Cuando escuchas la frase “fatiga por alertas”, ¿qué es lo primero que viene a su mente? ¿La Seguridad en la Nube?
Para un profesional que trabaja en la protección de cargas de trabajo en la nube, esta cuestión ya conlleva decenas de elementos como
CSPM
CSPM significa “Gerente de Producto Seguro Certificado”.
Es un programa de certificación que tiene como objetivo enseñar a las personas las habilidades necesarias para gestionar el desarrollo de productos de software seguros.
La certificación es ofrecida por la Asociación Internacional de Informática y Tecnología de la Información (IACSIT).
Para obtener la certificación CSPM, las personas deben aprobar un examen que abarca temas como el desarrollo seguro, la gestión de riesgos y la criptografía.
CWPP
La Plataforma de protección de carga de trabajo en la nube (CWPP, por sus siglas en inglés) es una solución de seguridad que ayuda a proteger entornos y cargas de trabajo en la nube de amenazas cibernéticas.
Los CWPP suelen utilizar una combinación de tecnologías, como firewalls, software antivirus, sistemas de detección y prevención de intrusiones y otras medidas de seguridad para proteger sistemas y datos basados en la nube.
Pueden utilizarse para proteger una variedad de plataformas en la nube, incluyendo la nube pública, la nube privada y los entornos híbridos.
Algunos CWPP también ofrecen características adicionales, como el monitoreo y el informe de cumplimiento, la prevención de pérdida de datos y las capacidades de respuesta a incidentes.
EDR
Un EDR es un “registro de eventos de detección de intrusiones”. Es una herramienta de seguridad informática que recopila información sobre actividades sospechosas o malintencionadas en una red de computadoras.
Los sistemas EDR monitorizan continuamente el tráfico de red y los procesos en ejecución en los dispositivos de la red, y registran cualquier actividad que pueda ser indicativa de una intrusión o un ataque.
Los registros de eventos de detección de intrusiones se utilizan para analizar y detectar patrones de comportamiento anormales, y para llevar a cabo investigaciones en caso de una posible violación de la seguridad.
Firewalls
Un firewall es un sistema de seguridad que protege una red de computadoras de accesos no autorizados o de ataques externos.
Funciona como un filtro que controla el tráfico entrante y saliente de la red, permitiendo solo el tráfico que cumple con ciertas reglas o condiciones.
Los firewalls pueden ser hardware o software, y suelen utilizarse para proteger redes privadas como las de una empresa o un hogar, así como para proteger ordenadores individuales.
Los firewalls pueden configurarse para bloquear ciertos tipos de tráfico, como el tráfico de red de determinados protocolos o de ciertos puertos, o para permitir solo el tráfico de determinadas aplicaciones o servicios.
IPS
Un Sistema de Prevención de Intrusiones (IPS, por sus siglas en inglés) es una solución de seguridad que se utiliza para detectar y prevenir intentos de acceso no autorizado o ataques maliciosos en una red o sistema informático. El IPS monitorea el tráfico de red en tiempo real y utiliza un conjunto de reglas o patrones para identificar actividades sospechosas o potencialmente malintencionadas. Cuando se detecta una actividad sospechosa, el IPS puede tomar medidas para bloquearla o alertar a los administradores de sistemas sobre el problema.
Seguridad de contenedores
Los contenedores son una forma de empaquetar y distribuir aplicaciones de software en un formato que pueda ser fácilmente implementado y ejecutado en cualquier entorno. Al aislar cada aplicación en un contenedor, es posible asegurar que la aplicación no tenga acceso a recursos del sistema operativo que no le corresponden y que no pueda interferir con otras aplicaciones en el sistema.
Sin embargo, es importante tener en cuenta que los contenedores no proporcionan una seguridad perfecta. Es necesario tomar medidas adicionales para asegurar que los contenedores y la plataforma en la que se ejecutan estén configurados y mantenidos de manera segura. Algunas de las medidas que se pueden tomar para mejorar la seguridad de los contenedores incluyen:
Utilizar imágenes de contenedor oficiales y verificadas: Las imágenes de contenedor oficiales suelen ser más seguras que las imágenes de terceros, ya que han sido probadas y verificadas por el equipo de desarrollo de la aplicación.
No ejecutar contenedores como root: Es recomendable no ejecutar contenedores como root, ya que esto podría darles acceso a todos los recursos del sistema y hacerlos más propensos a ser atacados.
Utilizar capacidades de aislamiento de contenedor: Algunos sistemas operativos, como Linux, ofrecen capacidades de aislamiento de contenedor que permiten limitar el acceso de los contenedores a los recursos del sistema.
Mantener el sistema operativo y los contenedores actualizados: Es importante mantener el sistema operativo y los contenedores actualizados con las últimas correcciones de seguridad y parches.
Utilizar una plataforma de contenedores segura: Las plataformas de contenedores como Kubernetes ofrecen un conjunto de características de seguridad que pueden ayudar a proteger los contenedores y la plataforma en sí.
En resumen, es importante tomar medidas adicionales para asegurar la seguridad de los contenedores y la plataforma en la que se ejecutan.
Utilizar imágenes de contenedor oficiales, no ejecutar contenedores como root, utilizar capacidades de aislamiento de contenedor y mantener el sistema operativo y los contenedores actualizados pueden ayudar a proteger contra posibles vulnerabilidades.
Estándar de seguridad del proveedor de la nube
Los estándares de seguridad de proveedor de nube son esenciales para garantizar la confidencialidad, integridad y disponibilidad de los datos y el sistema de un proveedor de nube.
