Los parabienes sobre el advenimiento del cloud computing tienden a exagerar las virtudes y disimular los problemas. Ensalzar las primeras es el papel del marketing, de señalar los segundos se ocupan las encuestas, que invariablemente apuntan a la seguridad como la primera causa de reticencias. Entre ambos extremos está la Cloud Security Alliance (CSA). La naturaleza compartida y el consumo bajo demanda de esta modalidad de servicios TI introduce amenazas de seguridad que pueden debilitar, cuando no eliminar, los beneficios derivados de su uso, advierte la CSA, que desde 2008 promueve las buenas prácticas en la materia entre proveedores y usuarios de lo que el mundo conoce como ´la nube`.
Dado que la CSA es un foro de debate entre las partes involucradas, ha llamado reiteradamente la atención sobre el hecho de que estos servicios permiten a los usuarios sortear las normas de seguridad vigentes (a veces) en sus organizaciones y crear sus propias cuentas para contratar proyectos en la sombra (shadow IT). Es un motivo más que suficiente para postular la necesidad de articular controles. Es lo que hace el último informe que ha publicado este organismo.
Bajo el llamativo título ‘The treacherous 12: cloud computing top threats in 2016″, el informe – que ha sido patrocinado por Hewlett Pachard Enterprise Security – identifica las doce amenazas de seguridad que se ciernen sobre el modelo cloud computing y a las que deberán enfrentarse las organizaciones a lo largo de este año. A modo de resumen (cuasi corolario), Luciano Santos, vicepresidente de investigación en la CSA asegura que “las principales amenazas en la nube son la consecuencia de mediocres procesos de decisión por parte de la alta dirección de las empresas”.
Son problemas que se han señalado con frecuencia, entre otras cosas porque la seguridad también es un negocio. Ninguna advertencia estará de más para combatir la desaprensión. En esta oportunidad, los lectores tienen a continuación un resumen del denso contenido que despliega el informe. Sin las consabidas infografías, con lenguaje directo, sistemático y por momentos grave, estas son las doce borrascas que se esconden tras las nubes .
Brechas de datos. Los entornos cloud se enfrentan a amenazas similares que las redes corporativas tradicionales, pero dada la gran cantidad de datos almacenados en los servidores cloud, los proveedores se convierten en un objetivo atractivo para la ciberdelincuencia. La información personal y financiera es la que consigue los mejores titulares, pero las brechas que implican datos sobre la salud, secretos industriales o propiedad intelectual pueden ser más devastadores, advierte el informe. Los proveedores de servicios normalmente despliegan controles de seguridad para proteger sus entornos, pero la responsabilidad de proteger sus datos recae en las propias organizaciones de los clientes. Por ello, la CSA recomienda en su informe el uso de autentificación multifactor (passwords de un solo uso, identificación basada en teléfono y tarjetas inteligentes) y sistemas de cifrado para protegerse contra las brechas de datos.
Gestión ineficiente de accesos y credenciales. Las brechas de datos y otros ataques provienen de una autentificación laxa, contraseñas débiles y una pobre gestión de los certificados y claves de acceso. Las organizaciones a menudo se mueven con dificultad a la hora de gestionar identidades y asignar los permisos apropiados a cada puesto de trabajo. Y, aunque parezca increíble, con frecuencia olvidan eliminar los accesos de usuario cuando se produce un cambio de función de trabajo o el usuario deja la organización. Muchos desarrolladores cometen el error de embeber credenciales y claves criptográficas en código fuente e incluirlas en repositorios de acceso público tales como GitHub. “Las claves necesitan ser adecuadamente protegidas y alternadas periódicamente y para ello es necesario una infraestructura de clave pública segura”, asegura la CSA. Las organizaciones tienen que sopesar la conveniencia de centralizar las identidades en un único repositorio y el riesgo de que este se convierta en un objetivo valioso para los hackers.
API e interfaces inseguros. Prácticamente cada servicio y aplicación cloud ofrece API. Los equipos de TI utilizan interfaces y API para gestionar e interactuar con los servicios en la nube, ya sean de suministro, gestión o monitorización. La seguridad y disponibilidad de servicios cloud, desde la autentificación y control de acceso al cifrado y monitorización de la actividad, dependen de la seguridad de las API y el riesgo se incrementa cuando terceras partes dependen de las mismas. Interfaces y API débiles exponen a las organizaciones a problemas relacionados con la confidencialidad, integridad y disponibilidad. El informe recomienda “revisiones del código enfocado a seguridad y estrictos test de penetración”.
Vulnerabilidad de sistemas. Las vulnerabilidades de sistemas o los defectos en programas no son una novedad, pero se han convertido en un problema de especial relevancia con el advenimiento de las arquitecturas de tenencia múltiple (multitenancy) en la nube. Las organizaciones comparten memoria, bases de datos y otros recursos creando nuevas superficies de ataque. Afortunadamente, los ataques sobre vulnerabilidades de sistemas pueden reducirse con procesos básicos de TI, asegura la CSA. Las mejores prácticas incluyen escaneado periódico de vulnerabilidades, gestión de parches y seguimiento rápido de las amenazas reportadas.
