Seguridad en el Cloud

Este panel ha contado con la asistencia de los siguientes expertos en seguridad en el Cloud:

• Miguel López, Regional Director Southern EMEA de Barracuda Networks
• Javier Armesto, EMEA Sales Engineer, Symantec & Carbon Black de Symantec
• Manuel Sánchez, CSA Iberia de Efficient IP
• Luigi Semente, Regional Alliance and Channel manager for Iberia de Okta
• Alejandro Reyeros, Team Lead Systems Engineering de Fortinet

Miguel López, Regional Director Southern EMEA de Barracuda Networks, abrió su ponencia anunciando que “el cibercrimen es una industria bien organizada y financiada, comparable a las mayores economías del mundo. Por PIB sería la tercera economía del mundo”. Destacó que se ha cuadruplicado el número de ataques en comparación con el año anterior y que “el panorama es cada vez más complejo debido a la creciente superficie de exposición y a la sofisticación de los ciberdelincuentes. Es preciso combatir esa complejidad”.

Puso en primer plano el papel que está jugando la IA tanto en la defensa como en el ataque, “la IA facilita que se realicen ataques más exitosos y sofisticados, democratizando el acceso al cibercrimen. Ahora no hace falta ser un hacker experto. Al mismo tiempo, puede utilizarse para combatir los ataques, permitiendo aplicar inteligencia a grandes volúmenes de datos”.

Habló de los XDR (eXtended Detection and Response) que “proporcionan un servicio de seguridad integral que se integra con las herramientas existentes en las organizaciones para recolectar y correlacionar logs y aplicar inteligencia”. Y también de los SOC-as-a-Service, “la aplicacion real del XDR donde, mediante diferentes equipos, podremos analizar la información e incluso ser capaces de reaccionar, reduciendo los tiempos de respuesta de días a minutos y disminuyendo los costes”.

Citó la complejidad creciente que presenta el panorama “debido a la mayor superficie de exposición y a la sofisticación de los ciberdelincuentes” para lo que los proveedores de ciberseguridad “están trabajando en herramientas que simplifiquen las soluciones y permitan hacer frente a estos desafíos”.

Una vez realizado este recorrido general por la situación actual de la ciberseguridad y las amenazas, le llegó el turno a la seguridad en el Cloud. Miguel López resaltó que “ante la sensacion de que teniamos medianamente protegidos los entornos on-premise, todo se ha desbaratado con la seguridad cloud. Los clientes tienen la sensación de no llegar a todo y de falta de visibilidad de lo que está sucediendo”.

Aportó como solución la adopción de tecnologías como XDR para conseguir un nivel de seguridad razonable en el Cloud ante unos ataques “cada vez más dirigidos y personalizados, utilizando información obtenida de diversas fuentes y herramientas para aumentar su efectividad”.

Al comienzo de su intervención, Javier Armesto, EMEA Sales Engineer, Symantec & Carbon Black de Symantec, enumeró los principales desafíos que presenta la digitalización y la migración al Cloud. Uno, que mover los datos al cloud aumenta la superficie de ataque y genera nuevos silos de seguridad. Y dos, que la mayoría de las organizaciones tienen una infraestructura híbrida, lo que requiere controlar la seguridad tanto On-premise como en el cloud. Lo expresó así, “los beneficios vendrán cuando seamos capaces de controlar la seguridad tanto en la parte on premise como en la parte cloud”.

A continuación, destacó los que, en su opinión, son los puntos fundamentales a tener en cuenta a la hora de evaluar los riesgos de la nube:

1. Hay una mayor superficie de ataque expuesta.
2. Existen nuevos riesgos que cubrir.
3. Disponer de seguridad nativa para aplicaciones en la nube.
4. La necesidad de proteger las cargas de trabajo.
5. Es crucial la protección del dato (información personal e intelectual).
6. Asegurar el cumplimiento normativo (NIS, RGPD).
7. Ser conscientes de que las amenazas están en evolución, incluyendo la IA.

Y para ello propuso cuatro puntos clave de cara a proteger el Cloud: la gestión de identidades y accesos (Zero Trust); las comunicaciones (proxificación, data in motion security, aislamiento); la infraestructura de nube (análisis del shadow IT); y el acceso privilegiado y las cargas de trabajo en la nube.

Destacó que el salto al Cloud implica que “tenemos una gran cantidad de vectores de ataque, por lo que la cantidad de herramientas necesarias para proteger un entorno cloud es superior a la que se necesita en los entornos On-premise”. Lo que hace fundamental que los proveedores de seguridad “ayuden de manera integral, cómoda y sencilla”.

Javier Armesto puso de relieve que “la mayoría de las compañías estarán en un estado híbrido, por lo que es importante tener herramientas eficientes tanto en el on-premise como en el cloud. Y es crucial disponer de políticas unificadas que sirvan en el on-premise, en el cloud y en la hibridación”.

Por último, avanzó las tendencias que vislumbra en el mercado, “el Ransomware-as-a-Service va a seguir funcionando de manera dependiente de la situación geopolítica y se distribuirá en América Latina. Y también que la inteligencia artificial se usará para el mal y para combatir ese mal, pero requiere mucha información, capacidad de cómputo y tiempo”.