Los estándares de seguridad de proveedor de nube pueden incluir medidas de seguridad físicas y lógicas, como controles de acceso físico, cifrado de datos, monitoreo de seguridad y políticas de contraseña seguras.
 | Información de valor para ejecutivos que toman decisiones de neocios |
Además, los proveedores de nube también pueden utilizar estándares de seguridad industriales, como el Marco de Control de Seguridad de la Información (ISCM, por sus siglas en inglés).
También en el Marco de Control de Seguridad de la Nube (CSCF, por sus siglas en inglés), para garantizar que sus prácticas de seguridad cumplan con los estándares del sector.
Los estándares de seguridad de proveedor de nube son importantes porque los datos almacenados en la nube son a menudo sensibles y deben protegerse de accesos no autorizados.
Además, los proveedores de nube son responsables de proteger los datos y el sistema de sus clientes y deben garantizar que cumplan con los requisitos de seguridad apropiados.
Control de usuarios
El control de usuarios de un sistema se refiere a la gestión de quiénes tienen acceso al sistema y qué acciones pueden realizar en él.
Esto incluye la autenticación de usuarios, que es el proceso de verificar la identidad de un usuario al iniciar sesión en el sistema, y la autorización, que es el proceso de determinar qué acciones puede realizar un usuario una vez que ha iniciado sesión.
El control de usuarios de un sistema también puede incluir la gestión de cuentas de usuario, la asignación de roles y permisos a los usuarios y la supervisión del uso del sistema por parte de los usuarios.
Esto puede ser especialmente importante en sistemas que almacenan y procesan información confidencial o que realizan funciones críticas para una organización.
Mínimo privilegio
Es un conjunto limitado de derechos y permisos que se asignan a un usuario o proceso en un sistema informático.
Este enfoque se utiliza a menudo para limitar el acceso y la capacidad de un usuario o proceso para realizar ciertas acciones que podrían ser peligrosas o innecesarias para su función específica.
Asignar el mínimo privilegio requerido para realizar una tarea es una medida de seguridad importante que puede ayudar a proteger un sistema contra el uso no autorizado y la explotación de vulnerabilidades.
Auditoría de Seguridad Informática
La auditoría de seguridad informática es el proceso de evaluar la seguridad de un sistema informático para determinar si se están cumpliendo adecuadamente los objetivos de seguridad.
Esto incluye el análisis de la arquitectura del sistema, la política de seguridad, el cumplimiento de las normas y regulaciones y el nivel de protección de los datos.
La auditoría de seguridad informática es una herramienta importante para garantizar la confidencialidad, integridad y disponibilidad de la información en un sistema informático.
DLP
DLP (Data Loss Prevention) es una tecnología que protege la información confidencial y los datos sensibles de una organización.
Se utiliza para prevenir la pérdida de datos a través de la detección y el bloqueo de acciones no autorizadas que pueden poner en riesgo la información confidencial.
La tecnología DLP se utiliza a menudo en el ámbito empresarial para proteger la información confidencial, como números de tarjetas de crédito, contraseñas y datos financieros.
Se puede implementar en diversos puntos de la red de una empresa, como en el correo electrónico, el tráfico web y el almacenamiento de datos.
El uso de estas herramientas tiene como principal objetivo cuidar y proteger nuestros datos y servicios en diferentes capas -lo cual es necesario, porque sabemos que la seguridad integral necesita diferentes miradas, enfoques.
Por tanto, capas de protección-, pero la gestión del material generado por todas estas herramientas es uno de los puntos de mayor preocupación para los equipos de TI y seguridad.
Estas herramientas pueden generar, por ejemplo, una media de 700 alertas al día.
Esto es lo que llamamos fatiga de alerta
Las alertas son fundamentales, pero deben tener sentido y ser pertinentes, es decir, necesitan contexto para guiar a los equipos de seguridad en el proceso de toma de decisiones.
Imagina que eres responsable de la seguridad en la nube de tu empresa y que utilizas herramientas que te informan de las vulnerabilidades.
Hoy ha aparecido la misma vulnerabilidad crítica en 100 de tus instancias. Las 100 tienen la misma vulnerabilidad, ¿cuál corregirías primero? Difícil decisión, ¿verdad?
Pero ¿y si sabes que, de esas 100 instancias, 50 están expuestas a Internet?
De esos 50 expuestos, diez están conectados a datos sensibles (como un cubo con datos personales de clientes) y de esos diez, dos tuvieron contacto con una red de bots.
Ahora es más fácil, ¿no? En otras palabras, si tenemos una vulnerabilidad crítica explotada como la del ejemplo, sabremos cuáles son las dos que representan más riesgo o causarán más daño.
Hoy es posible reducir esta complejidad derivada de la fatiga de alertas. Por ello, es clave utilizar una solución de seguridad que recoja estas alertas, que genere automáticamente puntuaciones de riesgo mediante aprendizaje automático y que esté integrada con las herramientas nativas de los proveedores de la nube. Recibir un informe con el contexto de qué recurso y qué corre mayor riesgo, marcará la diferencia en la gestión eficaz de la seguridad de su nube.
Por: Fabio Gallego, Ingeniero experto en Nube Pública de Fortinet para América Latina y el Caribe
Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas,
Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas, Fatiga por alertas,
Lea más sobre ciberseguridad
ISO 27001: arranca el año y hay que revisar la planificación
Trident Ursa: Gamaredon, UAC-0010, Primitive Bear, Shuckworm
Infraestructuras críticas son foco de ciberataques en 2022