Sin poder hay más responsabilidad

19 de mayo de 2022

Por Rodman Ramezanian - Asesor de seguridad de la nube empresarial, Skyhigh Security

Es más que probable que haya oído la frase "un gran poder conlleva una gran responsabilidad". También llamada el "Principio de Peter Parker", esta frase se hizo muy conocida en la cultura popular sobre todo gracias a los cómics y las películas de Spider-Man, donde Peter Parker es el protagonista. La frase es tan conocida hoy en día que de hecho tiene su propio artículo en Wikipedia. La esencia de la frase es que si se le ha dado el poder de hacer un cambio a mejor, tiene la obligación moral de hacerlo.

Sin embargo, lo que he observado al hablar con los clientes sobre la seguridad en la nube, especialmente la seguridad para la Infraestructura como Servicio (IaaS), es un fenómeno que he bautizado como el "Principio de John McClane" -el nombre se ha cambiado para proteger a los inocentes-.

El Principio John McClane ocurre cuando a alguien se le ha dado la responsabilidad de arreglar algo, pero al mismo tiempo no se le ha facultado para hacer los cambios necesarios. A primera vista, este escenario puede sonar absurdo, pero apuesto a que muchos equipos de InfoSec pueden simpatizar con el problema. La conversación es más o menos así:

• CEO a InfoSec: Tienes que asegurarte de que estamos seguros en la nube. No quiero ser el próximo [inserte aquí la última brecha].
• InfoSec a CEO: Sí, así que he mirado cómo estamos utilizando la nube y la gran mayoría de nuestros problemas se deben a la falta de procesos y conocimientos. Tenemos un montón de equipos que están haciendo sus propias cosas en la nube, y no tengo una visibilidad completa de lo que están haciendo.
• CEO a InfoSec: Genial, ve a arreglarlo.
• InfoSec a director general: Bueno, el problema es que no tengo nada que decir sobre esos equipos. Pueden hacer lo que quieran. Para solucionar el problema van a tener que cambiar su forma de utilizar la nube. Tenemos que conseguir el apoyo de los directivos, pero esos directivos me han dicho que no están interesados en cambiar nada porque eso ralentizaría las cosas.
• CEO a InfoSec: Estoy seguro de que lo resolverá. Buena suerte, y será mejor que no tengamos una brecha.

Es entonces cuando "sin poder hay más responsabilidad" suena a verdad.

¿Y por qué? La razón es que la infraestructura como servicio (IaaS) ha cambiado fundamentalmente la forma en que consumimos TI y, junto con ello, la forma en que escalamos la seguridad. Ya no tenemos que presentar solicitudes de compra y pasar por un largo proceso para poner en marcha recursos de infraestructura. Ahora cualquiera con una tarjeta de crédito puede poner en marcha el equivalente a un centro de datos en cuestión de minutos en todo el mundo.

La agilidad, sin embargo, introdujo algunos cambios imprevistos en la InfoSec y, para poder escalar, la seguridad en la nube no puede ser responsabilidad exclusiva de un solo equipo. Más bien, la seguridad en la nube debe estar integrada en el proceso y depende de la colaboración entre desarrollo, arquitectos y operaciones. Estos equipos tienen ahora un papel más importante que desempeñar en la seguridad de la nube y, en muchos casos, son los únicos que pueden aplicar cambios para mejorar la seguridad. InfoSec actúa ahora como sherpas en lugar de guardianes para asegurarse de que todos los equipos marchan al mismo ritmo seguro.

Sin embargo, como John McClane puede decirle, el hecho de que cuantos más equipos tenga ocupándose de la seguridad en la nube no significa necesariamente que tenga una solución mejor. De hecho, tener que coordinarse entre varios equipos con diferentes prioridades puede hacer que la seguridad sea aún más compleja y ralentizarle. De ahí la necesidad de una solución de seguridad racionalizada que facilite la colaboración entre desarrolladores, arquitectos e InfoSec, pero que al mismo tiempo proporcione barandillas, para que nada se escape por las grietas.

Nuestro servicio de seguridad en la nube fue construido especialmente para los clientes que mueven y desarrollan aplicaciones en la nube. Lo llamamos Skyhigh Cloud-Native Application Protection Platform - o simplemente Skyhigh CNAPP, porque todo servicio merece un acrónimo.

¿Qué es Skyhigh CNAPP? Skyhigh CNAPP combina soluciones de Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP) y Application Protection en una única solución. Construimos CNAPP para proporcionar a los equipos de InfoSec una amplia visibilidad de sus aplicaciones nativas de la nube. Para nosotros, el objetivo no era cómo ralentizar las cosas para asegurarnos de que todo es seguro, sino cómo permitir a los equipos de InfoSec la visibilidad y el contexto que necesitan para la seguridad en la nube al tiempo que permiten a los equipos de desarrollo moverse con rapidez.

Permítame describir brevemente las características de Skyhigh CNAPP y enumerar algunas de las funciones favoritas de los clientes.

Gestión de la postura del servicio en la nube (CSPM)

La gran mayoría de las brechas en IaaS hoy en día se deben a una mala configuración del servicio. Gartner dijo famosamente en 2016 que "el 95% de los fallos de seguridad en la nube serán culpa del cliente". En 2019, Gartner actualizó esa cita para decir que "el 99% de los fallos de seguridad en la nube serán culpa de los clientes". Estoy esperando el día en que Gartner diga que "el 105% será culpa del cliente".

