No tiene que renunciar a sus joyas de la corona con la esperanza de una mejor seguridad en la nube


Si eres como yo, te encantará una buena película de atracos. Películas como El trabajo italiano, Comienzo, y Ocean&#39s 11 son fascinantes, pero fuera del cine, este tipo de atracos ya no ocurren, ¿verdad? Piensa otra vez. En 2019, el Museo Green Vault en Dresde, Alemania, informó de un robo de una joya digno de su propia película.

El 25 de noviembre de 2019 a las 4 a.m., la Purple Clan de Berlín inició un incendio que destruyó la caja de energía del museo, desactivando algunos de los sistemas de alarma. Luego, el clan cortó las barras de hierro y entró en la bóveda. Las imágenes de las cámaras de seguridad publicadas en línea muestran a dos sospechosos entrando a la habitación con linternas, a través de un piso de baldosas blancas y negras. Después de agarrar 37 juegos de joyas robadas en un par de minutos, los ladrones salieron por la misma ventana, reemplazando las barras para retrasar la detección. Luego huyeron en un automóvil que luego fue encontrado incendiado.(1)

Desde entonces, ha habido numerosas redadas policiales y un par de arrestos, pero todavía se está llevando a cabo una persecución internacional y no se ha recuperado ninguna de las joyas robadas. Lo peor es que el museo no aseguró las joyas, lo que resultó en una pérdida de 1.200 millones de dólares. Una vez más, esta es una historia madura para Hollywood.

Aunque es posible que no leamos sobre robos de joyas como este todos los días, vemos titulares diarios sobre violaciones de seguridad que provocan que las empresas pierdan sus propias joyas de la corona: los datos de los clientes. De hecho, el concepto de proteger las joyas de la corona es tan conocido en la industria de la ciberseguridad que MITRE ha creado un proceso llamado Análisis de las joyas de la corona (CJA), que ayuda a las organizaciones a identificar los activos cibernéticos más importantes y crear procesos de mitigación para proteger esos activos.(2) Hoy en día, los datos confidenciales expuestos se han convertido en sinónimo de violaciones de almacenamiento en la nube y no hay escasez de víctimas.

Para ser justos, todas estas brechas tienen un factor en común: el elemento humano a cargo de administrar el almacenamiento en la nube está mal configurado o no habilitó la configuración correcta. Sin embargo, al mismo tiempo, no siempre podemos culpar a las personas cuando falla la seguridad. Si los ladrones pueden acceder tan fácilmente a múltiples joyas de la corona una y otra vez, no puede seguir culpando a los guardias de seguridad. Algo anda mal con el sistema.

Algunas de las empresas nativas de la nube más versadas como Netflix, Twilio y Uber han sufrido violaciones de seguridad con datos confidenciales almacenados en el almacenamiento en la nube.(3) Esto ha llegado al punto de que en 2020, el Informe de violación de datos de Verizon enumeró los errores como la segunda causa más importante de violaciones de datos debido «en gran parte, asociado con el almacenamiento expuesto a Online».(4)

Entonces, ¿por qué es tan difícil asegurar los servicios de almacenamiento en la nube? ¿Por qué tantas empresas diferentes luchan con este concepto? Cuando hablamos con nuestros clientes y les preguntamos qué hace que la protección de datos confidenciales en la nube sea tan desafiante, muchos simplemente no saben si tenían datos confidenciales en la nube o tienen dificultades para manejar los innumerables permisos y anulaciones disponibles para cada servicio.(5) La mayoría de ellos ha adoptado el enfoque de que alguien, ya sea un empleado interno, un contratista externo o un socio tecnológico, eventualmente fallará al establecer los permisos correctos para sus datos, y necesita una solución que verifique continuamente datos confidenciales y evitar que se acceda a ellos independientemente de la ubicación o los permisos de nivel de servicio.

Ingrese en Cloud Native Software Defense Platform (CNAPP). El mes pasado, nuestro nuevo servicio CNAPP dedicado a proteger la infraestructura de la nube híbrida y las aplicaciones nativas de la nube estuvo disponible de forma generalizada. Uno de los pilares fundamentales detrás de CNAPP son las aplicaciones y los datos, lo que significa que, junto con Cloud Stability Posture Administration (CSPM) y Cloud Workload Safety System (CWPP), CNAPP proporciona un servicio cohesivo de prevención de pérdida de datos (DLP).

