazas. La inteligencia de amenazas permite a su equipo saber dónde se ha originado una amenaza, qué tipos de vulnerabilidades está explotando y cómo corregirla de manera efectiva.
Respuesta a incidentes en la nube
El último paso para hacer frente a las vulnerabilidades en la nube es la respuesta a incidentes. La respuesta a incidentes son las herramientas y procedimientos que un equipo utiliza para aislar, mitigar y solucionar definitivamente una amenaza activa.
Aunque cada amenaza es diferente y es imposible predecir con exactitud los pasos que habrá que dar para responder a un incidente, se pueden elaborar manuales de actuación para diferentes tipos de incidentes que sirvan de guía para responder a ellos. Por ejemplo, puede crear un manual de actuación para gestionar un incidente de seguridad que implique el acceso no autorizado a los datos, otro para las brechas de un entorno de ejecución de containers y otro para las amenazas que afectan a las máquinas virtuales basadas en la nube.
Estos manuales de respuesta a incidentes en la nube deben detallar no solo cómo ha de responder su equipo a cada tipo de amenaza, sino también las funciones qué miembros del equipo desempeñarán qué funciones en la gestión de la respuesta. También debe pensar con antelación qué recursos necesitará su equipo para ejecutar su respuesta.
Tenga en cuenta también que, aunque el objetivo final de la respuesta a incidentes debe ser la corrección definitiva de la amenaza, en muchos casos tiene sentido aislar primero una amenaza para evitar que se extienda hasta que se pueda solucionar completamente. Para ello, sus manuales de actuación deberían incluir pasos para deshabilitar las cuentas comprometidas o aislar las workloads en la nube en peligro a nivel de red, por ejemplo.
Preparación para la seguridad en la nube
Aunque hay que procurar prevenir las brechas de seguridad en la nube, no se tome como un fracaso el hecho de que aparezca alguna. Por el contrario, reconozca que son inevitables por mucho que su equipo sea experto en CSPM.
Lo que realmente marca la diferencia entre el fracaso y el éxito es la capacidad para responder eficazmente a ellas cuando se producen. Si invierte en los registros de auditorías, la detección de amenazas y la respuesta a incidentes, su organización estará en condiciones de gestionar con éxito las vulnerabilidades en la nube, minimizando su impacto y solucionándolas lo antes posible.