DevOps necesita transformarse en DevSecOps para cerrar las amenazas de seguridad en la nube


El informe de amenazas de Oracle y KMPG encuentra que las cuentas con privilegios excesivos y los secretos de la nube mal protegidos son los mayores riesgos de seguridad.

Todos tienen problemas para mantener seguras las implementaciones en la nube, según un nuevo informe de Oracle y KPMG. Los «Informe de amenazas 2020: abordar las configuraciones de seguridad en medio de un estado de cambio constante«descubrió que el 92% de los profesionales de TI no creen que su organización esté bien preparada para proteger los servicios de la nube pública.

Dos de los mayores riesgos de seguridad son las cuentas de administrador con demasiados privilegios y una gestión deficiente de los secretos de la nube, como claves, credenciales de cuenta y contraseñas.

El informe también encontró que:

  • Los equipos de ciberseguridad están poniéndose al día.
  • Los conceptos básicos de la seguridad en la nube aún no se entienden.
  • Los servicios en la nube mal configurados son frecuentes, problemáticos y la principal prioridad de seguridad en la nube.
  • La remodelación de la nube comienza con las personas y el proceso.
  • Muchos apuestan por el aprendizaje automático como tecnología basic de ciberseguridad.

Aquí hay una revisión de los problemas con cuentas con privilegios excesivos y consejos sobre cómo implementar un enfoque DevSecOps para el desarrollo de software puede cerrar los agujeros de seguridad en las implementaciones en la nube.

Restricción de privilegios para aumentar la seguridad

Una conclusión clave del informe de amenazas a la nube de este año es que las credenciales de nube privilegiadas son el nuevo punto de entrada para los malos actores. El informe de Oracle / KPMG encontró que el 59% de los encuestados compartió que los miembros del equipo con cuentas en la nube privilegiadas han tenido esas credenciales comprometidas por un ataque de phishing.

VER: Google Cloud Platform: una guía interna (PDF gratis)

El informe recomienda implementar políticas de acceso con privilegios mínimos, especialmente en el entorno de múltiples nubes. Esto no es fácil debido a los desafíos de un entorno abstracto que tiene «una matriz de relaciones de muchos a muchos entre usuarios, cuentas y nubes que posiblemente complican la implementación del menor privilegio, como lo demuestran los hallazgos de nuestra investigación».

Al mismo tiempo, la encuesta encontró que las cuentas con privilegios excesivos son el mejor servicio en la nube mal configurado, con el 37% de los encuestados seleccionando este problema como el mayor problema. Esta lista también incluye:

  • Servidores web expuestos y otros tipos de cargas de trabajo del servidor 35%
  • Los datos de los residentes del almacén de objetos no están protegidos adecuadamente a través de las listas de handle de acceso 34%
  • La falta de autenticación multifactor 33%
  • Registro deshabilitado para capturar un seguimiento de auditoría de actividad en la nube 31%

El servicio en la nube mal configurado más comúnmente citado, las cuentas con privilegios excesivos, está directamente relacionado con los secretos de la nube desprotegidos, otra amenaza importante de la nube identificada por el informe.

Los atacantes demandan estas credenciales de nube privilegiadas, dado el alto porcentaje de organizaciones que informaron ataques de phishing diseñados para robar estas credenciales. Las credenciales de nube privilegiadas robadas se pueden usar para obtener acceso a secretos de nube adicionales y, desde allí, muchos otros servicios, incluidos los almacenes de datos, como bases de datos y almacenes de objetos.
Los encuestados señalaron que se han descubierto secretos en lugares desprotegidos como:

  • Almacenado en servidores 59%
  • En nuestra biblioteca de código fuente 55%
  • Almacenado en una nube pública, el objeto almacena 54%
  • En código HTML 31%

Los autores del informe declararon que este problema, el almacenamiento de secretos de la nube en texto claro en ubicaciones desprotegidas, es un subproducto de objetivos en competencia: los equipos de desarrollo se están moviendo rápidamente y no piensan dónde están colocando los secretos. La implementación de políticas de privilegios mínimos y el uso de un modelo de almacenamiento de components o un almacén de claves pueden resolver ese problema.

