Los fallos de configuración, los más comunes en los servicios de Cloud Storage

Siempre que hablamos de seguridad en el Cloud, la primera mirada la echamos hacia los cibercriminales que buscan hacer negocio con los datos privados y sensibles que almacenamos en servidores Cloud, al robo de credenciales, al malware y a un sinfín de otros motivos de preocupación.

Sin embargo, en una preocupante mayoría de casos, el enemigo está más cerca. Uno de los mayores riesgos de seguridad que existe en las empresas es caer en errores de configuración en los servicios Cloud. En específico, esto sucede con mucha frecuencia en los servicios de Cloud Storage. Este error humano sigue siendo el principal y más común de todos.

Accurics, un proveedor de seguridad, publica periódicamente su análisis State of DevSecOps Report, centrado en investigar las prácticas y tendencias de la seguridad en la nube en todas las organizaciones. En su edición de primavera 2020, uno de los puntos principales se centra, precisamente, en la falta de seguridad provocada por las configuraciones erróneas de las tecnologías nativas de la nube, que aumentan la superficie de ataque y son explotadas por agentes maliciosos.

En concreto, se detectaron malas configuraciones en el 93% de los despliegues Cloud analizados. De ellos, la mayoría tenía al menos una exposición de red que la seguridad se dejó «abierta». Estos dos problemas por sí solos han llevado a casi 200 brechas de seguridad que han dado a los atacantes acceso a nada menos que ¡30 mil millones de registros en los últimos dos años!

El error humano es el primero de la lista en muchas ocasiones

Cuando hablamos de los principales retos de la seguridad en el Cloud, el error humano estuvo presente en varios puntos. De hecho, desde una «simple» filtración o exposición de datos privados o sensibles, pasando por errores de programación hasta la pérdida de datos pueden tener detrás un error inadvertido.

Los errores humanos y los despliegue cada vez más complejos son una gran vía de entrada para una enorme variedad de amenazas. Al estudio de Accurics hay que añadir una reciente investigación de Trend Micro Research sobre la seguridad Cloud.

Las plataformas en la nube son cada vez más populares (Gartner estima que para 2021, más del 75% de las organizaciones medianas y grandes habrán adoptado una estrategia de IT multicloud o híbrida) y, por eso, su seguridad se vuelve cada vez más crucial. La firma Trend Micro detecta 230 millones de configuraciones erróneas de media cada día, lo que demuestra que este riesgo es frecuente y generalizado y la «causa principal» de los problemas de seguridad en la nube.

Cuanto más extendidos están los sistemas y servicios en el Cloud, más huecos de seguridad se encuentran a merced de los delincuentes. Por eso es vital realizar una migración al Cloud completamente segura y guiada por profesionales experimentados.

Como ya detallamos en otro artículo, existen una serie de buenas prácticas en el Cloud que nos llevan por la senda de la seguridad y que nos ayudan a evitar problemas y errores de configuración, asumiendo riesgos excesivos en el terreno de la seguridad. Si nos enfocamos exclusivamente en el problema de las malas configuraciones, estas cuatro buenas prácticas son las realmente imprescindibles:

  • Implantar el principio de mínimo privilegio, es decir, restringir el acceso a los sistemas y servicios para aquellos que realmente lo necesitan, y revocarlo una vez que ya no se necesita dicho acceso.
  • Comprender el modelo de responsabilidad compartida. Esto significa que, a pesar de que los proveedores de servicios Cloud disponen de complejos y efectivos sistemas de seguridad, son los clientes quienes son responsables de proteger sus propios datos.
  • Supervisar los sistemas mal configurados y expuestos. Existen herramientas diseñadas para identificar rápidamente las configuraciones incorrectas en los entornos Cloud. Basta con utilizarlas periódicamente para rastrear cualquier traza de configuración errónea y solucionarla inmediatamente.
  • Integrar la seguridad en la cultura DevOps.