A medida que las empresas trasladan los archivos de trabajo a la nube para admitir a los trabajadores remotos, a menudo crean oportunidades para los atacantes. Estos son los errores más comunes que se deben evitar.
Introducción
A raíz de la pandemia, muchas empresas se han cambiado a más aplicaciones basadas en la nube por necesidad, ya que muchos de nosotros trabajamos de forma remota. En una encuesta de Menlo Security a 200 gerentes de TI, el 40% de los encuestados dijeron que enfrentan crecientes amenazas de aplicaciones en la nube y ataques de Internet de las cosas (IoT) debido a esta tendencia.
Hay buenas y malas formas de realizar esta migración a la nube. Muchas trampas no son nuevas. Por ejemplo, en una reunión de Gartner 2019, dos gerentes de TI declararon que su implementación de Office 365 estaba en espera debido a la necesidad de actualizar el hardware heredado. Ahora, la forma en que usamos y compartimos nuestras computadoras domésticas ha cambiado. Nuestras computadoras ya no son personales. Esta misma computadora puede admitir la escuela virtual de su hijo y las aplicaciones de su cónyuge.
La encuesta de verano de CyberArk descubrió que más de la mitad de los encuestados guardan sus contraseñas en los navegadores corporativos de PC. Por supuesto, esto no promete nada bueno para ninguna política de seguridad.
Aquí hay siete errores principales que afectan negativamente la seguridad y algunos consejos sobre cómo evitarlos.
1. Uso de VPN para acceso remoto
Con todos los trabajadores remotos, una VPN puede no ser la mejor solución de acceso. Mira lo que sucedió en diciembre de 2020 con el truco FireEye. Aparentemente, la cuenta VPN pirateada fue el punto de partida para que el pirata informático robara sus herramientas. En el pasado, las VPN eran la forma principal de proteger a los trabajadores remotos.
Es mucho mejor reemplazar las VPN con redes de confianza cero, donde la identidad es el plano de control y proporciona el contexto de acceso.
2. Creación de la cartera de servicios en la nube incorrecta
Con esto, me refiero a considerar varios factores. ¿Necesita nubes privadas para mantener sus datos empresariales críticos separados del resto del universo? Tienes un sistema operativo adecuado.
¿Hay versiones disponibles para ejecutar aplicaciones específicas que dependen de configuraciones específicas de Windows y Linux? ¿Tiene los conectores y protectores de autenticación adecuados para trabajar con aplicaciones y hardware locales que no puede transportar? ¿Tiene una aplicación de mainframe heredada?
Probablemente primero desee ejecutarlo en una nube privada y luego tratar de encontrar un entorno adecuado que se acerque más a su configuración de mainframe existente.
3. Su política de seguridad no es adecuada para la nube.
Los errores comunes de seguridad en la nube incluyen contenedores de almacenamiento inseguros, derechos de acceso y configuraciones de autenticación mal configurados y puertos abiertos. Desea mantener una seguridad constante tanto si se encuentra localmente como si se conecta desde Timbuktu Pro. También desea estar seguro desde el principio antes de mover una aplicación independiente a la nube.
Johnson & Johnson hizo esto hace unos años cuando trasladaron la mayor parte de sus cargas de trabajo a la nube y centralizaron su modelo de seguridad. Ayuda: Netflix acaba de lanzar una herramienta de código abierto a la que llaman ConsoleMe. Puede administrar varias cuentas de Amazon Web Services (AWS) en una sola sesión de navegador.
4. No pruebe los planes de recuperación ante desastres
¿Cuándo fue la última vez que probó su plan de recuperación ante desastres (DR)? Puede que haya pasado demasiado tiempo, especialmente si estaba ocupado con los problemas cotidianos de apoyar a los trabajadores domésticos.
El hecho de que sus aplicaciones estén en la nube no significa que sean independientes de ciertos servidores web, servidores de bases de datos y otros elementos de la infraestructura. Parte de cualquier buena recuperación ante desastres es documentar estas dependencias y tener un tutorial que cubra los flujos de trabajo más importantes.
Otra parte importante de cualquier plan de recuperación ante desastres son las pruebas continuas para detectar fallas parciales en la nube. Lo más probable es que experimente interrupciones en su trabajo. Incluso las nubes de Amazon, Google y Microsoft experimentan esto de vez en cuando. Netflix fue uno de los primeros lugares donde la ingeniería del caos general con una herramienta llamada Chaos Monkey se hizo popular hace unos años. Fue diseñado para probar la infraestructura de AWS de la empresa al apagar de manera constante y accidental varios servidores de producción.
Utilice estas lecciones y herramientas para desarrollar sus propias pruebas de fallas, especialmente las pruebas de seguridad que identifican las debilidades en la configuración de su nube. Un elemento clave es hacer esto de forma automática y continua para identificar cuellos de botella y brechas de infraestructura. Además de utilizar herramientas de código abierto de Netflix, existen productos comerciales como Verodin / Mandiant's Security Validation, SafeBreach's Breach and Attack Simulation, herramientas de simulación Cymulate y AttackIQ's Security Optimization Platform.
5. La autenticación no está optimizada para una cartera con un servicio en la nube dominante
Puede tener una cuenta y control de acceso, SIEM, CASB o una, una herramienta de inicio de sesión que se adquirió en la era LAN. Ahora no satisface sus necesidades de autenticación, un mundo predominantemente basado en la nube y un mundo de acceso remoto.
Asegúrese de examinar detenidamente estas herramientas para asegurarse de que puedan cubrir el entorno de la nube y toda su cartera de aplicaciones que protegen sus sistemas. Por ejemplo, los CASB hacen un gran trabajo al administrar el acceso a las aplicaciones en la nube, es posible que desee uno que pueda funcionar con su aplicación personalizada interna específica. Gestión de riesgos basada en autenticación o protección contra amenazas más complejas y combinadas.
6. Active Directory desactualizado
“La identidad es ahora un nuevo perímetro y los datos se están extendiendo por todas partes”, dijeron David Mahdi y Steve Riley de Gartner en su presentación.
"Debe brindar a las personas el acceso adecuado a los recursos adecuados, en el momento adecuado y por el motivo adecuado".
Por supuesto que hay mucho que arreglar aquí. Esto significa que su Active Directory (AD) puede no reflejar la realidad de la lista de usuarios actuales y autorizados y de las aplicaciones y servidores actuales y autorizados.
La transición a la nube será más fluida si transfiere la información más precisa.
7. Negarse a pedir ayuda
Muchos proveedores de servicios de seguridad administrados (MSSP) se especializan en este tipo de migraciones y no debe dudar en contactarlos para obtener ayuda.
Es posible que esté demasiado ocupado para prestar toda su atención a la migración y, sin darse cuenta, haya omitido algunos aspectos importantes. A toda prisa, trasladaron todo a la nube y dejaron varias puertas traseras abiertas o introdujeron vulnerabilidades.