Scott Fanning, director de productos cloud en CrowdStrike
La nube es fundamental en la estrategia de negocio de prácticamente cualquier empresa hoy en día. Pero de lo que no siempre somos conscientes es de que también es una parte fundamental de la estrategia de ataque de los ciberdelicuentes.
Por eso, es vital saber cómo piensa un criminal si queremos saber cómo debemos proteger los activos de nuestra organización.
Para actuar como un criminal lo primero que tenemos que hacer es saber quiénes son y qué buscan. Cada vez con más frecuencia, los cibercriminales tienen detrás a poderosos grupos de influencia, muchas veces incluso a gobiernos, con intereses en desestabilizar a una industria, ya sea interrumpiendo las actividades de cualquier parte de la cadena de valor –y aquí entran en juego muchas pymes que creen que no son objetivos interesantes de los delincuentes- o robando datos confidenciales o sensibles. Por eso, uno de sus blancos suele ser la nube.
En un mundo tan rápido como el actual, las aplicaciones cloud nativas son cada vez más populares y muchas empresas las adaptan a sus necesidades sin fijarse en posibles fallos de configuración o de gestión de credenciales y vulnerabilidades que son aprovechadas por los criminales. Los diseñadores, además, son apremiados para entregar rápidamente nuevas apps o funcionalidades y eso juega en contra de la seguridad. Los mismos proveedores de servicios cloud son también objetivo fundamental de los ciberdelincuentes, ya que acceder a sus activos les abre las puertas en muchas ocasiones a miles de clientes desprotegidos.
Por todo ello, la organización debe ser transparente con los equipos de DevSecOps, de forma que puedan saber qué hay instalado en la nube y poner en marcha así plataformas CNAPP que automaticen la gestión y el análisis en tiempo real de cualquier amenaza en entornos cloud. En resumen, los responsables de los equipos de DevSecOps deben tener en cuenta tres aspectos básicos para actuar como ciberdelincuentes y proteger a sus organizaciones:
· Hay que saber en todo momento qué activos existen en la organización. Puede parecer sorprendente, pero en más ocasiones de lo previsible los equipos de TI desconocen qué aplicaciones utilizan los profesionales de la organización, incluso aunque usen datos sensibles. Y no se puede proteger lo que no se ve. Un enfoque tradicional no funciona en entornos cloud. Eso también puede parecer simple, pero llama la atención la cantidad de empresas que no cuenta con estrategias propias para proteger la nube.
· Auditar las configuraciones. Una vez que se conocen los activos utilizados, se deben analizar los posibles problemas de configuración: la mayor parte de las intrusiones se produce por errores humanos en la configuración. Las plataformas cloud se actualizan prácticamente a diario para resolver potenciales vulnerabilidades, por lo que se debe analizar y validar la configuración en tiempo real con soluciones CNAPP que facilitan la labor.
· Detección en tiempo real. Cuando se responde a un ataque, el tiempo es crítico. Según los datos que manejamos en CrowdStrike, un criminal solo necesita 1 hora y 24 minutos para moverse lateralmente por una organización una vez que ha accedido a la infraestructura. Es decir, si la organización se diera cuenta de que ha sido atacada en el mismo momento de sufrirlo, tendría menos de 90 minutos para reaccionar. Por eso, es esencial contar con herramientas automatizadas de detección de amenazas en tiempo real que eliminen falsos positivos y no precisen de grandes recursos, pero que mantengan protegida a la organización.
En definitiva, si somos capaces de pensar como lo haría un ciberdelincuente, estaremos más preparados para proteger a nuestra organización. Pero para ello es fundamental ser transparente con los equipos de DevSecOps para que puedan llevar a cabo sus tareas de prevención y remediación