Los incentivos desalineados para la seguridad en la nube


Los incentivos desalineados para la seguridad en la nube

Rusia Campaña de ciberespionaje Sunburst, descubierto a fines del año pasado, afectó a más de 100 grandes empresas y agencias federales de EE. UU., incluidos los departamentos del Tesoro, Energía, Justicia y Seguridad Nacional. Una parte critical del éxito de los rusos fue su capacidad para moverse a través de estas organizaciones comprometer los sistemas de identidad en la nube y en la purple community para luego acceder a cuentas en la nube y robar correos electrónicos y archivos.

Hackers dijeron por el gobierno de Estados Unidos que habían estado trabajando para el Kremlin dirigido un servicio en la nube de Microsoft ampliamente utilizado que sincroniza las identidades de los usuarios. Los hackers robó certificados de seguridad a crear sus propias identidades, lo que les permitió derivación salvaguardas como la autenticación multifactor y obtener acceso a las cuentas de Business office 365, impactando a miles de usuarios en las empresas y agencias gubernamentales afectadas.

No period la primera vez que los servicios en la nube eran el foco de un ciberataque, y ciertamente no será la última. Las debilidades de la nube también fueron crítico en una infracción de 2019 en Capital uno. Allí, una vulnerabilidad en la nube de Amazon Website Solutions, compuesto por el propio Cash A single lucha configurar correctamente un servicio en la nube complejo, condujo a la divulgación de decenas de millones de registros de clientes, incluidas las solicitudes de tarjetas de crédito, números de seguro social e información de cuentas bancarias.

Esto tendencia de ataques en los servicios en la nube por parte de delincuentes, piratas informáticos y estados nacionales es creciente a medida que la computación en la nube asume el regulate mundial como modelo predeterminado para las tecnologías de la información. La filtración de datos es bastante mala, pero la interrupción de la nube, incluso una interrupción en un solo proveedor, podría costar rápidamente a la economía world wide miles de millones de dólares al día.

La computación en la nube es una fuente importante de riesgo tanto porque ha suplantado rápidamente a la TI tradicional como porque concentra la propiedad de las opciones de diseño en un número muy reducido de empresas. Primero, la nube es cada vez más el modo predeterminado de computación para las organizaciones, lo que significa que cada vez más usuarios y datos críticos de las agencias nacionales de inteligencia y defensa utilizan estas tecnologías. En segundo lugar, los servicios de computación en la nube, especialmente los suministrados por los cuatro proveedores más grandes del mundo, Amazon, Microsoft, Alibaba y Google, concentran las opciones clave de diseño de tecnología y seguridad dentro de una pequeña cantidad de organizaciones. Las consecuencias de las malas decisiones o las compensaciones mal hechas pueden escalar rápidamente a cientos de millones de usuarios.

La nube está en todas partes. Algunas empresas en la nube brindan application como servicio, respaldan su hábito de Netflix o llevan sus chats de Slack. Otros proporcionan infraestructura informática como bases de datos comerciales y espacio de almacenamiento. Las empresas de nube más grandes ofrecen ambos.

La nube se puede implementar de varias formas diferentes, cada una de las cuales cambia el equilibrio de responsabilidad por la seguridad de esta tecnología. Pero el proveedor de la nube juega un papel importante en todos los casos. Decisiones que toma el proveedor sobre cómo se diseñan, construyen e implementan estas tecnologías influir en la seguridad del usuario – sin embargo, el usuario tiene muy poca influencia sobre ellos. Entonces, si Google o Amazon tienen una vulnerabilidad en sus servidores, que es poco possible que conozca y sobre la que no tenga management, sufre las consecuencias.

El problema es económico. A primera vista, podría parecer que la competencia entre las empresas de la nube les da un incentivo para invertir en la seguridad de sus usuarios. Pero varias fallas del mercado estorbar de ese ideal. En primer lugar, la seguridad es en gran medida una externalidad para estas empresas de la nube, porque las pérdidas debidas a las filtraciones de datos son asumidas en gran medida por sus usuarios. Siempre que un proveedor de la nube no pierda clientes en masa, lo que generalmente no sucede después de un incidente de seguridad, está incentivado a invertir menos en seguridad. Adicionalmente, muestra de datos que los inversores tampoco castigan a las empresas de servicios en la nube: las caídas de los precios de las acciones después de una violación de la seguridad pública son pequeñas y temporales.

