14 de octubre de 2024The Hacker NewsSeguridad/vulnerabilidad en la nube Históricamente, el vínculo entre las prácticas de detección y respuesta (DR) y la seguridad en la nube ha sido débil. A medida que las organizaciones globales adoptan cada vez más entornos de nube, las estrategias de seguridad se han centrado en gran medida en prácticas de «giro a la izquierda»: proteger el código, garantizar una postura adecuada en la nube y corregir errores de configuración. Sin embargo, este enfoque ha llevado a una dependencia excesiva de una multitud de herramientas de recuperación ante desastres que abarcan infraestructura de nube, cargas de trabajo e incluso aplicaciones. A pesar de estas herramientas avanzadas, las organizaciones suelen tardar semanas o incluso meses en identificar y resolver incidentes. Si a esto le sumamos los desafíos de la proliferación de herramientas, los crecientes costos de seguridad en la nube y los abrumadores volúmenes de falsos positivos, queda claro que los equipos de seguridad están al límite. Muchos se ven obligados a tomar decisiones difíciles sobre contra qué violaciones de la nube pueden defenderse de manera realista. Siguiendo estos cinco pasos específicos, los equipos de seguridad pueden mejorar enormemente sus capacidades de detección y respuesta en tiempo real para ataques en la nube. Paso 1: Agregar visibilidad y protección en tiempo de ejecución Cuando los equipos de seguridad carecen de visibilidad en tiempo real, esencialmente operan a ciegas, incapaces de responder eficazmente a las amenazas. Si bien las herramientas de monitoreo nativas de la nube, las soluciones de seguridad de contenedores y los sistemas EDR ofrecen información valiosa, tienden a centrarse en capas específicas del entorno. Se logra un enfoque más completo mediante el uso de sensores eBPF (filtro de paquetes extendido Berkeley). eBPF permite una observabilidad profunda y en tiempo real en toda la pila (red, infraestructura, cargas de trabajo y aplicaciones) sin interrumpir los entornos de producción. Al operar a nivel de kernel, ofrece visibilidad sin agregar sobrecarga de rendimiento, lo que la convierte en una solución poderosa para la seguridad en tiempo de ejecución. A continuación se presentan algunas capacidades clave que se pueden aprovechar en este paso: Gráficos de topología: muestra cómo se comunican y conectan los activos híbridos o de múltiples nubes. Visibilidad total de los activos: muestra todos los activos del entorno, incluidos clústeres, redes, bases de datos, secretos y sistemas operativos, todo en un solo lugar. Información sobre conectividad externa: identifica conexiones con entidades externas, incluidos detalles sobre el país de origen e información DNS. Evaluaciones de riesgos: evalúe el nivel de riesgo de cada activo, junto con su impacto en el negocio. Paso 2: Utilice una estrategia de detección de múltiples capas A medida que los atacantes continúan evolucionando y evadiendo la detección, se vuelve más difícil encontrar y detener las infracciones antes de que se desarrollen. El mayor desafío al hacerlo radica en detectar intentos de ataque a la nube en los que los adversarios son sigilosos y explotan múltiples superficies de ataque (desde la explotación de la red hasta la inyección de datos dentro de un servicio administrado) y al mismo tiempo evaden la detección mediante la detección y respuesta en la nube (CDR), la detección de cargas de trabajo en la nube y respuesta (CWPP/EDR) y soluciones de detección y respuesta de aplicaciones (ADR). Esta estrategia fragmentada ha demostrado ser inadecuada y permite a los atacantes aprovechar las brechas entre capas para pasar desapercibidos. La supervisión de la nube, las cargas de trabajo y las capas de aplicaciones en una única plataforma proporciona la cobertura y protección más amplias. Permite correlacionar la actividad de las aplicaciones con los cambios de infraestructura en tiempo real, garantizando que los ataques ya no pasen desapercibidos. Estas son algunas capacidades clave que se pueden aprovechar en este paso: Detección de pila completa: detecta incidentes de múltiples fuentes en la nube, aplicaciones, cargas de trabajo, redes y API. Detección de anomalías: utiliza aprendizaje automático y análisis de comportamiento para identificar desviaciones de los patrones de actividad normales que pueden indicar una amenaza. Detecta amenazas conocidas y desconocidas: identifica eventos según firmas, IoC, TTP y tácticas conocidas de MITRE. Correlación de incidentes: correlaciona eventos de seguridad y alertas entre diferentes fuentes para identificar patrones y amenazas potenciales. Comience hoy con la detección y respuesta de múltiples capas. Paso 3: Ver las vulnerabilidades en el mismo panel que sus incidentes Cuando las vulnerabilidades se aíslan de los datos del incidente, aumenta la posibilidad de que se produzcan retrasos en las