Afrontar lo desconocido en el laberinto de la nube híbrida
Se estima que el mercado español de cloud pública crecerá a una tasa anual compuesta del 21.9 por ciento entre 2021 y 2025, alcanzando al final de este periodo una facturación de 5.143 millones de euros, principalmente por el auge de la oficina híbrida.
Esto sugiere claramente que gran parte de ese crecimiento se producirá en la creación de entornos de nube híbrida. Las historias de crecimiento son siempre buenas noticias, pero muchas vienen acompañadas de advertencias. Y el lado oscuro de la moda de la nube híbrida son los ciberataques.
Es una historia que trata de “más”. Una espiral de “más”. Más superficie de ataque. Métodos más sofisticados. Más herramientas de ciberseguridad. Más agotamiento del personal de seguridad, más rotación, más lagunas de talento. Más de todo, excepto de lo que realmente necesita la función de ciberseguridad: más eficacia de las señales. Nosotros lo llamamos Attack Signal IntelligenceTM (Inteligencia de Señales de Ataque), la culminación de décadas de I+D, de análisis de los comportamientos de los atacantes y de mejora de los modelos de Inteligencia Artificial (IA) y de Aprendizaje Automático (ML) para detectar dichos comportamientos. Hoy en día, mientras que muchos enfoques de IA requieren mucha aportación humana, la Inteligencia de Señales de Ataque construye una comprensión semántica no supervisada del atacante y del entorno individual a defender.
La inteligencia de señales de ataque será fundamental en la empresa moderna, que se ha vuelto irreversiblemente híbrida en su combinación de tecnologías. Según los investigadores de IBM Security, el 45% de las brechas en 2021 ocurrieron en la nube. Vectra AI ha descubierto que el 72% de los líderes de seguridad temen que un atacante ya se haya infiltrado en su entorno, pero carecen de los medios para verificar si esto ha sucedido o dónde. Los CISO y sus equipos del Centro de Operaciones de Seguridad (SOC) trabajan en un mundo frustrante de incógnitas como esta. A medida que se producen más incidentes en la nube, la mentalidad de "la prevención es lo primero" puede convertirse rápidamente en una mentalidad de "ceguera tolerada", que hará que los atacantes se alegren. La visibilidad debe ser la prioridad. Nuestros defensores ciegos no pueden hacer su trabajo a menos que les abramos los ojos. Y lo hacemos mediante la aplicación de tres pilares diseñados para abordar tres incógnitas.
Incógnitas conocidas
Comenzamos con la exposición desconocida. Los responsables de gobernanza, riesgos y cumplimiento (GRC) pueden colaborar con los equipos de gestión de la postura de seguridad en la nube (CSPM) en la detección de vulnerabilidades (configuraciones erróneas, actualizaciones descuidadas y similares); e incluso pueden pensar que eso es suficiente para evitar que los atacantes se infiltren en la nube. Sin embargo, según una encuesta realizada en 2021 por Check Point Software, el 75% de los ciberataques que tuvieron éxito el año anterior explotaron vulnerabilidades que tenían más de dos años, por lo que el enfoque actual puede necesitar algunos ajustes.
Una vez que hemos terminado con la cuestión de por dónde podría penetrar un atacante en el perímetro, pasamos a si ya lo ha hecho y, en caso afirmativo, por dónde. Un ataque desconocido es la pesadilla de todo CISO, especialmente dadas las limitaciones de las soluciones puntuales actuales para cubrir redes, puntos finales y todo lo que hay en medio. Si añadimos elementos de la nube como IaaS, PaaS, SaaS, empezamos a darnos cuenta de lo compleja que es la ciberseguridad de la nube híbrida. Y, sin embargo, todavía encontramos a menudo herramientas aisladas que envían un tapiz de telemetría al personal del SOC. Los atacantes se contentan con esconderse en el ruido blanco, enmascarados por un aluvión de falsos positivos y ayudados por el hecho de que sus adversarios sufren fatiga de alertas.
El problema del ruido blanco también alimenta nuestra tercera incógnita. Puede que hayamos encontrado el agujero en la pared; ahora debemos buscar al infiltrado y su carga útil. Amenazas desconocidas: ¿por dónde empezamos a buscar? ¿Cómo descubrimos cómo progresan? Los defensores y los equipos de respuesta a incidentes pueden verse frenados por las soluciones puntuales, corriendo de un panel a otro para intentar recomponerlo todo. Esto puede llevar a un descubrimiento tardío, lo que causaría un desastre.
Tres retos
Es hora de cambiar. La resiliencia de la nube híbrida es fundamental, pero a menudo carecemos de las habilidades y/o el talento para proporcionarla. Si queremos encontrar el camino hacia la claridad de las señales y romper el ciclo del "más", debemos abordar tres retos. En primer lugar, nuestra gente necesita nuestro apoyo. Están quemados o en vías de estarlo. Por lo general, son demasiado jóvenes para tener la experiencia necesaria e incluso puede que no tengan los conocimientos adecuados para hacer frente a la escalada de las incursiones de amenazas y su sofisticación, o para comprender los entresijos de la seguridad en la nube.
El segundo reto reside en nuestros procesos. Cuando IBM Security nos dice que las organizaciones tardan una media de 10 meses en identificar y contener una infracción, sabemos que tenemos que implantar la automatización de inmediato. Después vendrán menos tareas manuales y una mejor orquestación del flujo de trabajo. Y, en tercer lugar, debemos abordar nuestras carencias tecnológicas, donde los SOC ciegos luchan sin éxito por controlar sus entornos y las amenazas a las que se enfrentan. Llamémoslo las tres V: visibilidad, visibilidad, visibilidad.
Si le parece que todo viene de tres en tres (tres pilares, tres incógnitas, tres retos), aquí tiene otro: tres prestaciones que garantizarán una verdadera Inteligencia de Señales de Ataque en una nube híbrida. La primera es la cobertura de ataques. Los equipos SOC deben consolidar sus capacidades de visibilidad y detección de amenazas en todas sus superficies de ataque híbridas y multicloud: IaaS, PaaS, SaaS, identidad y redes. La segunda es la claridad de la señal, que exige que los equipos SOC conozcan el punto de intrusión de un ataque y por dónde se mueve el atacante, para que puedan priorizar el tiempo y los recursos. Esta prestación constituye el núcleo de la Inteligencia de Señales de Ataque y aprovecha algunas de las IA más avanzadas del sector. Es esta claridad de las señales lo que permitirá a los investigadores y cazadores volver a hacer lo que mejor saben hacer: investigar y cazar amenazas. Por último, el control inteligente significa tener el contexto adecuado al alcance de la mano para acelerar las investigaciones, automatizar los flujos de trabajo y orientar la acción de respuesta para interrumpir o contener un ataque. Invierta en las herramientas, procesos y guías de actuación adecuados para aumentar la eficiencia y eficacia de los SOC.
Cambio de dirección
La espiral de "más" debe terminar, o nuestro futuro de nube híbrida será de estancamiento en el mejor de los casos. Extrapolar las tendencias de ataque actuales nos lleva a un escenario ridículo en el que el comercio se detiene porque nos pasamos todo el tiempo pagando rescates y limpiando el entorno. Hay otra solución. Podemos limpiar nuestros métodos y dar a la Inteligencia de Señales de Ataque su merecido turno.
Eutimio Fernández, Country Manager para la Península Ibérica de Vectra AI