En 2006, Amazon Web Services (AWS), el primer proveedor de nube pública, ofreció servicios disponibles públicamente como Elastic Computer Cloud (EC2) y Simple Storage Services (Amazon S3). Cuatro años después, en 2010, Microsoft lanzó Microsoft Azure (que inicialmente se llamó Azure). Por último, en 2011, Google presentó Google Cloud Platform (GCP), un conjunto de servicios de computación en la nube que se ejecutan en la misma infraestructura que Google utiliza internamente.
Hasta la fecha, estos tres proveedores de nube han dominado el mercado global de la nube, y AWS mantiene su posición como líder del mercado. Las investigaciones muestran que entre 2010 y 2020, el mercado mundial de la computación en la nube aumentó un 535%, de 24.600 millones de dólares a 156.400 millones de dólares, y la popularidad del trabajo remoto se considera uno de los factores clave que impulsan este crecimiento.
Era del trabajo remoto y la computación en la nube
Durante la pandemia de Covid-19, debido a preocupaciones de seguridad y salud pública, muchas organizaciones implementaron planes de trabajo remoto, considerando que era el equilibrio adecuado entre la perturbación social y la destrucción económica de los encierros y restricciones.
Incluso tres años después de la pandemia, el trabajo remoto se ha convertido en una tendencia dominante en el lugar de trabajo moderno. Según WFHResearch, el 12,7% de los empleados a tiempo completo trabajan desde casa. Un 28,2% adicional se ha adaptado al modelo híbrido, que combina tanto el trabajo desde casa como el trabajo en la oficina. De hecho, el 16% de las empresas incluso operan sin oficina física. En 2020, el 61% de las empresas migraron sus cargas de trabajo a la nube, lo que demuestra la importancia de la computación en la nube para facilitar el trabajo remoto.
La pandemia de Covid-19 ha transformado la forma en que operan las empresas y ha alterado el panorama de la seguridad cibernética. La necesidad de una tecnología flexible, accesible y confiable nunca ha sido más pronunciada.
Evolución de las ciberamenazas y defensas
A mediados de los años 90, la ciberseguridad se centraba en la protección física de servidores y comunicaciones. Se consideró que el cifrado era suficiente. Sin embargo, a medida que las redes comenzaron a crecer e Internet explotó a fines de la década de 1990, surgió el concepto de software antivirus, firewalls y sistemas de detección de intrusiones debido al creciente número de malware que explota vulnerabilidades.
En 2000, muchos programas informáticos utilizaron sólo dos dígitos para representar un año de cuatro dígitos, lo que hizo que el año 2000 fuera indistinguible de 1900, lo que potencialmente amenazaba las infraestructuras informáticas en todo el mundo. Esto se conoció como el error Y2K. Al mismo tiempo, en la década de 2000 aumentó significativamente el número de malwares como CryptoWall, ZeuS, NanoCore y Ursnif. Los profesionales de TI mejoraron sus defensas, incluidas prácticas de codificación segura y sistemas de prevención de intrusiones.
Una década después, violaciones de alto perfil por parte de actores de amenazas de estados-nación resaltaron una vez más la importancia de la seguridad cibernética. Por ejemplo, en 2014, Sony Pictures experimentó una importante violación de datos en la que un grupo cibercriminal norcoreano robó 100 terabytes de datos.
Entre las décadas de 2010 y 2020, con el aumento de la popularidad de la computación en la nube (y de los dispositivos de Internet de las cosas (IoT), garantizar la seguridad de estas tecnologías se había convertido en una de las principales prioridades para la mayoría de las organizaciones.
Un dilema moderno
Según el Informe sobre el costo de una filtración de datos de 2023 de IBM, el costo promedio global de una filtración de datos fue de 4,45 millones de dólares, lo que representa un aumento del 15 % en tres años y un aumento del 2,2 % en comparación con 2022. Si se tiene en cuenta el trabajo remoto, el costo promedio de una filtración de datos aumentó en casi 1 millón de dólares. Esto indica que las organizaciones que se han adaptado al trabajo remoto enfrentan costos más altos que aquellas que no lo han hecho.
Dado que el trabajo remoto se está convirtiendo en un aspecto inevitable del lugar de trabajo moderno, la computación en la nube pública surge como una herramienta para facilitar este cambio. En este contexto, los directores de seguridad de la información (CISO) y los profesionales de la seguridad desempeñan un papel fundamental. No solo deben garantizar que estas tecnologías se utilicen de forma segura para evitar la fuga de datos accidental o deliberada, sino también minimizar el impacto para los usuarios. Dada la naturaleza en constante evolución de las amenazas cibernéticas, esta es sin duda una tarea desafiante.
Riesgo interno
Además de los actores de amenazas externos tradicionales, los internos también poseen el mismo o incluso mayor nivel de amenaza. En referencia al Informe sobre amenazas internas 2023 de Cybersecurity Insiders, que encuestó a 326 profesionales de la seguridad cibernética, aquí hay algunas conclusiones clave:
- El 68% de los encuestados están preocupados o muy preocupados por el riesgo interno después de pasar al trabajo remoto e híbrido.
- El 53% de los encuestados cree que se ha vuelto mucho más difícil detectar ataques internos desde que migraron a la nube.
- Los usuarios/administradores de TI privilegiados plantean los mayores riesgos de seguridad para las organizaciones (60%), seguidos por los contratistas/proveedores de servicios/trabajadores temporales/vendedores/proveedores.
Estos resultados indican que el riesgo interno es una preocupación importante que los CISO y los profesionales de seguridad deben abordar. Si bien existen numerosos controles para evitar que actores de amenazas externos accedan a los datos, como hacer cumplir la autenticación multifactor (MFA) y habilitar políticas de acceso condicional, etc., estas medidas pueden no ser suficientes para mitigar el riesgo interno. Sin mecanismos de detección adecuados para amenazas internas, aún puede ocurrir una fuga de datos accidental o deliberada porque estas personas ya tienen acceso a los datos. En mi opinión, pueden representar una amenaza aún mayor.