Manuel Sánchez, CSA Iberia de Efficient IP, también quiso arrancar su intervención ofreciendo cifras que permitieran comprender la magnitud del reto de la ciberseguridad. Afirmó que “la transición al cloud y al multiicloud se está acelerando y se espera que los ciberataques aumenten en más de un 75% para 2025”. Destacó que el DNS es un protocolo “indispensable, pero débil y que está siendo objeto de ataques” ya que “es un vector de amenaza porque está abierto por diseño, permitiendo que cualquier dispositivo (incluido el malware) se comunique hacia el exterior”.

Cifró el coste medio de los ataques de DNS sufridos por distintas organizaciones en 1M$ y puso el ejemplo del ciberataque a Solarwind, que empleó el DNS “para exfitrar datos de grandes compañías e industrias críticas durante nueve meses”. Su recomendación es disponer de una solución unificada de DNS para gestionar políticas de seguridad y tener visibilidad, así como analizar todas las transacciones DNS y entender así el comportamiento de los usuarios.

Este análisis se apoya en IA para poder revisar millones de transacciones y crear así un feed de reputación de dominios en tiempo real. Destacó que “el Cloud está muy ligado al DNS, y la inseguridad del DNS es un vector común en las soluciones de Cloud. Los clientes tienen diferentes herramientas DNS en entornos On-premise y Cloud, lo que dificulta la gestión unificada”.

Concluyó su intervención resaltando que actualmente “utilizar la inteligencia artificial para la detección de amenazas es imprescindible” y puso el foco sobre un nuevo término, DDI (DNS, DHCP e IPAM) que cubre el sistema de nombres de dominio (DNS), el protocolo de configuración dinámica de host (DHCP) y la gestión de direcciones IP (IPAM) para garantizar el correcto funcionamiento de los sistemas y servicios y su protección frente a ciberataques.

Luigi Semente, Regional Alliance and Channel manager for Iberia de Okta, quiso dejar claro que, “la identidad es el objetivo principal de los ciberatacantes. Está presente en cualquier conexión, aplicación y comunicación”, pero que, “con la llegada de aplicaciones en la nube, la identidad ha evolucionado y se debe pensar en identidades no humanas (cuentas de servicio, tokens, APIs)”.

Apoyó el papel central de la protección de la identidad con datos como que “el 75% de los fallos de seguridad en la nube se deben a una gestión errónea o ausente de la identidad. Y 9 de cada 10 brechas de seguridad debidas a la identidad se refieren a cuentas de servicio”. Resumió la situación afirmando que “creer que la gestión de la identidad en la nube es igual que en el CPD tradicional es un error”.

Propuso como solución la creación de un ecosistema de seguridad entre fabricantes e integradores que aproveche las telemetrías para “crear un ecosistema que aporte valor y permita entender cambios de contexto. Un ecosistema que sea capaz de avisar sobre suplantación de identidad”.

Respecto a la inminente entrada en vigor de las normativas NIS2 y DORA, recalcó que permiten garantizar que la cadena de suministro tenga el mismo nivel de seguridad que los usuarios internos, lo que es muy positivo. Destacó que “la tendencia es permitir que las plataformas y el ecosistema puedan hablar para mejorar la visibilidad a nivel de seguridad”. Y cerró su turno afirmando que “ser más rápido que los malos va a ser difícil y lo único es unir fuerzas para poder actuar y entender cosas que de forma nativa no podríamos entender”.

Alejandro Reyeros, Team Lead Systems Engineering de Fortinet, inició su intervención poniendo de relieve que los entornos multi-cloud son complejos ya que almacenan datos en distintas ubicaciones (On-premise y Cloud), lo que dificulta la visibilidad 360 y la capacidad de detección.

Puso sobre la mesa un hecho preocupante y es que “más del 50% de los usuarios que acceden a aplicaciones en la nube lo hacen con privilegios de administrador. Y a menudo es de aquí de donde provienen las brechas de seguridad en la nube”. Como fabricantes, proponen una solución única que proporcione una visión holística y simplifique la administración del entorno multi-cloud.

Destacó que “el gran reto del entorno Cloud es que ha cambiado el paradigma de la seguridad. Al final lo que tenemos es un entorno complejo y difícil. Es un entorno mucho más abierto al que teníamos de forma tradicional y necesita muchas herramientas y soluciones para securizarlo” y que el desafío es simplificar el uso de la gran cantidad de herramientas disponibles y unificarlas para sacarles el máximo provecho.

Resaltó la importancia de implementar la seguridad desde el origen, “cuando desplegamos soluciones en Cloud, estas soluciones ágiles permiten hacerlo de una forma muy rápida y muy dinámica aplicaciones, servicios, y eso no debe estar reñido con la seguridad (DevSecOps)”.

Y avanzó que la tendencia es que “las compañías tengan un entorno híbrido multi-cloud con varios proveedores de servicios en Cloud. Esto requiere protección contra amenazas como Ransomware y doble/triple secuestro”. Y concluyó afirmando que la falta de recursos hace necesario contar con soluciones que ayuden a proteger toda esta infraestructura.