¿Está su empresa lidiando con las nuevas amenazas de seguridad de la nube? ¿Pasan horas investigando eventos de seguridad digital sin identificar la causa raíz del problema? Quizá la solución pase por revisar las capacidades de su solución CDR y comprobar si realmente es apto para la nube.

En este blogspot, veremos en detalle cuáles son las nuevas amenazas a las que se enfrentan los equipos de seguridad digital a la hora de proteger y defender infraestructuras y cargas de trabajo nativas de la nube.

 

La Nube lo Cambia Todo: Desafíos y Estrategias ante la Expansión Descontrolada de Recursos

La adopción de la nube, así como el uso de contenedores, ha acelerado la innovación. De eso no hay duda; sin embargo, también ha ampliado la superficie de ataque que los equipos de seguridad digital deben defender. A medida que la infraestructura de las empresas crece en la nube, nos encontramos con el problema de la expansión descontrolada de recursos: cientos de aplicaciones, servicios e identidades sin gobernanza y potencialmente vulnerables. 

Los ciberdelincuentes se están adaptando a este panorama, utilizando técnicas avanzadas para obtener acceso a estos entornos y extraer el máximo valor. Dado que el coste promedio global de una filtración de datos alcanzó la asombrosa cifra de $4,35 millones el año pasado, según IBM, mantenerse en la vanguardia de las técnicas que usan los atacantes es fundamental para evitar convertirse en otra estadística en esta tendencia alarmante.

 

Detección y respuesta a lo largo del ciclo de vida del aplicativo: La Importancia de Integrar CDR y CNAPP

La superficie de ataque dinámica en el cloud ha aumentado considerablemente, lo que supone un gran desafío para proteger las aplicaciones nativas del cloud. Las empresas tienen en producción cientos o incluso miles de contenedores, así como grandes volúmenes de activos y permisos en la nube

Como resultado, los equipos de seguridad y los desarrolladores necesitan una herramienta integrada que proporcione visibilidad instantánea y continua, y comparta contexto en todo el entorno. Es por ello que cada vez más organizaciones buscan una plataforma de protección de aplicaciones nativa de la nube (CNAPP) que consolide la seguridad a lo largo del ciclo de vida del aplicativo, en lugar de depender de múltiples soluciones, habitualmente costosas, que protegen diferentes áreas.

Los atacantes cibernéticos solo necesitan un único punto de entrada a nuestro entorno en el cloud para infligir un daño sustancial. Una vez dentro, pueden moverse lateralmente para acceder a las bases de datos confidenciales o realizar ataques de cryptojacking. En esta batalla, la integración de la detección y respuesta en la nube (CDR)  dentro de un CNAPP integral se convierte en una capacidad vital. 

Las áreas de seguridad deben poder identificar rápidamente los tipos de amenazas que acechan a toda su infraestructura para permitirles responder rápidamente dentro de un período de tiempo limitado. El alcance de la detección de amenazas se debe expandir para abarcar no solo la seguridad en el tiempo de ejecución de las cargas de trabajo, sino también los servicios en la nube, las identidades y el software supply chain

Al consolidar CDR y CNAPP, las empresas pueden tener un entendimiento completo de las amenazas potenciales, lo que les permitirá abordarlas de manera proactiva antes de que se manifiesten como problemas importantes.

También puede ser de su interés: Conceptos de Seguridad Cloud, controles y estrategia para apoyar la transformación de nuestro negocio

 

Su solución de seguridad en la nube no está a la altura

Desafortunadamente, la mayoría de las herramientas de seguridad en la nube existentes tardan en identificar comportamientos sospechosos y no proporcionan el contexto suficiente para que los equipos de seguridad comprendan cómo se llevó a cabo un ataque. Esta falta de contexto dificulta la respuesta efectiva a incidentes. 

Cuando los analistas de seguridad reciben una alerta, a menudo comienza un proceso frustrante, en el que se pierde mucho tiempo en examinar snapshots, registros y fuentes de datos dispares, tratando de reconstruir la intrincada cadena de eventos. Este retraso prolonga la exposición a las amenazas durante horas o incluso días, lo que permite a los atacantes causar más daños mientras la empresa sigue a oscuras, sin darse cuenta del alcance total del incidente. 