XDR: detección y respuesta ampliadas
En promedio, a las organizaciones les tomó 10 meses (o 304 días) identificar y reportar una violación de datos. Sin embargo, el informe de IBM indicó que las organizaciones con una solución de detección y respuesta extendida (XDR) redujeron drásticamente el ciclo de violación de datos a 29 días. Entonces la pregunta es ¿qué es XDR?
XDR es la evolución de la detección y respuesta de endpoints (EDR), que va más allá del enfoque tradicional de EDR. No solo ingiere datos de puntos finales, sino también identidad, correo electrónico, carga de trabajo en la nube y más. Luego, utiliza aprendizaje automático (ML) avanzado e inteligencia artificial (IA) para correlacionar y analizar datos en tiempo real para detectar amenazas y anomalías. Si se identifica más de una amenaza, se les dará prioridad por nivel de gravedad, lo que permitirá a los analistas del Centro de operaciones de seguridad (SOC) clasificar e investigar los incidentes de manera oportuna. Con configuraciones relevantes, algunos incidentes también se pueden resolver mediante investigación y respuesta automatizadas (AIR).
Al mismo tiempo, algunas soluciones XDR suelen tener algunas o todas las siguientes capacidades equipadas para minimizar la fuga de datos:
- Prevención de pérdida de datos (DLP) para evitar que se comparta información confidencial fuera de su red, crucial para proteger los datos en la nube pública
- Los agentes de seguridad de acceso a la nube (CASB) actúan como puntos de aplicación de la seguridad que existen entre los usuarios de servicios en la nube y los proveedores de la nube, lo que ayuda a garantizar el uso seguro y compatible de los servicios en la nube.
- Secure Web Gateways (SWG) protege a los usuarios de posibles amenazas en el tráfico web y en la nube, lo que los hace esenciales para operaciones seguras basadas en la nube.
Hay varias soluciones XDR en el mercado, incluidas, entre otras, Microsoft Defender XDR, Palo Alto Network Cortex XDR y Fortinet FortiXDR.
Estas soluciones suenan increíbles, pero al mismo tiempo son costosas y complicadas. Sus implementaciones listas para usar no se utilizan lo suficiente en seguridad.
“En mi experiencia, no existe la suerte”. – Obi-Wan Kenobi, Maestro Jedi
A lo largo de mi carrera, he visto una serie de incidentes incluso si las organizaciones aún experimentaban violaciones de datos, a pesar de que ya habían invertido mucho en herramientas de seguridad. Aunque las configuraciones ya están hechas a medida, la configuración única todavía no es suficiente. También deben recibir mantenimiento en todo momento para garantizar un rendimiento óptimo.
Confianza cero
¿¡Confianza cero!? ¿No se supone que debemos confiar en los usuarios o dispositivos dentro de la red corporativa y en aquellos que están conectados a través de una VPN? No, ya no. La confianza cero es la nueva tendencia. Los usuarios son el vínculo más objetivo y menos protegido de su programa de seguridad.
Este término fue introducido por primera vez por Stephen Marsh en su tesis doctoral sobre seguridad informática en 1994. Más de 20 años después, en 2018, el Instituto Nacional de Tecnología Estándar (NIST) y el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) publicaron NIST SP 800- 207 Zero Trust Architecture, que define la confianza cero como “una colección de conceptos e ideas diseñadas para reducir la incertidumbre al hacer cumplir decisiones precisas de acceso por solicitud en sistemas y servicios de información frente a una red que se considera comprometida”. Un año después, el Centro Nacional de Seguridad Cibernética (NCSC) recomendó a los arquitectos de redes que consideraran el enfoque de confianza cero para las implementaciones de TI, especialmente aquellos que planean utilizar servicios de nube pública.
Los tres principios fundamentales de la confianza cero son:
- Utilice el acceso con privilegios mínimos: al limitar el acceso de los usuarios con controles Just-In-Time (JIT) y Just-Enough-Access (JEA), se minimiza el daño potencial de una cuenta comprometida.
- Verifique explícitamente: nunca se debe asumir la confianza. Cada usuario y cada solicitud de acceso debe autenticarse y autorizarse en función de todos los puntos de datos disponibles. Esto va más allá de simplemente verificar la ubicación o la dirección IP del usuario.
- Suponga una infracción: opere como si su red ya estuviera comprometida. Emplee cifrado de extremo a extremo y utilice análisis para ganar visibilidad, impulsar detecciones basadas en amenazas y mejorar continuamente las defensas.
Adoptar un enfoque de confianza cero puede mejorar significativamente la postura de seguridad de una organización, particularmente cuando utiliza servicios de nube pública.
Pensamientos finales
El auge de los servicios de nube pública y la creciente dependencia del trabajo remoto se ven facilitados por la computación en la nube. Con este cambio, el panorama de la ciberseguridad ha evolucionado y presenta nuevas amenazas y desafíos. Las empresas se enfrentan ahora al dilema de garantizar el uso seguro de la tecnología y al mismo tiempo evitar la fuga de datos. Esta tarea recae en los CISO y los profesionales de la seguridad, quienes también deben considerar los riesgos internos. Se analizan soluciones de seguridad avanzadas como XDR y el concepto de confianza cero. A pesar de la complejidad y la naturaleza cambiante de las amenazas, con la estrategia, las herramientas y la vigilancia constante adecuadas, las empresas pueden aprovechar de forma segura los servicios de nube pública.
Jason Lau es consultor senior de seguridad en la nube en Quorum Cyber.