Según el informe, los costes de reducir las vulnerabilidades de sistemas “son relativamente pequeños en comparación con otros gastos de TI”. El gasto de colocar cada proceso en su lugar para descubrir y reparar vulnerabilidades es pequeño comparado con el riesgo potencial. “Es necesario parchear cuanto antes y, si fuera posible, como parte de un proceso automatizado”, recomienda la CSA.
Robo de cuentas. Las actividades de phishing siguen teniendo éxito y los servicios cloud añaden una nueva dimensión a esta amenaza porque los atacantes pueden interceptar actividades, manipular transacciones y modificar datos. Los atacantes pueden también utilizar las aplicaciones cloud para lanzar nuevos ataques. Las organizaciones deberían prohibir la compartición de credenciales de cuentas entre usuarios, así como implantar esquemas de autentificación multifactor. Las cuentas, incluso las cuentas de servicio, deberían monitorizarse de forma que cada transacción pueda ser rastreada hasta un usuario (propietario) humano. La clave está, en cualquier caso, en proteger el robo de las credenciales de cuenta.
Personal malicioso. La amenaza interna tiene muchas caras: un empleado – actual o anterior – un administrador de sistemas, un contratista o un partner. La agenda maliciosa cubre desde el robo de datos a la venganza. En un escenario cloud, personas malintencionadas pueden destruir infraestructuras completas. Los sistemas cuya seguridad (por ejemplo, el cifrado) depende exclusivamente del proveedor de servicios cloud, están en grave riesgo. El informe recomienda que las organizaciones controlen los procesos y claves, segreguen funciones y minimicen el acceso de los usuarios.
Amenazas persistentes avanzadas. El informe define las amenazas persistentes avanzadas (APT) como formas parasitarias de ataque, que se infiltran en los sistemas para establecer un campamento base desde el cual extraer datos y propiedades intelectuales durante un periodo de tiempo. Normalmente, los proveedores de servicios aplican técnicas eficaces para prevenir que las APT se infiltren en su infraestructura, pero los clientes necesitan ser tan diligentes en la detección de APT en la nube, como lo son en sus propias instalaciones. Los controles de seguridad avanzada, la gestión de procesos, los planes de respuesta a incidentes y la formación del personal TI elevan los presupuestos. Sin embargo, las organizaciones deberían sopesar esos costes contra el potencial daño económico infligido por el éxito de un ataque APT.
Pérdida permanente de datos. Conforme el cloud computing ha madurado, los informes de pérdida permanente de datos debidos a errores del proveedor son cada vez más escasos. Los proveedores de cloud recomiendan aplicaciones y datos distribuidos para aumentar la protección. Sin embargo, la responsabilidad de prevenir la pérdida de datos no radica solo en el proveedor. Si el cliente encripta los datos antes de subirlos a la nube, deberá asumir la responsabilidad de proteger la clave de encriptación. “Una vez que la clave se ha perdido, también se han perdido los datos”, advierte el informe de la CSA.
Diligencia debida. Las organizaciones que adoptan la nube sin un completo conocimiento del entorno pueden encontrar un sinfín de riegos de cumplimiento, legales, técnicos, financieros y comerciales. Por este motivo es importante aplicar procesos exigentes de diligencia debida (due diligence) tanto si la organización está intentando migrar a la nube, como si trabaja con otras en este entorno.
Abusos de los servicios en la nube. Los servicios cloud pueden ser instrumentados para llevar a cabo actividades perversas, tales como utilizar los recursos compartidos para quebrar la clave de cifrado y lanzar un ataque. Otros ejemplos incluyen los ataques de DDoS, envío de spam y correos phishing, así como el alojamiento de contenido malicioso. Los proveedores, por tanto, han de ofrecer a sus clientes herramientas de monitorización de sus entornos cloud. Por su parte, los clientes han de asegurarse de que los proveedores disponen de mecanismos para informar de los abusos, en lugar de ocultarlos «bajo la alfombra».
Ataques de DDoS. “Experimentar un ataque de denegación de servicio es como estar inmerso en un atasco en hora punta; no hay forma de llegar a destino y no queda más que permanecer sentados y esperar a que acabe», afirman las conclusiones del estudio. Los ataques DDoS consumen gran cantidad de capacidad de procesamiento, una factura que el afectado tendrá finalmente que pagar. La CSA advierte que las organizaciones deberían ser conscientes de los ataques a las aplicaciones. Aunque lo recomendable es «tener un plan» para mitigar sus efectos. .
Tecnología compartida, peligros compartidos. Las vulnerabilidades en tecnologías compartidas planea importantes amenazas a la nube. Los proveedores de servicio comparten infraestructura, plataformas y aplicaciones y si una vulnerabilidad emerge en una de estas capas, terminará afectando al resto. Una simple vulnerabilidad o un error en la configuración podría comprometer la nube completa.
En consecuencia, el informe recomienda una estrategia de defensa en profundidad, que incluya autentificación multifactor sobre todos los host, sistemas de detección de intrusión basados en host y en red, la aplicación del concepto de menor privilegio (least privilege), segmentación de red y recursos compartidos de parcheado.
[informe de Lola Sánchez]