Figura 1: Pilares CNAPP

Normalmente, la forma en que los proveedores de seguridad realizan análisis de DLP para el almacenamiento en la nube es copiando los datos del cliente en su plataforma. Hacen esto porque para buscar datos confidenciales, el proveedor necesita acceder a sus datos desde una plataforma que pueda ejecutar su motor DLP. Sin embargo, esta solución presenta algunos desafíos:

  • Costos: copiar objetos de almacenamiento significa que los clientes incurren en cargos por cada little bit de datos que pasa por el cable, que incluyen, entre otros, cargos por solicitudes, cargos por salida y cargos por transferencia de datos. Para algunos clientes, estos cargos son lo suficientemente importantes cuando tienen que elegir qué objetos escanear en lugar de proteger todo su almacén de datos en la nube.
  • Carga operativa: los clientes que no se sienten cómodos enviando los datos a través de la Web pública tienen que crear túneles o conexiones directas a las soluciones de los proveedores. Esto significa una sobrecarga adicional, cambios en la arquitectura y, a veces, retroceso de grandes cantidades de datos a través de esas conexiones.
  • Derrota el propósito de DLP: esta fue una lección aprendida de nuestro escaneo MVISION Cloud DLP para algunos clientes, realizar escaneos DLP a través de conexiones de purple period conveniente, pero para otros clientes representaba un gran riesgo de seguridad. Esencialmente, estas soluciones requieren que los clientes entreguen sus joyas de la corona para determinar si esos datos tienen las joyas de la corona. Al closing, llegamos a la conclusión de que los datos deberían ser locales, pero las políticas de DLP deberían ser globales.

Aquí es donde se nos ocurrió el concepto de escaneo DLP in-tenant. El escaneo de DLP en inquilinos funciona mediante el lanzamiento de una pequeña pila de program dentro de la cuenta de AWS, Azure o GCP de los clientes. La pila es un microservicio sin cabeza (llamado Micro Point of Presence o Micro PoP) que impulsa las políticas de protección de la carga de trabajo a los servicios de computación y almacenamiento. El Micro PoP se conecta a la consola CNAPP con fines de administración, pero permite a los clientes realizar escaneos DLP locales dentro de cada segmento de red digital utilizando acceso directo. Ningún dato del cliente sale del inquilino del cliente.

Figura 2: Escaneo DLP en inquilino

Los clientes también pueden optar por conectar varios segmentos de crimson virtual a un solo Micro PoP utilizando servicios como AWS PrivateLink si desean consolidar los escaneos DLP para múltiples buckets de S3. No hay límite de capacidad ni limitación de licencia para la cantidad de Micro PoP que los clientes pueden implementar. CNAPP admite hoy el escaneo de DLP in-tenant para Amazon S3, Azure Blob y GCP, y próximamente el almacenamiento regional. Por último, los clientes no tienen que elegir y elegir solo un modelo de implementación: pueden utilizar nuestros análisis DLP tradicionales (llamados análisis de API) a través de conexiones de purple o seleccionar nuestros análisis DLP internos para cargas de trabajo más sensibles.

El escaneo DLP en inquilinos es solo una de las muchas funciones innovadoras que hemos lanzado con CNAPP. Te invito a que compruebes la solución por ti mismo. Visita https://mcafee.com/CNAPP para obtener más información o solicitar una demostración en https://mcafee.com/demo. Nos encantaría recibir sus comentarios y ver cómo MVISION CNAPP puede ayudar a su empresa a mantenerse fuera de los titulares y asegurarse de que sus joyas de la corona estén justo donde deberían estar.

Descargo de responsabilidad: esta publicación de blog site contiene información sobre productos, servicios y / o procesos en desarrollo. Toda la información proporcionada aquí está sujeta a cambios sin previo aviso a la entera discreción de McAfee. Póngase en contacto con su representante de McAfee para obtener el pronóstico, el cronograma, las especificaciones y las hojas de ruta más recientes.

(1) https://www.dw.com/en/germanys-heist-that-shocked-the-museum-world-the-green-vault-theft/a-55702898

(2) https://www.mitre.org/publications/units-engineering-tutorial/enterprise-engineering/methods-engineering-for-mission-assurance/crown-jewels-evaluation

(3) https://www.darkreading.com/cloud/twilio-stability-incident-exhibits-threat-of-misconfigured-s3-buckets/d/d-id/1338447

(4) https://enterprise.verizon.com/sources/experiences/dbir/

(5) https://www.upguard.com/blog site/s3-security-is-flawed-by-design





Enlace a la noticia authentic