Los servicios en la nube son la nueva infraestructura crítica. …



Si los proveedores de servicios en la nube se hicieran estas tres preguntas con éxito, todos estaríamos mejor.

Con miles de millones de personas confinadas en sus hogares, el concepto de «infraestructura crítica» necesita ser extendido. A la lista tradicional de puentes, plantas de energía, plantas de filtración de agua, aeropuertos, etcetera., necesitamos agregar conferencias web basadas en la nube (piense en Zoom, Webex y Skype), servicios financieros en línea, servicios de telesalud, comercio electrónico, en línea entrega y más.

De una manera muy real, nuestra economía international y nuestra vida diaria ahora dependen de estos servicios en línea. Por ejemplo, los servicios de teleconferencia están reemplazando de facto los viajes aéreos, con el sector de la aviación y la mayoría de los aeropuertos casi cerrados. Sin embargo, el hecho triste es que si los servicios basados ​​en la nube fueran infraestructura crítica regulada como su aeropuerto promedio, el Administración de Seguridad del Transporte habría cerrado muchos de ellos mucho antes de que apareciera COVID-19.

Si su servicio website fuera un aeropuerto
Viajo mucho, o solía hacerlo, antes de la disaster del coronavirus. Es interesante que nuestra triste experiencia con el terrorismo en las últimas décadas nos haya llevado a confiar en los viajeros, a quienes todavía podemos ver y tocar, mucho menos de lo que parecemos confiar en empleados, contratistas, usuarios o administradores sin rostro, conectados remotamente.

El paradigma de seguridad bajo el cual operan organizaciones como la TSA para asegurar aeropuertos modernos tiene paralelos claros en el campo de los servicios web, pero también algunas grandes diferencias. Para ilustrar, profundicemos en lo que nosotros, como viajeros, pasamos antes de subir a un avión, en comparación con lo que pasamos los usuarios en línea antes de acceder a servicios internet críticos:

  • Identificación inicial: En la entrada de la línea de revisión de TSA, debe mostrar su pasaporte y tarjeta de embarque. Esto es equivalente a iniciar sesión en el servicio world-wide-web de su elección. Sin embargo, en línea, uno puede imitar la identidad de una persona de confianza. En el mundo real, si robo el pasaporte de una abuela de 87 años de Kansas, un agente de la TSA probablemente lo notará.
  • Control de seguridad: La TSA está muy preocupada tanto por quién soy como por lo que llevo conmigo. Ellos revisan que no tengo nada dañino en mis bolsillos o en mi equipaje de mano. Los servicios internet tienen algunos procedimientos de verificación, por ejemplo, autenticación de dos factores. Todavía millones de vulnerabilidades conocidas y desconocidas en muchos paquetes de application populares, se puede omitir esencialmente este paso de verificación, obtener acceso no autorizado e ir directamente a la puerta de embarque digital.
  • En la terminal: A pesar de la estricta seguridad de acceso descrita anteriormente, todos los aeropuertos serios también tienen own de seguridad interno en constante vigilancia para cualquier cosa fuera de lo común en la terminal. En la mayoría de los servicios y aplicaciones internet, la seguridad de tiempo de ejecución es escasa y, a menudo, inexistente, ya que puede llevar meses implementarla. Una vez que los atacantes entran, pueden permanecer sin ser detectados durante meses.
  • La amenaza interna: Los aeropuertos son organizaciones grandes y complejas que cubren vastas áreas físicas y requieren una gran fuerza laboral. A pesar de esto, los aeropuertos logran llevar a cabo extensas verificación de antecedentes de los empleados y control de seguridad continuo. Los servicios net que sirven a millones pueden ser administrados y accedidos por administradores individuales o un pequeño equipo de desarrollo con amplio acceso. Muchas compañías no tienen suficientes controles para mitigar ese riesgo.

Pero los servicios world wide web son No Aeropuertos
Afortunadamente, los servicios internet son no aeropuertos. Tampoco se pueden asegurar como aeropuertos sin destruir lo que los hace tan grandiosos. Para brindar el servicio robusto y de escala masiva que nos brindan, los servicios internet interactúan con miles de otros servicios y deben ser accesibles desde cualquier lugar y dispositivo. La hiperconectividad es lo que hace que estos servicios sean tan poderosos: poner barreras simplemente arruinaría esto.

Si bien los aeropuertos solo se construyen una vez, los servicios en la nube son reconstruidos todos los días por desarrolladores que introducen cientos de cambios. Cada cambio introducido en la arquitectura de un aeropuerto se revisa a fondo antes de la implementación. El mismo nivel de escrutinio sobre los cambios en las aplicaciones net simplemente mataría la innovación.

Además, ¿realmente queremos pasar por un agente de la TSA cada vez que accedemos a nuestra cuenta bancaria?

¿Entonces, qué puede hacerse?
Dejando de lado las analogías de los aeropuertos, está claro que necesitamos mejorar la capacidad de recuperación de los servicios world-wide-web de los que nos hemos vuelto cada vez más dependientes en los últimos años, y absolutamente Depende de hoy. Los líderes empresariales, de TI y de seguridad deben preguntarse con urgencia cómo reducir efectivamente este riesgo sin afectar el dinamismo y la conectividad que hacen que estos servicios sean tan excelentes. Aquí hay tres preguntas que los proveedores de servicios en la nube deberían hacerse:

  1. ¿Cómo implementamos controles sin impedir la productividad y la agilidad en tiempos tan críticos? Implementar y operar controles que atrapan y frustran a los intrusos es notoriamente difícil en la abrumadora escala y complejidad de los servicios modernos en la nube. Los proveedores deben asegurarse de adoptar controles autónomos de próxima generación que se puedan implementar rápidamente a escala.
  2. ¿Los equipos de TI y seguridad se están centrando en las vulnerabilidades que importan? Los proveedores de servicios en la nube están inundados con miles de vulnerabilidades que necesitan parchear. Sin embargo, La mayoría de estas vulnerabilidades no representan una amenaza true para el sistema. Mediante el uso de herramientas de priorización de vulnerabilidades, los proveedores pueden abordar sus vulnerabilidades de alto riesgo crítico al parchear menos del 10% de todas las vulnerabilidades.
  3. ¿Cómo puedo controlar el acceso del desarrollador sin cumplir con el nivel de verificación de TSA? No es factible examinar exhaustivamente a cada desarrollador y contratista con acceso a servicios en la nube. Sin embargo, los proveedores de servicios world wide web deben asegurarse estrictamente de que todos los cambios en el código se implementen a través de canalizaciones preexistentes (llamadas «canalizaciones de CI / CD») donde el código se puede detectar en busca de vulnerabilidades y malware.

Dado que el control remoto es la nueva normalidad ahora, y es probable que continúe siéndolo después de la disaster, es hora de que nuestros proveedores de infraestructura crítica más nuevos ofrezcan sus increíbles servicios en línea con un nivel de resistencia correspondientemente asombroso.

Contenido relacionado:

Liran Tancman, CEO y cofundador de Rezilion, es uno de los fundadores del comando cibernético israelí y pasó una década en el cuerpo de inteligencia de Israel. En 2013, Liran cofundó CyActive, una compañía que desarrolló una tecnología capaz de predecir cómo podrían evolucionar las amenazas cibernéticas y … Ver biografía completa

Más thoughts





Enlace a la noticia primary