respuestas y la supervisión. Esto se debe a que los equipos de seguridad terminan careciendo del contexto que necesitan para comprender cómo se explotan las vulnerabilidades o la urgencia de parchearlas en relación con los incidentes en curso. Además, cuando los esfuerzos de detección y respuesta aprovechan el monitoreo del tiempo de ejecución (como se explicó anteriormente), la gestión de vulnerabilidades se vuelve mucho más efectiva, centrándose en los riesgos activos y críticos para reducir el ruido en más del 90 %. Estas son algunas de las capacidades clave que se pueden aprovechar en este paso: Priorización de riesgos: evalúa las vulnerabilidades según criterios críticos, como si están cargadas en la memoria de la aplicación, si se ejecutan, si son públicas, si son explotables o reparables, para centrarse en las amenazas que realmente atacan. asunto. Descubrimiento de causa raíz: encuentra la causa raíz de cada vulnerabilidad (hasta la capa de la imagen) para abordar la raíz lo antes posible y corregir varias vulnerabilidades a la vez. Validación de correcciones: aprovecha el escaneo ad hoc de imágenes antes de implementarlas para garantizar que se aborden todas las vulnerabilidades. Cumplimiento de las regulaciones: enumera todas las vulnerabilidades activas como un SBOM para cumplir con las regulaciones regionales y de cumplimiento. Paso 4: Incorpore identidades para comprender «quién», «cuándo» y «cómo». Los actores de amenazas a menudo aprovechan las credenciales comprometidas para ejecutar sus ataques, participando en robo de credenciales, apropiación de cuentas y más. Esto les permite hacerse pasar por usuarios legítimos dentro del entorno y pasar desapercibidos durante horas o incluso días. La clave es poder detectar esta suplantación y la forma más eficaz de hacerlo es estableciendo una línea de base para cada identidad, humana o no. Una vez que se comprende el patrón de acceso típico de una identidad, es fácil detectar comportamientos inusuales. Estas son algunas capacidades clave que se pueden aprovechar en este paso: Monitoreo de línea base: implementa herramientas de monitoreo que capturan y analizan el comportamiento de línea base tanto para los usuarios como para las aplicaciones. Estas herramientas deben rastrear los patrones de acceso, el uso de recursos y la interacción con los datos. Seguridad de identidades humanas: se integra con proveedores de identidades para brindar visibilidad del uso de identidades humanas, incluidos tiempos de inicio de sesión, ubicaciones, dispositivos y comportamientos, lo que permite una detección rápida de intentos de acceso inusuales o no autorizados. Seguridad de identidades no humanas: rastrea el uso de identidades no humanas, brinda información sobre sus interacciones con los recursos de la nube y resalta cualquier anomalía que pueda indicar una amenaza a la seguridad. Seguridad de secretos: identifica todos los secretos de su entorno de nube, realiza un seguimiento de cómo se utilizan en tiempo de ejecución y resalta si están administrados de forma segura o si corren riesgo de exposición. Paso 5: Tener una multitud de acciones de respuesta disponibles para la intervención contextual. Cada intento de infracción tiene sus propios desafíos únicos que superar, por lo que es esencial tener una estrategia de respuesta flexible que se adapte a la situación específica. Por ejemplo, un atacante podría implementar un proceso malicioso que requiera una terminación inmediata, mientras que un evento en la nube diferente podría implicar una carga de trabajo comprometida que deba ponerse en cuarentena para evitar daños mayores. Una vez que se detecta un incidente, los equipos de seguridad también necesitan el contexto para poder investigar rápidamente, como historias completas de ataques, evaluaciones de daños y guías de respuesta. Estas son algunas capacidades clave que se pueden aprovechar en este paso: Guías: proporcione respuestas paso a paso para cada incidente detectado para intervenir con confianza y poner fin a la amenaza. Intervención de ataque personalizada: ofrece la capacidad de aislar cargas de trabajo comprometidas, bloquear el tráfico de red no autorizado o finalizar procesos maliciosos. Análisis de causa raíz: determina la causa subyacente del incidente para evitar que se repita. Esto implica analizar el vector de ataque, las vulnerabilidades explotadas y las debilidades de las defensas. Integración con SIEM: se integra con sistemas de gestión de eventos e información de seguridad (SIEM) para mejorar la detección de amenazas con datos contextuales. Al implementar estos cinco pasos, los equipos de seguridad pueden aumentar sus capacidades de detección y respuesta y detener eficazmente las infracciones de la nube en tiempo real con total precisión. El momento de actuar es ahora: comience hoy con Sweet Security. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.