Cloud Security Solutions: el nuevo paradigma

De la misma manera que brotes verdes inundan nuestros campos tras una fresca noche de primavera, despertándonos con la promesa de tallos decididos a germinar, de esa forma nos despertamos un día, con el surgimiento de un nuevo paradigma: el amanecer del Cloud Security. 

Si por un instante decidimos investigar sobre esta materia, descubriremos una dolorosa tendencia al uso de cuatro siglas para designar nuevas preocupaciones cuya existencia era absolutamente desconocida unos años atrás. En este universo infinito encontraremos los CISPA o Cloud Infrastructure Security Posture Assessment, pero también los CWPPS, o Cloud Workload Protection Platform, sin olvidarnos de los CASBs o Cloud Access Security Brokers o los CNAPP o Cloud-Native Application Protection Platform.

Si llegados a este punto habéis sobrevivido a esta retahíla de nombres, entenderé vuestro sincero interés por esta nueva ciencia, por lo que permitidme dar un paso atrás y comentar el porqué de esta curiosa amalgama de nuevas soluciones de seguridad. 

Cuando me detengo a pensar en el cloud y en las inmensas posibilidades que nos brinda, no puedo evitar pararme a razonar en cómo este dinamismo, esta escalabilidad semi infinita y esta innovación sin precedente, conlleva también una enorme dificultad a la hora de mantener una postura de seguridad eficaz, resiliente y escalable. Teniendo en cuenta que, a día de hoy, pocas empresas han conseguido alcanzar un negocio puramente nativo en cloud, lo más normal es que encontremos una casuística híbrida, con la convivencia forzosa entre entornos on-premise desplegados años atrás y nuevas cargas de trabajo levantadas en los proveedores cloud líderes de mercado.

Esta combinación, necesaria a la par que compleja, obligará a las organizaciones a mantener la visibilidad y el control sobre una amalgama de infraestructura, sobre usuarios accediendo a diestro y siniestro y compartiendo información, sobre redes conectándose y desconectándose en cuestión de milisegundos. ¿Seremos capaces de mantener una postura de ciberseguridad robusta cuando nuestras aplicaciones in-house se comuniquen con Azure, almacenen datos en AWS y los presenten en un dashboard en GCP? La cosa se complica. ¿Y si decidimos que nuestra infraestructura local se replique en un data center en North Virginia y cuente con un Disaster Recovery en Frankfurt? La complejidad resurge de nuevo. 

Como guinda al pastel, los analistas de seguridad más senior no pueden evitar sentir cierta incomodidad al entender que la seguridad tradicional no funciona en el cloud. No funciona porque se desdibuja el perímetro que proteger, porque los procesos manuales no son capaces de responder a demandas tan rápidas ni a escalar en cuestión de milisegundos y porque la falta de centralización provoca una opacidad difícil de gestionar. 

A esta poco amigable situación debemos añadir el hecho de que las APT (o Amenazas Persistentes Avanzadas) son cada vez más complejas, más personalizadas y novedosas, amenazas que te conocen mejor que a ti mismo. Que saben qué quieren de ti y cómo conseguirlo. Actores capaces de colarse por una rendija de tu infraestructura y mantenerse perennes durante meses, para luego despertar y como Nerón, prender fuego a todo lo que encuentren en su camino. En el caso del cloud las APT no se han quedado atrás, sino que cada año demuestran un conocimiento más exhaustivo y profundo del mismo (cada mes, un 94% de los usuarios de nube pública son objeto de ciberataque). Con este enemigo a las puertas, poco conseguiremos activando el MFA en nuestra consola cloud o adquiriendo un carísimo SIEM sin ninguna persona gestionándolo detrás.  

Pero la pregunta que debemos tratar de responder es, ¿realmente es tan preocupante esta amenaza? Desgraciadamente la respuesta no es tranquilizadora.  

Poniendo algunos datos sobre la mesa (obtenidos del Cloud Security Report anual de Checkpoint) alrededor de un 40% de las empresas cuentan actualmente con un 50% o más porcentaje de sus cargas en la nube pública. Si bien esta tendencia ya se encuentra consolidada, desde el año 2015 las cargas en nube pública se han duplicado, con alrededor de un 89% de las empresas confiando en estrategias multi-cloud. Poniendo el foco de nuevo en materia de ciberseguridad, el 76% de las empresas afirman estar muy o extremadamente preocupadas cuando hablamos de la seguridad en la nube, con un 24% declarando públicamente incidentes de seguridad detectados en el último año.  

Ante este panorama poco alentador son varias las conclusiones que debemos obtener. En primer lugar, es crítico interiorizar que la ciberseguridad en la nube ha dejado de ser un “nice to have” como dirían nuestros amigos anglosajones para ser un “Day One Priority”. La ciberseguridad cloud debe ser incorporada desde el momento mismo del diseño, entendiéndose como uno de los pilares fundacionales. En segundo lugar, se estima que en torno a un 20% de los fallos de seguridad en el cloud son provocados por errores humanos, con un 60% de los encuestados por Checkpoint entendiendo las configuraciones erróneas como la principal amenaza cuando hablamos de seguridad en el cloud. Sorprendentemente, aspectos como la amenaza representada por parte de los actores maliciosos queda por detrás de prioridades como el control y la visibilidad de los datos, la visibilidad al completo de los entornos o la integración de diferentes aplicativos e infraestructura. 

En conclusión, la ciberseguridad tal y como la conocemos ha sufrido un cambio 360º cuando hablamos de entornos cloud, siendo necesaria una reevaluación de los principios de seguridad hasta entonces inherentes en nuestras organizaciones y requiriendo una adaptación para conseguir dar ese paso hacia nuevos paradigmas sin ponernos en riesgo en el intento. A pesar de este panorama poco alentador, muchas organizaciones han decidido dar un paso adelante y entender la ciberseguridad en el cloud como lo que es: una prioridad a todos los niveles. 

Ver también en: