Más de la mitad de las organizaciones participantes en el estudio The State of Cloud-Native Security destina más de 10 millones de dólares anuales al pago de servicios cloud. Más que esta cifra, del documento patrocinado por Palo Alto Networks impresiona otra: el 83% de esas mismas empresas consideran el gasto de seguridad como “una carga”. No barrunta nada bueno que el 84% de los individuos entrevistados declare – se intuye que con incomodidad – que las reglas vigentes suelen retrasar la puesta en marcha de los procesos de TI. Y que el 79% de la misma muestra admita que la mayoría de sus empleados no sabría explicar correctamente la políticas de seguridad que aplica su empleador.
Como se verá en adelante, la tan celebrada adopción de la inteligencia artificial generativa no ayuda a simplificar (todavía) el panorama. Del color de cristal con que se mire la AIGen, este escenario resultaría desolador o, echándole buena voluntad, como un hito en el camino correcto.
Antes de continuar, un breve apunte metodológico. El estudio está basado en 2.800 entrevistas a ejecutivos de los departamentos TI en empresas de diez países en cuatro continentes [en Europa, sólo Reino Unido, Francia y Alemania]. La encuesta se hizo entre diciembre de 2023 y enero de 2024.
Como muestra de la dimensión del mercado de que trata, el estudio detalla cómo, a la cabeza de los país que más gastan en servicios cloud, destacan Singapur, Australia, México y Estados Unidos con números superiores a los 10 millones de dólares por año en el 77% o más de sus compañías encuestadas. Mientras, en Europa, tres países tira del carro: Reino Unido (69%), Francia (65%) y Alemania (64%). Otros países ganan terreno, pero a pesar de su importancia, las empresas de Brasil, India y Japón – con extensos tejidos de firmas medianas – no se acercan a esos porcentajes.
Como patrón general, las conclusiones indican que, a medida que las empresas ganan madurez en su salto al modelo cloud, le destinan unas partidas presupuestarias superiores. El estudio de Palo Alto Networks – elaborado en colaboración con Wakefield Researc – incorpora un ranking de madurez a sus conclusiones. Australia y Singapur lo encabezan, ambas con un 26%, perseguidas de cerca por Estados Unidos (24%), mientras que Francia y Alemania se quedan en 17% y 14% respectivamente.
Este concepto de madurez, a priori comprensible, no es lineal sin embargo, porque impide una adaptación, aprendizaje y transformación continuos, afinando las decisiones estratégicas y afrontando cambios culturales inevitables. En el 35% de los casos, el salto a la nube opta por un rehost, migración de componentes de las aplicaciones pasándola a la infraestructura cloud sin tocar código (lift and shift). Otras veces, el salto no es tan sencillo: en un 31% se requiere un refactoring de las aplicaciones para adecuarlas al nuevo mundo, optimizando el código existente para tratar de reducir al máximo la deuda técnica. Tanto es así que muchas veces el primer enfoque termina evolucionando hacia el segundo.
La adecuación de las aplicaciones heredadas puede llegar a absorber hasta el 30% del coste total de la transición. De hecho, el 67% de las compañías gastan entre un 10% y un 30% de su TCO cloud en la modernización de estas aplicaciones y un 24% de aquellas supera ese porcentaje. Este es, al parecer, uno de los grandes retos de pasarse a la nube: no planificar de antemano qué aplicaciones podrán migrarse sin más y en cuáles será imperativo sumergirse en su código, podría dar al traste con muchos proyectos que parecían viables.
En el ámbito de la seguridad, que es el que toca de cerca a Palo Alto, el estudio revela que las compañías cuentan con una media de dieciséis herramientas relacionadas con el paso a la nube. Como es imaginable, al 98% de los encuestados les gustaría reducirlas. Algo similar ocurre con los catorce fabricantes con los que trabajan (valor medio) y que el mismo porcentaje quisiera fueran menos. Deseos aparte, lo cierto es que, lejos de reducir la complejidad, las empresas la van aumentando y el número de soluciones de seguridad que implantan se ha disparado un 60% en los últimos años.
Esto conduce una casi unanimidad (93%) que dice estar de acuerdo en que su organización se beneficiaría de una solución que ayudara a encontrar automáticamente fallos de seguridad en la nube y en tal caso relacionarlos con el potencial de ataque. La automatización se perfila como una necesidad imperiosa para una inmensa mayoría de las compañías que han respondido la encuesta: el 94% reclama soluciones centralizadas para todas las nubes y servicios que han de gestionar.
Sólo en Estados Unidos y en lo que a unas cuantas nubes públicas se refiere (que absorben el 52% del total de las cargas de trabajo cloud), la media de proveedores SaaS, IaaS y PaaS por organización alcanza la docena, mientras que en América Latina son nueve. Este incremento gradual del número de proveedores termina por impactar en las estrategias de seguridad, hasta suponer un serio reto para más de la mitad de las compañías a la hora de combinar políticas, controles de acceso, medidas de protección de datos, etcétera.
Por si esto no fuera poco, la propia arquitectura cloud incorpora una nueva capa de complejidad al entorno, con cargas de trabajo distribuyéndose entre máquinas virtuales (21%), contenedores autogestionados (21%) o entornos serverless (20%), entre otros. Los escenarios híbridos obligan a una mayor portabilidad y granularidad y a tener que cubrir una mayor superficie de ataque que exige un enfoque diferente a la seguridad con información procesable, monitorización y respuesta de incidentes.
De esta manera, no sorprende que los CISOs prefieran centrarse en los ciclos de vida completos de las aplicaciones, más que en las amenazas en sí, reclamando en un 93% de las respuestas que la seguridad en la nube y de las aplicaciones esté integrada con la seguridad en red más convencional, que bien o mal es conocida.
En este escenario, la mayor preocupación de los responsables de seguridad es la tendencia del código generado por Inteligencia Artificial que, si no ha contado con la debida supervisión humana, puede esconder fallos desconocidos. Los ataques que oportunistamente se valen de estas vulnerabilidades preocupan al 44% de los encuestados, si bien es cierto que la velocidad a la hora de adoptar la IA es muy dispar, aunque la mitad ya la utiliza de manera intensiva para generar y optimizar código.
Le sigue muy de cerca el boom de API de interoperabilidad entre aplicaciones que ha tenido lugar en los últimos años y que, para el 43% de la muestra, puede comprometer información confidencial y datos sensibles. La tercera gran preocupación, para un relevante 38% de las organizaciones, son los ataques impulsados por la IA, cada vez más sofisticados e impredecibles. Hasta un 43% cree que estas nuevas amenazas van a generalizarse y ser capaces de eludir las técnicas tradicionales de detección, con deepfakes, phishing personalizado o ingeniería social muy dirigida a la cadena de suministro (47%).
Completan la lista de preocupaciones enunciadas la gestión de los accesos en los entornos cloud, que para un 35% son un auténtico quebradero de cabeza. Por otro lado, el proceso de integración continua/implementación continua (CI/CD) y su consiguiente impacto en la superficie de ataque preocupa al 34% de los encuestados.
Las dos últimas grandes preocupaciones se refieren a las propias amenazas internas (32%), con especial hincapié en los diferentes actores de la cadena de valor (partners, proveedores y, por supuesto, empleados) y en los activos desconocidos y no gestionados en la nube, algo que inquieta al 29% por el agujero de seguridad que pudiera representar.
El informe de Palo Alto Networks aporta un fundamento a estas preocupaciones al enumerar las incidencias de seguridad que más se registran, siendo las brechas de seguridad, los incumplimientos de las normativas y las caídas por errores de configuración las que más costes traen asociados. A la cabeza y de manera destacada entre estos varios contratiempos, figuran las brechas de seguridad, habiendo crecido un 64% en los últimos doce meses. El incumplimiento del compliance y las API inseguras ocupan el segundo y tercer lugar con incrementos del 48% y 46%, respectivamente.
Curiosamente, a la cola de este crecimiento de incidencias en el último año se encuentra la fuga de datos, con un 34%, a pesar de que el 98% de las compañías reparte sus datos entre la nube pública (22%), las infraestructuras on-premise (23%), las nubes privadas (19%), aplicaciones SaaS (19%), o, incluso, en endpoints (17%).
Esta dispersión de la información añade aún más complejidad para los CISOs y dos de cada tres (64%) consideran que las brechas de datos se han incrementado.
En todo caso, las organizaciones parecen coincidir a la hora de señalar un marcado incremento de las amenazas persistentes avanzadas (APT), cada vez más sofisticadas y capaces de pasar inadvertidas durante largos periodos de tiempo. Dado que estas APT suelen explotar vulnerabilidades zero-day y utilizar tácticas de ingeniería social, lo más recomendable es adoptar un enfoque proactivo más que reactivo, tratando de anticiparse a los ataques, maximizando la monitorización y la gestión de identidades.
En este contexto, prolijamente expuesto, el estudio de Palo Alto Networks es todo un llamamiento a una planificación concienzuda antes de acometer el salto a la nube, puesto que el 71% de las compañías son conscientes de que los despliegues precipitados derivan en vulnerabilidades de seguridad. Esta es la causa por la que el 53% subraya la importancia de definir un marco de gobernanza para la gestión de los recursos cloud, estableciendo claramente los roles, las políticas y los procesos.
Además, a la hora de modernizar las aplicaciones heredadas, el 50% recomienda adoptar un refactoring, lo que implica adaptar el código al rendimiento, escalabilidad y demás funcionalidades propias de la nube, dándoles esa pátina nativa que mejore su desempeño cloud. Esto resulta particularmente interesante, dado que uno de cada tres de los encuestados atribuye a las aplicaciones legacy su lentitud a la hora de resolver fallos de seguridad.
Considerando el amplio ecosistema de proveedores y soluciones, es significativo que el 48% de las compañías destaque la necesidad de no escatimar tiempo en la prospección, puesto que del acierto en esta elección puede depender el éxito o el fracaso de la migración, ya sea por una cuestión de rendimiento o, incluso, de costes. No es para menos, puesto que el 40% de las compañías admite sus retrasos en la resolución de vulnerabilidades por no contar con las herramientas adecuadas. Hasta un 91% cree que los puntos ciegos que se generan les impiden priorizar los riesgos y prevenir las amenazas.
Asimismo, la mitad de la muestra coincide en aconsejar priorizar la seguridad y el cumplimiento normativo desde el comienzo de la migración cloud, evitando así posteriores quebraderos de cabeza. Con todo y como se apuntaba al principio de este post, el factor humano parece jugar un papel esencial en el estado de la seguridad cloud actual. Un inquietante 92% de las organizaciones atribuye a la descoordinación entre las áreas de DevOps y SecOps las ineficiencias que se producen en el desarrollo y despliegue de proyectos cloud. Sería oportuno tomar buena nota antes de distraerse con la rutina.
El planteamiento extendido de convertir a los equipos de desarrollo en solucionadores de tickets de incidencias de seguridad en la nube hace que éstos terminen acumulándose, se dilaten en el tiempo y las vulnerabilidades permanezcan, por no hablar del estrés que provoca en el equipo. De hecho, la tasa de rotación entre los desarrolladores es cada vez más elevada, en parte por este motivo. Mientras el 91% dice que los desarrolladores necesitan producir código más seguro, el 86% percibe la seguridad como un factor de bloqueo que obstaculiza las versiones de software.
Es una bomba de relojería. Pero, contrastando con esta visión a priori negativa, aparece con fuerza el interés que despierta la IA. Para este año, prácticamente todas las compañías (99%) afirman que van a definir políticas y garantizar que el acceso a modelos de IA y servicios se otorgue según la necesidad entre los diferentes actores de su cadena de suministro.
No sólo eso, sino que el 98% de las organizaciones plantea crear un inventario de modelos de IA y de las aplicaciones asistidas por IA generativa (GenAI por su acrónimo en inglés) que han implementado. Atendiendo al escenario descrito, Palo Alto Networks cierra el estudio de este año con una serie de recomendaciones entre las que figura la apuesta por una plataforma de gestión de seguridad centralizada, capaz de proporcionar una visión holística de estos entornos cloud complejos. De este modo, tanto las labores predictivas como de resolución de incidencias se verán notablemente mejoradas. En cuanto a la IA, la compañía llama a extremar la precaución dados los riesgos señalados de vulnerabilidades y errores de configuración, no sólo propios, sino en terceros de la cadena de suministro.
Adoptar una estrategia de seguridad que priorice la protección de los datos más sensibles, independientemente de dónde estén almacenados, es otra de las recomendaciones, incorporando encriptación, controles de acceso y monitorización de comportamientos anómalos. La sugerencia de Palo Alto Networks pasa por invertir en una solución automatizada de descubrimiento y clasificación de datos, con soluciones de detección y respuesta de datos (DDR) que escaneen grandes volúmenes de datos de manera rápida y precisa, incluidos los no estructurados.
Ante el reto de la descoordinación DevOps-SecOps, la compañía insiste en la criticidad de la depuración de vulnerabilidades que han de realizar los ingenieros de software antes de lanzar cualquier aplicación, priorizando un enfoque de diseño seguro de inicio y una marcada proactividad. Y con esto se habrá convertido la lectura en una lección.
[Informe de David Bollero]