Hoy en día tener que ir a un centro comercial debería considerarse un deporte extremo. Sin importar si la ciudad donde se vive es grande o pequeña, los centros comerciales suelen estar abarrotados de personas, a tal grado que para ingresar al estacionamiento y encontrar un lugar, podemos demorarnos muchísimo tiempo. Encima de todo tenés que pagar el estacionamiento, pero claro, en las instalaciones te encontrás con el cartel que dice: “no nos hacemos responsables por daños o robos a su vehículo”.
Si andas en un mal día, ese cartel termina de ponerte de mal humor. El centro comercial tiene guardias armados, cámaras y otras medidas de seguridad, te cobran el derecho a estacionarte, pero además de que pagas, lo haces bajo tu propio riesgo. Y entonces los guardias ¿qué cuidan? Aparentemente no a nosotros, si no al centro comercial como tal.
Un día me tomé el tiempo de hablar con uno de los jefes de seguridad de estos centros comerciales y me dio sus razones:
“Si nosotros vemos alguien subirse a un auto, no sabemos si es el dueño o un delincuente. Claro si rompieran un cristal nos alertaríamos y llegaríamos a la escena, pero créeme que esos son los menos hoy en día, con tanta tecnología y siendo los cierres de los vehículos electrónicos, muchos abren los carros con una facilidad tremenda. Casi siempre los abren para sacar cosas, pero nos ha sucedido que roban carros para cometer delitos con ellos. Hace unos meses descubrimos un patrón de robo del cual después la policía nos dijo era una banda organizada. Entraban en un carro cualquiera con todos los papeles en regla, estando dentro del centro comercial abrían otro carro, y uno de los delincuentes salía en el otro carro con el boleto de parqueo con el que entraron. El cómplice que se quedaba sin el boleto de su carro llegaba a seguridad, presentaba todos sus papeles en regla, boleta del carro a su nombre, pagaba la multa de extravío del boleto, y salía, muy fácil. Pero como podemos nosotros identificar quien es quien, muy complicado”
Esta situación es muy parecida al modelo de responsabilidad compartida de las nubes hoy en día. Pagamos por tener nuestra infraestructura en nube (IaaS) o por el uso de software (SaaS), pero en el contrato nos encontramos con el cartel que dice: “no nos hacemos responsables por daños o robos en su vehículo”.
Con el reciente ataque en el que se ha visto envuelto IFX, es importante comprender y tener muy presentes estos modelos de responsabilidad compartida y diseñar estrategias, controles administrativos y técnicos, para protegernos. Nadie cuando deja su auto en un centro comercial, lo deja sin seguro solo porque hay guardias y cámaras de vigilancia.
A continuación, un par de consejos de seguridad cuando tenemos una nube en formato IaaS, que está lejos de ser una “guía definitiva” de seguridad para nube, y es mas bien un camino por donde comenzar.
Cloud Posture Management: En el mercado hoy en día existen varios productos en esta vertical y de fabricantes de seguridad muy reconocidos. Este tipo de plataformas realizan una especie de auditoría en tiempo real sobre las configuraciones que se encuentran en la nube, utilizando como línea base de comparación mejores prácticas, estándares o reglas personalizadas definidas por los administradores. Este tipo de herramienta nos alerta cuando existen configuraciones que dejan expuesta la infraestructura de nube, y podemos llegar incluso bloquear de forma proactiva cambios que van en contra de las políticas definidas. Cabe recordar que a nivel de nube los errores de configuración son una de las razones más grandes por las que se reciben ataques.
Seguridad de red: Si bien nubes como AWS o Azure tratan con un concepto diferente el tema de configuraciones de red, esencialmente debemos tratar las redes en la nube tal como lo hacemos con las rede on premise. Debemos tener soluciones que nos permitan llevar a cabo análisis de trafico entrante y saliente, así como también análisis de trafico lateral. Para esto existen muchas soluciones, NGFW, IPS, NDR, que se pueden desplegar directamente en la nube.
Protección de cargas de trabajo: podríamos hablar en este punto de protección de servidores, pero a nivel de cargas de trabajo tenemos hoy en día diferentes opciones como contenedores o esquemas serverless que también deben protegerse con seguridad especial para este tipo de cargas de trabajo, con una orientación la protección de vulnerabilidades o parcheo virtual
Podríamos mencionar muchos mas controles técnicos, pero este es un buen comienzo para asegurar nubes IaaS. Es importante decir que todas las plataformas de seguridad existen porque ya existe la amenaza. Esto lo digo porque me he encontrado en ocasiones con mucho escepticismo cuando se habla de ciertas plataformas de seguridad, y algunos argumentan que “se inventan soluciones sin aplicación práctica”. Créanme, la ciberseguridad funciona como los carteles con prohibiciones en América latina, si existe el cartel es porque alguien ya hizo algo malo. Si se lee “no tirar basura”, es porque seguramente los vecinos usan como vertedero de desechos el lugar. Si entramos a un baño y leemos la famosa poesía “orine feliz, orine contento, pero por favor orine adentro” es porque seguramente los comensales del lugar tienen muy mala puntería. En ciberseguridad si existe el control técnico, es porque existe la amenaza.
Ahora bien, cuando hablamos de nube en modelo SaaS, la situación cambia drásticamente. En este tipo de modelo el único perímetro que podemos definir es el de las identidades. Debemos implementar todos los controles que tengan que ver con protección del usuario final que accede a las plataformas SaaS: protección de endpoint, protección de browsers, protección de navegación, detección avanzada de sitios phishing, MFA, protección de dispositivos móviles, etc.
Finalmente, en cualquier tipo de nube que usemos es vital la capacitación a usuarios para la concientización sobre seguridad y también para enseñarles a protegerse. Hoy en día es importante que entendamos que debemos mostrar a los usuarios de nuestras organizaciones incluso a proteger sus redes sociales personales como Instagram o Facebook. Si yo tengo el correo institucional y el crm de mi empresa en mi smartphone y también tengo allí mi Instagram, ¿qué es más fácil para el atacante, comprometer la seguridad de la nube, comprometer la seguridad perimetral del datacenter, o atacar el teléfono de Luis?
