Mala configuraci贸n, el riesgo n煤mero uno para los entornos cloud

Nueva investigaci贸n de Trend Micro sobre la seguridad en la nube destaca que los errores humanos y las implementaciones complejas abren la puerta a una amplia gama de ciberamenazas.

Gartner predice que para 2021, m谩s del 75% de las organizaciones medianas y grandes habr谩n adoptado una estrategia de TI multi-nube o h铆brida1. A medida que las plataformas de nube se vuelven m谩s frecuentes, los equipos de TI y de desarrollo se enfrentan a problemas e incertidumbres adicionales relacionados con la seguridad de sus aplicaciones en la nube.

Este informe reafirma que las configuraciones incorrectas son la causa principal de los problemas de seguridad en la nube. De hecho, Trend Micro Cloud One – Conformity identifica 230 millones de configuraciones err贸neas en promedio cada d铆a, lo que demuestra que este riesgo es frecuente y generalizado.

“Las operaciones basadas en la nube se han convertido en la regla y no en la excepci贸n, y los cibercriminales se han adaptado para aprovechar los entornos de nube mal configurados o gestionados”, dijo Greg Young, vicepresidente de ciberseguridad de Trend Micro. “Creemos que la migraci贸n a la nube puede ser la mejor manera de solucionar los problemas de seguridad al redefinir el per铆metro de TI y los endpoints de las empresas. Sin embargo, eso solo puede ocurrir si las organizaciones siguen el modelo de responsabilidad compartida para la seguridad en la nube. Tomar el ownership de los datos de la nube es primordial para su protecci贸n, y estamos aqu铆 para ayudar a las empresas a tener 茅xito en ese proceso”.

La investigaci贸n encontr贸 amenazas y debilidades de seguridad en varias 谩reas clave de los equipos basados en la nube, que pueden poner en peligro las credenciales y los secretos de la empresa. Los delincuentes que se aprovechan de las malas configuraciones han atacado a las empresas con programas de ransomware, cryptomining, e-skimming y exfiltraci贸n de datos.

Tutoriales en l铆nea enga帽osos agravaron el riesgo para algunas empresas, lo que condujo a credenciales y certificados en la nube mal administrados. Los equipos de TI pueden aprovechar las herramientas nativas de la nube para ayudar a mitigar estos riesgos, pero no deben depender 煤nicamente de estas herramientas, concluye el informe.

Trend Micro recomienda varias pr谩cticas adecuadas para ayudar a asegurar las implementaciones de la nube:

— Utilizar controles de privilegios m铆nimos: restringir el acceso solo a aquellos que lo necesitan.
— Comprender el Modelo de Responsabilidad Compartida: Aunque los proveedores de la nube cuentan con seguridad incorporada, los clientes son responsables de asegurar sus propios datos.
— Monitoreo de sistemas mal configurados y expuestos: Herramientas como Conformity pueden identificar r谩pida y f谩cilmente errores en las configuraciones en sus entornos de nubes.
— Integrar la seguridad en la cultura de DevOps: La seguridad debe ser incorporada en el proceso de DevOps desde el principio.

El informe completo puede ser descargado desde el sitio de Trend Micro  (documento PDF de 38 p谩ginas; la descarga no requiere registro).


Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.