Esto ocurre porque en la mayoría de empresas aún se siguen usando herramientas de seguridad convencionales, como algunos EDRs, que lamentablemente no están diseñados para manejar la escala o la velocidad a la que se mueve al cloud. Los EDRs tradicionales tienen dificultades para interactuar con las instancias de host, integrarse con orquestadores como Kubernetes u OpenShift y las cargas de trabajo nativas del cloud. Además, no suelen mostrar la correlación entre la actividad del usuario y la actividad sospechosa de los workloads.

Al evaluar herramientas de seguridad digital diseñadas para trabajar con aplicaciones nativas en el cloud, existe un debate sobre si los enfoques basados ​​en agentes o sin agentes son más efectivos. Las soluciones más efectivas, sin embargo, incorporan ambos. En la Guía de mercado de Gartner® de 2023 para plataformas de protección de aplicaciones nativas de la nube, Gartner recomienda priorizar las CNAPP que "proporcionen una variedad de técnicas de visibilidad en tiempo de ejecución... para brindar la mayor flexibilidad en la implementación". 

Aprovechándonos de esta combinación de detecciones basadas en agentes en tiempo real y detecciones sin agentes basadas en registros de actividad, se pueden identificar mucho más rápidamente las amenazas en todo el entorno del cloud si lo hacemos mostrando el contexto necesario para responder. 

Los proveedores de seguridad en la nube que no puedan ofrecer soluciones sólidas basadas en ambos enfoques (con y sin agente) nunca podrán brindar el enfoque completo necesario para combatir de manera efectiva las amenazas modernas.

Puede ser de su interés: Beneficios de la nube y la seguridad de datos

 

Detección de amenazas en tiempo real y extremo a extremo

¿A qué nos referimos cuando hablamos de un CDR apto para la nube? Son las soluciones que pueden procesar la actividad del cloud en tiempo real, a la velocidad de la nube, y que detecten las posibles amenazas tanto en el propio control plane de la nube, como en las identidades y los software supply chains.

Veamos estas capacidades en detalle:

 

Protección contra amenazas de identidad: ampliando la funcionalidad de los CDRs

Los ciberdelincuentes han seguido desarrollando técnicas para obtener/robar credenciales que les permiten acceder a datos confidenciales. Es por ello que las detenciones relacionadas con proveedores de identidad (IdP) van a ser una de las extensiones que deberían incorporar los CDRs. 

Ya que permitirán a los equipos de seguridad digital protegerse contra ataques de identidad habituales, como la recepción de spam de autenticación de factor múltiple (causada por el envío de SMSs/correo no deseado), o la apropiación de cuentas, protegiendo sus datos valiosos del acceso no autorizado.

Detección basado en los logs de OKTA 

 

Detecciones de Software supply chain 

El 61% de todas las imágenes de contenedores se extraen de repositorios públicos. Los actores maliciosos han visto esto como una oportunidad de oro para acceder a los entornos de la nube y a menudo intentan explotar estos repositorios como vector de ciberataque. 

Las detecciones enfocadas en software supply chain extienden la detección de amenazas a la cadena de suministro de software, alertando a los equipos de seguridad y DevOps sobre los riesgos de seguridad digital que puedan ocurrir en un sistema distribuido de control de versiones. Eventos como el envío de un secret a un repositorio o el cambio de privacidad de un repositorio (de privado a público) son algunos de los posibles ejemplos de actividad anómala que debería poder detectar un CDR con este tipo de capacidades extendidas.

 

Detección de cambio de privación de un repositorio en Github que pasa a ser público.

 

Técnica de control del Drift: reforzando la seguridad en contenedores

El control del drift es una técnica de respuesta que puede utilizarse para bloquear aquellos binarios que se añadieron o modificaron después de levantar un contenedor en producción. Al bloquear cualquier ejecutable que se desvíe (drift) de la construcción inicial del contenedor, se pueden evitar muchos ataques que ocurren solo en tiempo de ejecución, en los que se ejecutan scripts o malware con ejecutables incrustados. 

El control del drift debería ser una política de seguridad indispensable para cualquier empresa que implemente aplicaciones basadas en contenedores.

 

 Acelerar la respuesta a incidentes con investigación de amenazas en tiempo real

Cuanto más tiempo un atacante mantenga el acceso a nuestro entorno, mayor será el daño potencial que nos puede hacer. Además, el coste asociado con una violación de datos aumenta a medida que pasa el tiempo si no hay una respuesta adecuada, con lo cual nos necesitamos acelerar al máximo esta respuesta a incidentes ¿Cómo logramos esto con una solución de CDR?