Mejorar la seguridad requiere un cambio cultural

Según el informe, para reducir las amenazas de seguridad en las implementaciones en la nube, la seguridad debe convertirse en un requisito comercial y una responsabilidad compartida en lugar de una ocurrencia tardía. Adoptar un enfoque de DevOps para el desarrollo de software package es parte de esta transición. El informe encontró que DevOps ya no es una metodología empleada solo por empresas nativas de la nube. Los encuestados informaron que DevOps se está adoptando ampliamente en todos los ámbitos, con solo el 6% afirmando que no tienen planes de emplear este método. DevOps se está convirtiendo en la corriente principal, «con casi un tercio de los encuestados que ya emplean DevOps, casi otro trimestre planea hacerlo en los próximos 12-24 meses, y otro tercio interesado en hacerlo».

La siguiente fase de esta evolución es integrar la seguridad en el trabajo diario de DevOps. Las empresas no están tan lejos con este cambio, ya que un tercio de los encuestados dijo que su organización ya ha integrado la seguridad en sus procesos DevOps.

Los autores del informe sugieren que muchas empresas están perdiendo la oportunidad de establecer una cultura de seguridad desde la fase de diseño.

Para crear un programa DevOps seguro que automatice los procesos y controles de ciberseguridad mediante la integración con la cadena de herramientas de integración continua y entrega continua (CI / CD), las organizaciones deben cambiar la seguridad a la izquierda en tiempo de desarrollo y tiempo de construcción. Estas herramientas y prácticas apoyan esa transición:

  • Herramientas de ciclo de vida de desarrollo de software program (SDLC), incluidos los entornos de desarrollo interactivo (IDE).
  • Repositorios de gestión de código fuente (SCM)
  • Herramientas de construcción automatizadas
  • Sistemas ágiles de gestión de proyectos.
  • Plataformas colaborativas de mensajería

Cuarenta y seis por ciento de los encuestados dijeron que la razón más importante para usar un enfoque DevSecOps period respaldar la seguridad en cada etapa de la cadena de herramientas de entrega continua. La colaboración y la eficiencia fueron los siguientes factores más importantes con el cumplimiento que viene a continuación.

El informe de este año es el primero de una serie de cinco partes, con informes de seguimiento que ofrecen información sobre los resultados de la investigación sobre temas centrales de seguridad en la nube, que incluyen:

  • Desmitificar el modelo de responsabilidad compartida de seguridad en la nube
  • El impacto comercial de la violación de datos moderna
  • Abordar el riesgo cibernético y el fraude en la nube
  • La misión del CIS centrado en la nube

Metodología de la encuesta

Los datos presentados en este informe se recopilaron a través de una encuesta en línea realizada por Enterprise Technique Group de 750 profesionales de ciberseguridad y TI de organizaciones del sector público y privado en América del Norte (EE. UU. Y Canadá), Europa occidental (Reino Unido y Francia) y Asia -Pacífico (Australia, Japón y Singapur) entre el 16 de diciembre de 2019 y el 16 de enero de 2020. Para calificar para esta encuesta, los encuestados tenían que ser responsables de evaluar, comprar y administrar los productos y servicios de tecnología de seguridad cibernética y tener un alto nivel de familiaridad con la utilización de la nube pública de su organización. Todos los encuestados recibieron un incentivo para completar la encuesta.

Ver también

kmpg-oracle-cloud-amenaza-informe-2020.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/13/58581731-bdb4-43ed-944a-419ccb1cd435/resize /770x/6fe5804c84cd4ad647912c87e37fdd54/kmpg-oracle-cloud-threat-report-2020.jpg

Dos de los mayores riesgos de seguridad en la nube son las cuentas de administrador con demasiados privilegios y una gestión deficiente de los secretos de la nube, como claves, credenciales de cuenta y contraseñas, de acuerdo con Oracle KPMG Cloud Danger Report 2020.

Imagen: Oracle KPMG Cloud Threat Report 2020



Enlace a la noticia unique