Ciberseguridad y Cloud ¿Amigos o Enemigos?

    Posted by C. Valverde on 15 marzo 2022
    Add to Flipboard Magazine.

    aws blog ciberseguridad

    A diario, ya sea en medios de comunicación, en conversaciones de trabajo o en nuestra vida personal, conocemos casos en los que, independientemente del tamaño, sector y tipo de compañía, resulta que un hacker ha conseguido entrar en sus sistemas y, por ejemplo, secuestrar sus datos para pedir un rescate (el conocido y temido ransomware).

    Solo en estos casos es cuando nos planteamos por qué no tenemos un Plan de Continuidad de Negocio y cuál es el impacto económico de una situación así:

    • Perdida de datos, lo cual impacta directamente en nuestra compañía al ser la gasolina con la que alimentamos el motor del negocio.
    • Tiempo de recuperación, tiempo que nuestra compañía no está llevando a cabo las tareas que aportan beneficios (fabricación, delivery, servicios, etc).
    • Reputación, al poder generarse una falta de confianza de nuestros clientes al ponerse de manifiesto que alguno de nuestros sistemas es vulnerable a ataques de terceros.

    Desgraciadamente, por el momento, el presupuesto de seguridad (formación, operativa, servicios/software, políticas de gestión de accesos, etc) suele estar por debajo de lo que requiere  negocio. Y es que los ataques, no lo sufren solamente las grandes corporaciones, sino que muchas veces son ataques indiscriminados que hacen que cualquier empresa sea un objetivo para los ciberdelincuentes.

    Pero la buena noticia es que existen soluciones que minimizar los efectos de un ciberataque, y hacen que la repercusión en el negocio sea la mínima posible, y no sólo están al alcance de las grandes corporaciones.

    ¿En que consiste esa protección?

    Como se suele decir, una cadena es tan fuerte como el más débil de sus eslabones, lo cual, aplicado a la seguridad en el mundo de la IT, nos lleva a tener que realizar un ejercicio inicial de análisis de todas las posibles vulnerabilidades que nuestro ecosistema de IT pueda tener.

    Pero hay que mirar mas allá, no solamente basta con implantar una arquitectura y una operativa que nos proteja de los ciberataques, sino que tenemos que adoptar una postura 360 frente a los mismos. Para ello, hay múltiples marcos de trabajo a los que podamos adherirnos, aunque desde Neteris apostaremos por el National Institute of Standards and Technology (NIST) CiberSecurity Framework (CSF), el cual marca 5 pilares:

    AWS disaster recovery

    Básicamente, nos viene a decir que no basta con securizar, sino que hay que adoptar una postura global, un Plan de Contingencia que nos permita garantizar que el impacto es mínimo, abordando desde la identificación de posibles vulnerabilidades, hasta la recuperación en caso de que se produzca un ataque. Esta es la única manera de estar preparados para minimizar el impacto en negocio.

    ¿Porqué Disaster Recovery en Cloud?

    Sencillamente porque Cloud ofrece una verdadera democratización de la IT, sin importar su tamaño o sector, ofrece acceso a los componentes básicos de una arquitectura de IT, acorde a las mejores prácticas desde todos los puntos de vista:

    AWS disaster recovery 2

    En este caso, nos centraremos en el pilar de seguridad e iremos viendo cómo la nube publica responde ante cada uno de los pilares del framework de seguridad comentado anteriormente.

     

    1 Identificación de vulnerabilidades

    Básicamente se trata de entender que mecanismos pueden ser explotados por un hacker con el objetivo de acceder a nuestro ecosistema de IT.

    Lo primero es identificar los componentes de mi entorno de IT

    • Sistemas
    • Usuarios
    • Datos
    • Aplicaciones
    • Componentes de red

    Y las vulnerabilidades que pueden asociarse a cada uno de ellos, especialmente orientadas a que un tercero pueda acceder y tomar control sobre los mismos.

     

    2 Mecanismos de Protección

    Normalmente, debemos:

    • Establecer la criticidad de cada uno de los sistemas
    • Evaluar el impacto en negocio de un ataque a cada uno de esos sistemas
    • Establecer un plan de protección para cada uno de esos sistemas, el cual requerirá una inversión acorde a la magnitud de las posibles perdidas económicas derivadas de un ciberataque.

    Para ello, y por citar los más destacables, la nube pública nos ofrece una serie de servicios que nos facilitan esta tarea, como son:

    • aws ciberataquesServicio de Gestión de Parches en Sistemas Operativos, ayudando a que nuestros sistemas operativos estén parcheados correctamente de manera incluso automática.
    • Servicio de DNS, entre cuyas funcionalidades de permite la creación de reglas para el trafico saliente, limitando trafico hacia sitios no aprobados y/o no seguros.
    • Servicio de Firewall de red, permitiendo inspección, detección y prevención de intrusiones y realizando un filtrado del trafico web.
    • Listas de Control de Acceso a la red, las cuales controlan el trafico entrante y saliente de una o varias subredes.
    • Servicio de gestión de Sistemas, ayudando a verificar que las configuraciones de los sistemas cumplen con unas configuraciones concretas y ejecutan aplicaciones aprobadas.
    • Servicio de gestión de identidades, controlando los accesos (quien, a que y que puede hacer)
    • Servicios de Snapshots y Backup, que garantizan disponer de información correcta en caso de corrupción, secuestro, alteración o borrado.

