Necesidad de &#39barandillas&#39 en aplicaciones nativas de la nube …



Con más organizaciones cambiando a servicios en la nube durante la pandemia, los expertos dicen que el proceso tradicionalmente guide de asegurarlos será reemplazado por herramientas automatizadas en 2021 y más allá.

Las consecuencias de seguridad del sprint para configurar las oficinas en el hogar de los empleados en la pandemia de COVID-19 no se debieron solo a los puntos finales vulnerables y las redes domésticas: aún más preocupante fue la adopción apresurada de tecnologías basadas en la nube a medida que avanzaban las oficinas físicas y los centros de operaciones de seguridad. oficinas oscuras y en casa iluminadas.

La infraestructura de TI híbrida física y basada en la nube es serious ahora en muchas organizaciones, alterando el panorama empresarial para 2021 y más allá gracias a COVID-19 que incita a las organizaciones a cambiar a un modelo de trabajo desde casa prácticamente de la noche a la mañana.

Las organizaciones ya habían estado luchando por administrar y asegurar adecuadamente sus infraestructuras de TI físicas, que se habían expandido con dispositivos móviles y de Online de las cosas y corrían el riesgo de exponer los datos corporativos.

Ahora agregue servicios en la nube a la combinación, como el almacenamiento de datos AWS S3, Salesforce, Slack, ServiceNow y otros, y el potencial de puntos ciegos y dispositivos vulnerables se multiplica. La infame ola de incidentes de cubos de almacenamiento de AWS S3 con fugas que comenzó en 2017 y continúa hoy fue solo un indicio de lo que está por venir, dado lo fácil que es estropear inadvertidamente la seguridad de la nube.

El desafío principal es la visibilidad y el manage de lo que se conecta a la purple corporativa, y la nube ha exacerbado una tarea ya turbia y difícil. La mayoría de los servicios basados ​​en la nube de buena reputación vienen con controles de seguridad integrados, pero aún depende del cliente administrar y configurar esos ajustes, y ese es a menudo el problema. Según Gartner, 99% de los contratiempos de seguridad en la nube hasta 2025 estará en manos del cliente. Y eso probablemente dará lugar a fugas y comprometer datos confidenciales.

Están surgiendo varias empresas emergentes y tecnologías para intentar abordar el problema de visibilidad y gestión. DisruptOps, por ejemplo, una creación de los directores de Securosis Prosperous Mogull, Mike Rothman y Adrian Lane, surgió de un proyecto construido por los consultores de seguridad veteranos y recientemente recaudó $ 9 millones en fondos de la Serie A menos de dos años después de su lanzamiento en otoño de 2018. El servicio basado en la nube proporciona lo que los fundadores llaman «medidas de seguridad» que evalúan y hacen cumplir automáticamente las políticas de seguridad en una infraestructura en la nube, incluidos los contratiempos de configuración.

El mes pasado, la startup de seguridad como servicio JupiterOne emergió del sigilo con $ 19 millones en fondos de la Serie A. Su servicio busca y mantiene automáticamente activos y dispositivos físicos y virtuales actualizados en línea en una organización, incluidos los servicios nativos de la nube.

La identificación y gestión de la seguridad de los servicios y activos nativos de la nube ha sido tradicionalmente un trabajo handbook que requería mucho tiempo. Asignar a los ingenieros la tarea de realizar el inventario manualmente y mantener todos los activos de una organización también es costoso, señala Will Gregorian, CISO del servicio de administración de patrimonio Addepar.

«Siempre está (simplemente) poniéndose al día con el programa de gestión de activos», dice.

Addepar recientemente cambió su herramienta de gobierno, gestión de riesgos y cumplimiento (GRC) por el servicio de JupiterOne. Gregorian dice que su empresa ahora puede ejecutar consultas en cuentas de AWS S3 para asegurarse de que estén correctamente bloqueadas y no expuestas en la Web pública, y medir las políticas asignadas a un depósito de almacenamiento.

«Puede ver quién tiene acceso a qué depósito», por ejemplo, dice, así como identificar las claves de acceso que ya no son necesarias y que pueden retirarse.