En segundo lugar, la información pública sobre la seguridad en la nube generalmente no comparte las compensaciones de diseño involucradas en la construcción de estos servicios en la nube ni brinda mucha transparencia sobre los riesgos resultantes. Si bien las empresas en la nube tienen que divulgar públicamente una gran cantidad de información operativa y de diseño de seguridad, a los consumidores les puede resultar imposible comprender qué amenazas están teniendo en cuenta los servicios en la nube y cómo. Esta falta de comprensión dificulta la evaluación de la seguridad normal de un servicio en la nube. Como resultado, los clientes y usuarios no pueden diferenciar entre servicios seguros e inseguros, por lo que no basan sus decisiones de compra y uso en ellos.

En tercer lugar, la ciberseguridad es compleja e incluso más compleja cuando se trata de la nube. Para un cliente como una empresa o agencia gubernamental, las dependencias de seguridad de varios sistemas y servicios de purple en la nube y locales pueden ser sutiles y difíciles de trazar. Esto significa que los usuarios no pueden evaluar adecuadamente la seguridad de los servicios en la nube o cómo interactuarán con sus propias redes. Este es un clásico «mercado de limones» en economía, y el resultado es que los proveedores de nube brindan niveles variables de seguridad, como lo documentaron Dan Geer, director de seguridad de la información de In-Q-Tel, y Wade Baker, profesor de la Facultad de Negocios de Virginia Tech, cuando analizaron la prevalencia de la seguridad severa hallazgos en los 10 principales proveedores de servicios en la nube. Sin embargo, la mayoría de los consumidores no se dan cuenta.

El resultado es una falla del mercado en la que los proveedores de servicios en la nube no compiten para brindar la mejor seguridad para sus clientes y usuarios al menor costo. En cambio, las empresas de la nube se arriesgan a que no sean pirateadas, y la experiencia pasada les dice que pueden capear la tormenta si lo hacen. Este tipo de toma de decisiones y establecimiento de prioridades tiene lugar a nivel ejecutivo, por supuesto, y no refleja la dedicación y la habilidad técnica de los ingenieros de producto y los especialistas en seguridad. Sin embargo, el efecto de esta inversión insuficiente es pernicioso al acumular riesgos que en gran medida están ocultos a los usuarios. La adopción generalizada de la computación en la nube conlleva ese riesgo a la crimson de una organización, a sus clientes y usuarios y, a su vez, a World-wide-web en typical.

Esta agregación de riesgo de ciberseguridad crea un desafío para la seguridad nacional. Responsables políticos poder ayudar Aborde el desafío estableciendo expectativas claras para la seguridad de los servicios en la nube, y para tomar decisiones y diseñar compensaciones sobre esa seguridad de manera transparente. La administración de Biden, incluido el recién nombrado director cibernético nacional Chris Inglis, debe liderar un esfuerzo interinstitucional para trabajar con los proveedores de la nube para revisar sus modelos de amenazas y evaluar la arquitectura de seguridad de sus diversas ofertas. Este esfuerzo para exigir una mayor transparencia de los proveedores de la nube y ejercer un mayor escrutinio de sus esfuerzos de ingeniería de seguridad debería ir acompañado de un impulso para modernizar las regulaciones de ciberseguridad para la period de la nube.

El Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP), que es el principal programa del gobierno de EE. UU. Para evaluar el riesgo de los servicios en la nube y autorizar su uso por agencias gubernamentales, sería un vehículo principal para estos esfuerzos. Una orden ejecutiva reciente describe varios pasos para que FedRAMP sea más rápido y con mayor capacidad de respuesta. Pero el programa todavía se centra principalmente en la seguridad de los servicios individuales en lugar de las opciones arquitectónicas más profundas y los modelos de amenazas de los proveedores de la nube. La acción del Congreso debe reforzar y extender la orden ejecutiva agregando nuevas obligaciones para que los proveedores brinden transparencia sobre las compensaciones de diseño, los modelos de amenazas y los riesgos resultantes. Estos cambios podrían ayudar a transformar FedRAMP en una herramienta más eficaz de gobernanza de la seguridad, incluso cuando se vuelve más rápida y eficiente.

Los proveedores de la nube se han convertido en una importante infraestructura nacional. Desde el apogeo de la period del mainframe entre la década de 1960 y principios de la de 1980, el mundo no ha sido testigo de sistemas informáticos de tal complejidad utilizados por tantos pero diseñados y creados por tan pocos. La seguridad de esta infraestructura exige una mayor transparencia y responsabilidad pública, aunque solo sea para compensar las consecuencias de su fracaso.

Este ensayo fue escrito con Trey Herr, y aparecido previamente en La política exterior.

Publicado el 28 de mayo de 2021 a las 6:20 a. M. •
comentarios



Enlace a la noticia authentic