¿Por qué es tan alto este porcentaje? Hay múltiples razones, pero escuchamos mucho de nuestros clientes que hay una enorme falta de conocimientos sobre cómo asegurar los nuevos servicios. Cada proveedor de la nube está lanzando nuevos servicios y capacidades a un ritmo vertiginoso y sin bloqueos para su adopción. Por desgracia, la industria no ha seguido el ritmo de disponer de una mano de obra que conozca y comprenda la mejor manera de configurar estos nuevos servicios y capacidades. Skyhigh CNAPP ofrece a los clientes la posibilidad de auditar inmediatamente todos los servicios en la nube y compararlos con las mejores prácticas de seguridad y las normas del sector, como CIS Foundations, PCI, HIPPA y NIST.

Dentro de esa auditoría (nosotros la llamamos incidente de seguridad), Skyhigh CNAPP proporciona información detallada sobre cómo reconfigurar los servicios para mejorar la seguridad, pero el servicio también ofrece la posibilidad de asignar el incidente de seguridad a los equipos de desarrollo con acuerdos de nivel de servicio (SLA) para que no haya ambigüedad sobre a quién pertenece qué y qué hay que cambiar. Todos estos flujos de trabajo pueden automatizarse para que varios equipos estén capacitados casi en tiempo real para encontrar y solucionar problemas.

Además, Skyhigh CNAPP cuenta con una función de políticas personalizadas en la que los clientes pueden crear políticas para identificar las configuraciones erróneas de riesgo exclusivas de sus entornos, así como integraciones con herramientas para desarrolladores como Jenkins, Bitbucket y GitHub que proporcionan información sobre las implantaciones que no cumplen las normas de seguridad.

Plataforma de protección de la carga de trabajo en la nube

Las plataformas IaaS se han convertido en catalizadores del software de código abierto (OSS) como Linux (sistema operativo), Docker (contenedor) y Kubernetes (orquestación). El reto de utilizar estas herramientas es el riesgo inherente de las Vulnerabilidades y Exposiciones Comunes (CVE) que se encuentran en las bibliotecas de software y los errores de configuración en el despliegue de nuevos servicios. Otra cita famosa de Gartner es que "el 70% de los ataques contra contenedores provendrán de vulnerabilidades conocidas y configuraciones erróneas que podrían haberse remediado". Pero, ¿cómo detecta rápidamente el equipo de InfoSec esas vulnerabilidades y configuraciones erróneas, especialmente en entornos efímeros con múltiples equipos de desarrolladores que lanzan frecuentes versiones en los conductos CI/CD?

Skyhigh CNAPP proporciona una protección completa de la carga de trabajo mediante la identificación de todas las instancias de computación, contenedores y servicios de contenedores que se ejecutan en IaaS, al tiempo que identifica las CVE críticas, los errores de configuración en los servicios de contenedores tanto de repositorio como de producción, e introduce algunas nuevas características de protección. Estas características incluyen el listado de aplicaciones permitidas, el endurecimiento del sistema operativo y la supervisión de la integridad de los archivos, con planes para introducir pronto la nanosegmentación y el soporte on-prem.

Favoritos de los clientes

• Exploraciones de DLP dentro del inquilino: muchos de nuestros clientes tienen casos de uso legítimos para servicios de almacenamiento en la nube expuestos públicamente (a veces denominados buckets), pero al mismo tiempo necesitan asegurarse de que esos buckets no contienen datos sensibles. El reto de utilizar DLP para estos servicios es que muchas soluciones disponibles en el mercado copian los datos en el propio entorno del proveedor. Esto aumenta los costes del cliente con los cargos de salida y también introduce retos de seguridad con el tránsito de datos. CNAPP permite a los clientes realizar exploraciones DLP in-tenant en las que los datos nunca salen del entorno IaaS, lo que hace que el proceso sea más seguro y menos costoso.
• Marco ATT&CK de MITRE para la nube: el lenguaje de los Centros de Operaciones de Seguridad (SOC) es MITRE, pero hay muchos matices en cómo encajan los incidentes de seguridad de la nube en este marco. Con Skyhigh CNAPP construimos un proceso integral que mapea todos los incidentes de seguridad de los CSPM y CWPP a MITRE. Ahora los equipos de InfoSec y de desarrolladores pueden trabajar juntos de forma más eficaz al categorizar automáticamente cada incidente de la nube en MITRE, lo que facilita respuestas más rápidas y una mejor colaboración.
• Seguridad unificada de aplicaciones: CNAPP está construido sobre la misma plataforma que nuestro servicio MVISION Cloud, líder de Gartner Magic Quadrant para Cloud Access Security Broker (CASB). Ahora los clientes pueden obtener visibilidad detallada y control de seguridad sobre sus aplicaciones SaaS junto con las aplicaciones que están construyendo en IaaS con la misma solución. A nuestros clientes les encanta disponer de una consola que proporciona una imagen holística del riesgo de las aplicaciones en todos los equipos: SaaS para los consumidores e IaaS para los constructores.

Hay muchas más características que me encantaría destacar, pero en su lugar le invito a que compruebe la solución por sí mismo. Visite https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html para obtener más información sobre nuestro lanzamiento o solicite una demostración en https://www.skyhighsecurity.com/forms/demo-request-form.html. Nos encantaría recibir sus comentarios y saber cómo Skyhigh CNAPP puede ayudarle a ser más competente y responsable en la nube.