La computación en la nube ha revolucionado la forma en que las organizaciones gestionan su infraestructura tecnológica. Ahora, es posible aprovechar la potencia de una infraestructura avanzada sin incurrir en los costos iniciales que tradicionalmente se requerían para las redes locales. La provisión de recursos de TI requiere poco conocimiento de la infraestructura subyacente. Al permitir a los usuarios crear recursos con unas simples configuraciones, la implementación no requiere mucho más que unos clics del ratón. Sin embargo, aunque esto es beneficioso para las organizaciones, el conocimiento superficial de un recurso de TI específico puede dejarlo vulnerable a una serie de problemas de ciberseguridad.
Un ejemplo de esto es un cubo AWS S3 mal configurado, que puede exponer datos sensibles. Esto fue lo que causó brechas de datos en empresas como Netflix, Ford, TD Bank, Capital One y muchas otras. Es importante comprender los desafíos de asegurar la nube para evitar este tipo de situaciones.
Una de las formas más sencillas de garantizar que no se pierdan eventos importantes y tener una forensia completa en caso de un problema de seguridad es mediante el tráfico de espejo completo y el análisis de paquetes. Para los datos en las instalaciones, no hay costos adicionales para el tráfico de espejo y el registro adecuado, pero los proveedores de servicios en la nube como AWS cobran por cada sesión de espejo de VPC, así como por el ancho de banda necesario para transferir los datos. Con el fin de reducir costos, las organizaciones a menudo eliminan el espejo de algunos datos que consideran innecesarios. Desafortunadamente, esto representa un gran riesgo, ya que también se pueden eliminar elementos clave esenciales para una forensia efectiva después de un evento de ciberseguridad. La falta de datos puede hacer imposible identificar vulnerabilidades y monitorear eventos diarios.
Los ataques de denegación de servicio distribuido (DDoS) siguen siendo una amenaza para las organizaciones, ya que los actores malintencionados siguen desarrollando mejores medidas ofensivas. Las amenazas persistentes avanzadas (APT), como el espionaje, el malware o el ransomware, pueden tardar meses en detectarse y varias semanas en contenerse. Stuxnet es otro ejemplo infame de cómo los atacantes pueden permanecer indetectados durante largos períodos de tiempo. Sin un tráfico y registro adecuados, la detección de intrusiones se ve afectada y puede dar lugar a brechas de datos masivas que cuestan mucho más que el presupuesto destinado al espejo y la agregación de datos. Sin embargo, incluso las organizaciones que integran soluciones de monitoreo adecuadas se enfrentan a una avalancha de alertas falsas positivas. Demasiadas alertas falsas positivas llevan a la fatiga del analista, lo que aumenta el riesgo de perder señales de un ataque real.
Para abordar estos desafíos, se ha desarrollado la gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés). Aunque el término SIEM se acuñó por primera vez en la década de 2000, el registro del tráfico de red e identificación de amenazas ha existido durante décadas. Es una parte esencial de las defensas de ciberseguridad que brinda a las organizaciones una forma de contener rápidamente las amenazas antes de que los atacantes puedan extraer grandes cantidades de datos o inyectar malware en los sistemas.
En resumen, la seguridad en la nube presenta desafíos únicos que las organizaciones deben abordar para proteger sus datos y sistemas. La comprensión de estos desafíos y la implementación de soluciones como SIEM son fundamentales para garantizar la seguridad en un entorno cada vez más digitalizado.
