La última década ha sido testigo de una tremenda democratización de las TI y, con ella, del aumento de la diversidad entre los entornos de nube. La mayoría de las empresas de seguridad han denostado la difusión de los servicios de TI a través de un gran número de proveedores, pero esta diversidad no es algo contra lo que debamos luchar. Más bien, nuestra investigación con CISO indica que, aunque un mayor número de proveedores complica las prácticas de seguridad, la democratización de las TI permite una cultura impulsada por la innovación y el uso de servicios en la nube especializados y rentables, lo que ayuda a las empresas a largo plazo.
Aunque no debemos luchar contra la diversidad de la nube, las organizaciones necesitan gestionar y supervisar activamente los recursos dinámicos repartidos entre un conjunto diverso de proveedores y supervisar continuamente los nuevos activos de ShadowCloudTM para poder descubrirlos, rastrearlos y colocarlos en un estado de seguridad gestionada. Se trata de un enfoque que denominamos Inventario continuo, en el que tanto el descubrimiento de primera categoría como la supervisión continua son fundamentales para seguir el ritmo del rápido ritmo de cambio de sus entornos en la nube.
Existen varios enfoques para hacerse con los activos que tiene en la nube, que repasaremos a continuación:
- Monitorización del tráfico: En este modo, todo el tráfico que sale de los puntos de salida de una empresa se supervisa para determinar su destino en un conjunto de entornos de nube conocidos. Esto funciona muy bien para detectar problemas en tiempo real, pero puede ser ruidoso y estos sistemas solo detectan el tráfico cuando se han configurado correctamente los puntos de salida en toda la organización. Para muchas grandes organizaciones, esto puede no garantizar una cobertura del 100%, ni cubriría la infraestructura creada por terceros o aquellos empleados que trabajan desde casa y no utilizan túneles a través de la infraestructura corporativa. Y, como sabemos, los desarrolladores/devops y los departamentos de marketing, que son los que producen muchos de los activos desconocidos para nuestros clientes, quieren actuar con rapidez para realizar su trabajo y pondrán en marcha la infraestructura que ofrezca menos resistencia y muchas veces se olvidarán de ella.
- Integraciones: En este modelo, las empresas integran todas sus señales internas en un único punto donde varios software como ActiveDirectory, Endpoint Protection, VPN, CMDB y otros software se reúnen en un único modelo de datos. Aunque los productos SIEM tradicionales hacen algo similar, no normalizan todo esto en una única fuente de verdad para la gestión de activos. Estos modelos funcionan bien si se dispone de integraciones exhaustivas, pero también adolecen del paradigma "basura entra, basura sale". Es poco probable que funcionen igual de bien con activos generados por terceros, trabajadores remotos y activos no autorizados. Las integraciones son una parte necesaria de la contextualización de la información de algunos de los otros métodos de descubrimiento descritos en este documento para que pueda tomar medidas al respecto.
- Herramientas de supervisión de la nube: En este modelo, un conjunto de integraciones api en los principales proveedores de la nube proporciona una visión profunda de los activos generados en esos entornos. Muchas de estas herramientas interactúan con la configuración del entorno de la nube y no evalúan realmente lo que ocurre en el propio host. Éstas profundizan mucho en la búsqueda de riesgos en proveedores de nube conocidos utilizando datos de configuración, pero a menudo no encuentran cuentas en la sombra en esos proveedores conocidos y proveedores de nube desconocidos, o lo que nosotros llamamos ShadowCloudTM.
- Perspectiva a través de Internet: En Censys, adoptamos un enfoque diferente a los modelos que hemos repasado anteriormente. Observamos Internet en su totalidad a través de años de investigación académica realizada en la Universidad de Michigan que nos permite descubrir, rastrear y supervisar todos los dispositivos expuestos públicamente a Internet. De hecho, y hablando con propiedad, vemos más del 40% de Internet que nuestro competidor más cercano. Esto es clave para encontrar todo el material de cola larga que hay ahí fuera, que es donde todos los riesgos se esconden en las sombras. Gracias a un algoritmo que llevamos años desarrollando, podemos utilizar estos datos junto con otros conjuntos de datos para asociar o atribuir los activos que pertenecen a una organización. Piense en nombres, certificados, datos WhoIS, bases de datos de adquisiciones, etc. El algoritmo utiliza nuestros conjuntos de datos universales de Internet para hacer pivotar todo lo que encontramos para construir un gráfico de una organización. Lo mejor es que no sólo vemos la infraestructura creada dentro de la organización, sino que también podemos encontrar infraestructura creada por terceros, trabajadores desde casa e incluso infraestructura creada por atacantes para hacerse pasar por la organización. Encontrará infraestructuras que no se ven únicamente a través de las integraciones y la supervisión del tráfico. Por último, nos permite realizar investigaciones interesantes en varias empresas y en Internet.
ShadowCloud es la norma. En una muestra representativa de más de 50 grandes organizaciones, encontramos los principales proveedores de nubes públicas y privadas que suministran una mezcla de IaaS, PaaS, SaaS y CDN. Pudimos asociar las superficies de ataque de nuestra muestra con los siguientes proveedores de servicios en la nube:
Impactante, ¿verdad? Y la lista es aún más larga, pero ésta es una buena muestra. Algunos de ellos podrían incluso causar importantes quebraderos de cabeza en materia de cumplimiento. Nuestros clientes suelen conocer a los 3-5 principales proveedores de servicios en la nube, pero se sorprenden al descubrir que tienen una larga cola de proveedores de servicios en la nube como parte de su superficie de ataque. Nuestra investigación muestra que esta larga cola de instancias en la nube desconocidas suele contener algunos de los mayores riesgos de fuga de datos y acceso no autorizado.
Creemos que una combinación de descubrimiento de activos, utilizando algunas de las mejores técnicas descritas anteriormente, combinada con una perspectiva de todo Internet, es el único enfoque para encontrar todos sus activos y sus riesgos. La gestión de la superficie de ataque consiste en descubrir todos sus activos externos y sus riesgos, pero lo más importante es proporcionar visibilidad en el ecosistema de la nube, dinámico y en rápido crecimiento. En Censys, somos la gestión de la superficie de ataque para aquellos que migran a la nube y buscan una línea de base de sus activos externos para conseguir una nube en la sombra en un estado gestionado.
Póngase en contacto con nosotros y estaremos encantados de profundizar con usted en el aspecto de su larga cola en la nube; lo más probable es que se lleve una gran sorpresa.
