Hacen falta buenas prácticas en ambientes de la nube
El cambio constante del cómputo en la nube se ha vuelto un gran desafío para la seguridad informática, con ramificaciones en todos los sentidos, desde distintos niveles de cifrado hasta acceso público a Internet innecesario.
Investigaciones realizadas por el equipo de RedLock Cloud Security Intelligence (CSI) muestran que en las infraestructuras de la nube hay una gran falta de buenas prácticas de seguridad. En general, el 55% de las organizaciones no cuenta con una validación de seguridad establecida, dijo el Centro de Seguridad de Internet (CIS). Más de la mitad de las violaciones (54%) son problemas de seguridad que permiten conexiones vía SSH hacia los equipos. Violaciones de seguridad media, relacionadas con la falta de autenticación multi factor, son un problema para el 37% de los usuarios IAM. Recientemente el 9% de las violaciones de seguridad clasificadas como de bajo impacto están relacionadas con la falta de inicio de sesión en sistemas como Servicio de Almacenamiento Simple de Amazon (S3).
Por ejemplo, las bases de datos que contienen información sensible deberían encontrarse siempre cifradas, especialmente en industrias que sigan los mandatos de cumplimiento PCI e HIPPA. Aun así, el 82% de las bases de datos que se encuentran en ambientes computacionales de la nube (como el Servicio de Bases de Datos Relacionales de Amazon y Amazon Redshift) no se encuentran cifradas.
Cerca de un tercio (31%) de esas bases de datos aceptan peticiones de internet, especialmente MongoDB. Un 40% de las organizaciones que hacen uso de almacenamiento en la nube como el Servicio de Almacenamiento Simple de Amazon (Amazon S3) han expuesto sin saberlo información de uno o más servicios al público.
Esto podría tener una gran cantidad de ramificaciones en el área de seguridad: en marzo del 2017, al menos 20,000 registros de empleados que contienen información sensible han sido expuestos a Scottrade debido a malas configuraciones.
En el aspecto de salida de tráfico, un alarmante 93% de los recursos públicos en ambientes utilizados en la nube no restringen la salida del tráfico del todo, permitiendo la fuga de información mediante puertas traseras.
Mientras tanto, el hecho de cifrar la información permite evitar ataques de hombre en el medio (Man-In-The-Middle o MIM), los cuales son aceptados por los administradores de Tecnologías de la Información. Sin embargo, la investigación reveló que el 51% del tráfico de red en ambientes en la nube continúan efectuándose por el puerto 80, que es utilizado de forma predeterminada para el servicio web y recibe el tráfico en claro (sin cifrar).
“Idealmente, solo los balanceadores de carga y equipos que ofrezcan seguridad hacia la red interna de la organización deberían poder ser vistos solo desde Internet”, explicó la firma. “Sin embargo, el equipo encontró que el 9% de la carga de trabajo ya sea de los balanceadores de carga o de los equipos de seguridad aceptan tráfico desde cualquier dirección IP o puerto”.
Además, la investigación reveló que el 58% de las cuentas administrativas no tienen una autenticación multi factor (MFA) habilitada y el 63% de las contraseñas no han sido modificadas en los últimos 90 días. Cerca del 14% de las cuentas son latentes, es decir, cuentas que tienen credenciales activas y válidas, pero que no se han utilizado en los últimos 90 días, indicando que no se han realizado actualizaciones de seguridad en estos equipos.
“Si alguna cuenta administrativa es comprometida, los atacantes tendrán las llaves del reino”, se menciona en el reporte.
Para poner las cosas en contexto, esta situación es con la que deben de lidiar los administradores de sistemas en la nube.
“La protección de infraestructuras públicas en la nube no es simplemente el uso de soluciones de seguridad para proteger los ambientes dinámicos”, dijo RedLock- “Para explicar mejor la situación, nuestra investigación indica que el porcentaje de tiempo de vida de un recurso en la nube es de 127 minutos. El problema es la gran cantidad de ambientes en la nube con miles de recursos”.