     

    3 Mecanismos de Detección

    AWS DETECTARA la hora de detectar posibles ataques, es especialmente interesante el análisis de patrones de uso de los recursos de cara a analizar, más allá de accesos no permitidos, comportamientos que no se ajustan a la normalidad y que, por tanto, han de ser estudiados y, llegado el caso, bloqueados.

    Entre otros, los servicios de detección que nos encontramos son los siguientes:

    • Servicio WAF (Web Application Firewall) que nos ayuda a proteger las aplicaciones web mediante la creación de reglas orientadas a bloquear ataques comunes como SQL Injection, Cross-site Scripting (XXS), Bots, etc.
    • Servicios de detección de amenazas, que monitorizan constantemente actividad maliciosa y comportamientos no autorizados.
    • Servicios de análisis, investigación e identificación de las causas de problemas potenciales de seguridad o de actividades sospechosas usando Machine Learning.
    • Servicios de detección y protección de datos sensibles.
    • Servicios de assesment de seguridad para aplicaciones desplegadas en el cloud.

     

    4 Respuesta

    En función del sistema que haya sido víctima del ataque, la respuesta será una u otra, ya sea el apagado de una máquina virtual en el cloud que ha sido atacada, su aislamiento a nivel de firewall, la reconfiguración de Grupos de Seguridad y/o Listas de Acceso de red, etc.

    Lo más importante en lo que a respuesta se refiere, es tener claro el impacto en negocio, tanto en el sistema atacado como en el resto de los sistemas con los que puede haber alguna dependencia, para llevar a cabo una acción u otra de acuerdo con el plan continuidad de negocio que se ha establecido anteriormente en la fase de evaluación de vulnerabilidades.

     

    5 Recuperación

    EAWS RECUPERARn esta última fase, el primer paso es la evaluación de las entidades que pueden haber sido impactadas por el ataque, para recuperar la normalidad en el menor tiempo posible. Ya sean:

    • sistemas
    • aplicativos
    • o datos

    Para ello, es muy importante disponer la información sobre lo que ha pasado, cuando ha pasado y el motivo, por lo que el punto anterior (Detección) tiene mucho peso en los mecanismos de recuperación que llevaremos a cabo:

    • Renovación de credenciales para las cuentas que se han visto afectadas.
    • Identificación y restauración de la última copia de seguridad que contiene datos no comprometidos durante el ataque y está libre del posible código malicioso que causó el ataque.
    • Identificación de los datos que puedan haber sido alterados.
    • Evaluar eventos que coincidieron con el ataque, por si hubiese alguna relación entre ellos (ya sea de causa o efecto).
    • Revisión de la configuración de red de las instancias de computación, subredes, etc; para detectar posibles fallos en la configuración y corrección si procede.

    ¿Por qué tantos servicios, son indispensables?

    Al final, la nube pública nos facilita poder hacer uso únicamente de lo que necesitamos, pagando solo por los servicios que nos aportan valor.

    Por ello, a diferencia de lo que sucede en los entornos OnPremise, algunos de los servicios comentados anteriormente se ofrecen sin coste adicional en Cloud, lo que supone tanto una vía de ahorro en nuestra factura al no tener que adquirir licencias o appliances de seguridad como un "salvavidas" al estar desplegados por defecto y, en cierta manera, obligarnos a desplegar una arquitectura en la nube con un mínimo (muy completo) de seguridad.

    Y en los servicios que si implican un coste adicional, la mayoría ofrece ciertas funcionalidades básicas sin coste que pueden cubrir gran parte de nuestras necesidades, especialmente en entornos con menor criticidad.

    Para el resto de entornos, el cálculo es muy simple: teniendo en cuenta que la facturación se realiza en base al uso de los servicios:

    • Cantidad de logs analizados
    • Registros leídos
    • Alarmas muestreadas
    • etc.

    ¿Cuánto estamos dispuestos a invertir en función de la Probabilidad de ser atacados (alta, según las estadísticas) y el Coste asociado al ataque?

     

    Para nosotros, la mejor solución de seguridad es la que cumple de manera óptima con las necesidades de negocio, ya que será aquella que requiera una inversión acorde a las posibles pérdidas económicas derivadas de un ataque. Si te interesa que lo evaluemos:

    business continuity

     

    Topics: Cloud & Infrastructure, Amazon Web Services