Más

    Seguridad en la nube: Servicios gestionados, mensajería y FaaS se encuentran en una fase de riesgo

    A medida que aumenta la adopción de servicios de infraestructura administrada, llegan con ellos nuevas áreas de ataque a la nube. Seguridad en la nube: Servicios gestionados, mensajería y FaaS se encuentran en una fase de riesgo.

    Según un nuevo informe de Accurics, el 23% de todas las violaciones de seguridad identificadas se relacionan con ofertas de servicios de gestión mal configuradas.

    El estudio, llamado Informe de Resilencia Cibernética en la nube de Accurics, evaluó violaciones y desviaciones en entornos del mundo real de sus usuarios. También repositorios de código abierto y registros de infraestructura como componentes de código (IaC).

    Seguridad en la nube: Servicios gestionados, mensajería y FaaS se encuentran en una fase de riesgo

    En promedio, la investigación encontró que el tiempo medio para solucionar problemas (MTTR) por infracciones es de 25 días en todos los entornos. Accurics describió esto como «un lujo» para los atacantes potenciales. Para las desviaciones de las posturas de infraestructura segura establecidas, El MTTR es de ocho días de media.

    Este es un punto de diferenciación interesante y uno que muestra que la seguridad debe ser explorada persistentemente. Tomemos como ejemplo el incidente de seguridad Twilio TasTouter JS SDK de julio. En este caso, el bucket de AWS S3 se configuró correctamente cuando se agregó, ya en 2015, un cambio de configuración realizado cinco meses después lo modificó. Esta deriva pasó desapercibida hasta que se explotó el año pasado.

    «La protección de la infraestructura de la nube requiere un enfoque fundamentalmente nuevo que incorpore la seguridad en las primeras etapas del ciclo de vida del desarrollo. Después, debe mantener una postura segura en todo momento». Esto lo señalaba Accurics en su informe. «La infraestructura de la nube se debe monitorizar continuamente en tiempo de ejecución para detectar cambios de configuración y evaluar el riesgo».

    Seguridad en la nube: Servicios gestionados, mensajería y FaaS se encuentran en una fase de riesgo

    «En situaciones en las que el cambio de configuración presenta un riesgo, la infraestructura de la nube debe volver a implementarse en función de la línea de base segura. Esto garantizará que los cambios que entrañen riesgo, realizados de forma accidental o maliciosa se sobrescriban automáticamente».

    ¿Cómo solucionamos el problema?

    Accurics predijo que a medida que los servicios en la nube cambiasen y se desarrollasen, los problemas de seguridad continuarían junto a ellos. Los servicios de mensajería y FaaS se encuentran en una «fase peligrosa de adocpión», según Om Moolchandani, cofundador de Accurics, CTO y CISO. «Si la historia es una guía, esperamos comenzar a ver más infracciones debido a configuraciones inseguras en torno a estos servicios».

    Entonces, ¿Cómo se deben solucionar estos problemas? Accurics argumentó que es una cuestión de educación, conveniencia y comunicación. También es una cuestión de solucionar problemas en todos los lados del negocio. Los depósitos de almacenamiento mal configurados (el 15,3% de las infracciones analizadas) y los secretos codificados (casi el 10% de las infracciones) son evidentemente una responsabilidad de los desarrolladores. El informe también señaló que los requisitos y las políticas no se comunican directamente entre los equipos de seguridad, desarrollo y operaciones.

    De las organizaciones encuestadas, el 10,3% había pagado específicamente por funciones de seguridad avanzadas de proveedores de servicios cloud. Sin embargo, estos no tienen entornos en los que se hayan habilitado o configurado estas funciones. En general, sigue prevaleciendo el uso de configuraciones y roles predeterminados, así como la lucha por implementar entonos con privilegios mínimos.

    Comentarios

    En breve activaremos los comentarios.

    Relacionados

    Más leídos

    Ahorrar en el transporte de mercancías es cuestión de tecnología En España, casi el 10% del precio final de un producto se debe al coste...
    Muchas veces hemos hablado de la computación edge, la tecnología de borde, computación perimetral o, más correctamente, el edge computing. Sin embargo, ¿Qué es...
    Las empresas no podrán unirse a Gaia-X a menos que preparen sus operaciones para que sean compatibles, advierte la firma. HPE lanza un esquema...

    Se habla de..

    Artículos relacionados