La configuración incorrecta de la seguridad como servicio (SaaS) o las aplicaciones nativas de la nube es común y se debe principalmente a errores humanos y al hecho de que es casi imposible mantenerse al día manualmente con todas las configuraciones y conexiones potenciales que se ofrecen en estos servicios. Según una nueva encuesta de AppOmni, casi el 60% de las organizaciones en la actualidad auditar manualmente sus aplicaciones basadas en la nube por seguridad y cumplimiento. Además, solo el 31% ejecuta herramientas automatizadas para administrar la configuración y la seguridad de SaaS, mientras que el 10% no tiene ningún proceso para ello.

«Los equipos de seguridad suelen estar tan ocupados reaccionando con ransomware, necesitando parches y reforzando el perímetro» que la gestión de la configuración de SaaS a menudo se deja en manos de las líneas de negocio, que dependen de TI para configurar y administrar las aplicaciones manualmente, señala Brendan O &#39Connor, CEO de AppOmni, que ofrece un servicio que administra la seguridad de las aplicaciones SaaS, incluidas las API y los ajustes de configuración.

A menudo, los equipos de seguridad ni siquiera tienen acceso de inicio de sesión a Salesforce.com u otras aplicaciones utilizadas en una organización, señala. Eso puede llevar a una configuración incorrecta de los controles de seguridad en ServiceNow, Slack y otras aplicaciones basadas en la nube, dice O&#39Connor.

«La visibilidad es el desafío principal», dice, y los equipos de seguridad generalmente no tienen el ancho de banda para dominar completamente todos los detalles de estas aplicaciones o la forma en que las conexiones API con las aplicaciones SaaS funcionan tanto interna como externamente.

Las aplicaciones de SaaS masivas como Salesforce y ServiceNow tienen «cientos de botones e interruptores» que aprender, dice. El servicio de AppOmni encuentra regularmente usuarios con acceso innecesario y con permisos excesivos a estas aplicaciones, dice, y se debe principalmente a errores de configuración o supervisión en lugar de actividad maliciosa.

Aun así, una cuenta que se deja expuesta a la Internet pública está lista para el abuso, especialmente con los ciberdelincuentes que escanean regularmente los sistemas vulnerables que existen.

Kurt John, director de ciberseguridad de Siemens Usa, dice que muchas organizaciones pasaron de trazar un despliegue gradual de la nube a una adopción instantánea en la pandemia que cambió sus planes.

«Con este movimiento acelerado … obviamente necesitan priorizar las operaciones comerciales, y muchas veces eso sucede en detrimento de la seguridad», dice.

Es por eso que las organizaciones necesitan invertir en una gestión suficiente de la configuración y los activos en la nube, señala Richard Stiennon, fundador de IT-Harvest. Stiennon dice que probablemente habrá oleadas de divulgaciones de filtraciones de datos en 2021 a raíz de los ataques de phishing relacionados con COVID-19 este año.

«Me preocupa que el próximo año vuelva a ser todo sobre infracciones», dice Stiennon.

Y dado que alrededor del 96% de las organizaciones en todo el mundo planificar la reubicación de datos confidenciales en la nube En los próximos dos años, según un nuevo estudio de Trustwave, las infracciones podrían volverse aún más feas si las organizaciones no administran y protegen adecuadamente sus servicios en la nube.

Mientras tanto, la rápida adopción de la nube en medio de COVID-19 está acelerando las nuevas tecnologías para ayudar a administrar estas nuevas infraestructuras híbridas: el próximo gran avance para tener la nube bajo command podría ser un modelo de inteligencia synthetic más útil. Keith Neilson, evangelista técnico del proveedor de gobernanza de la nube CloudSphere, dice que en 2021, la IA evolucionará desde solo detectar anomalías, como lo hacen la mayoría de sus iteraciones hoy, hasta alertar a los equipos de seguridad sobre amenazas creíbles.

Kelly Jackson Higgins es la editora ejecutiva de Dark Reading through. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Protected Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first