La respuesta inmediata es crucial, pero sin el contexto necesario, entender si una actividad sospechosa es realmente una amenaza y reaccionar rápidamente se convierte en todo un desafío. Los CDRs modernos deberían ser capaces de ofrecer características avanzadas de respuesta a incidentes que permitan investigar y responder a la velocidad de la nube. 

A continuación, se detallan algunas de las características necesarias que deberían incorporar las soluciones de CDR para que sean realmente útiles en su propósito de acortar el tiempo de respuesta a incidentes en la nube:

  • Integración con Kubernetes nativa 

Kubernetes es el nuevo Sistema Operativo de la nube. Actualmente, son miles las empresas cuyas cargas de trabajo se ejecutan en contenedores operados por Kubernetes o sus análogos gestionados por los proveedores de nube. Cualquier CDR en el cloud debe poder ofrecer un enfoque similar a lo que han venido haciendo los EDRs para endpoints, pero integrando nativamente Kubernetes. 

Esto proporcionará a los analistas de seguridad una vista dinámica de los recursos y workloads en vivo, así como de las relaciones entre ellos. Un CDR equipado con la comprensión de todas las cargas de trabajo vulnerables, los eventos de seguridad críticos y las políticas de tiempo de ejecución activadas en los entornos de Kubernetes, puede acelerar la respuesta a incidentes con un contexto enriquecido. 

Sysdig Kubernetes Live - Vista enfocada en Kubernetes donde se ensamblan todos los eventos relevantes en tiempo real 

  • Linaje de ataque con contexto

Otra de las características esenciales de cualquier CDR son los Process Tree. Un Process Tree idealmente va a revelar los pasos que ha recorrido un usuario (o atacante) a nivel de proceso. Esto incluye todo el linaje del proceso, donde se muestra cómo se inició el proceso padre, el contexto, la información del contenedor, el host o nodo de Kubernetes donde se está ejecutando, los detalles del usuario y el impacto. 

Cualquier SOC moderno podría realmente acelerar sus procesos de investigación de amenazas con esta comprensión tan completa de las relaciones y dependencias entre los procesos, identificando rápidamente cuáles de estos procesos son maliciosos y actuar sobre ellos. 

 

Vista de la ejecución de un comando sospechoso dentro de un contenedor

  • Un marco común de amenazas

Toda solución de seguridad en la nube debería ofrecer paneles o dashboards de amenazas. En ellos se deben destacar eventos que hayan ocurrido en los entornos de nube, pero también en contenedores, Kubernetes o instancias de host, actuando como una vista centralizada de problemas críticos de seguridad.

Estos paneles deberían proporcionar un mapeo dinámico contra el marco MITRE ATT&CK también en los entornos nativos de la nube. Los equipos de seguridad pueden usar esta información para entender las amenazas en su entorno y priorizar la respuesta.

 

El mapeo de eventos contra el marco MITRE ATTACK permite entender las amenazas a las que se enfrenta su entorno de nube

 

Refuerce la seguridad en la nube con CDR modernos

En resumen, los CDRs modernos deben contar con características extendidas que incluyan la detección de amenazas en tiempo real y extremo a extremo de actividad maliciosa en el entorno de nube, en los proveedores de identidad y en los softwares supply chain. Estos CDRs aptos para la nube permitirán a los equipos de seguridad y a los SOCs en particular acelerar los procesos de investigación de amenazas y la respuesta a incidentes en tiempo real, usando el contexto adecuado, identificando correctamente el posible impacto y respondiendo en tiempo récord.

Sysdig es el primer proveedor en ofrecer la consolidación de CDR y CNAPP, aprovechando el poder del código abierto de Falco, tanto utilizando un agente, como agentless (sin agente). Con las capacidades de CDR de Sysdig, se puede prevenir ataques avanzados y contener amenazas en tiempo real en toda la estructura en el cloud.

Si desea obtener más información, puede registrarse en uno de sus próximos seminarios web  o contactar con nuestro equipo de ventas para agendar una demostración.

 

protege-tus-datos

 

>_

Otros Blogs

Isotipo A3Sec