En 2006, Amazon Web Services (AWS), el primer proveedor de nube pública, ofreció servicios disponibles públicamente como Elastic Computer Cloud (EC2) y Simple Storage Services (Amazon S3). Cuatro años después, en 2010, Microsoft lanzó Microsoft Azure (que inicialmente se llamó Azure). Por último, en 2011, Google presentó Google Cloud Platform (GCP), un conjunto de servicios de computación en la nube que se ejecutan en la misma infraestructura que Google utiliza internamente. Hasta la fecha, estos tres proveedores de nube han dominado el mercado global de la nube, con AWS manteniendo su posición como líder del mercado. Las investigaciones muestran que entre 2010 y 2020, el mercado global de computación en la nube aumentó un 535%, de $ 24.6 mil millones a $ 156.4 mil millones, y la popularidad del trabajo remoto se considera uno de los factores clave que impulsan este crecimiento. La era del trabajo remoto y la computación en la nube Durante la pandemia de Covid-19, debido a preocupaciones de seguridad y salud pública, muchas organizaciones implementaron planes de trabajo remoto, considerándolo como el equilibrio adecuado entre la disrupción social y la destrucción económica de los cierres y restricciones. Incluso tres años después de la pandemia, el trabajo remoto ha surgido como una tendencia dominante en el lugar de trabajo moderno. Según WFHResearch, el 12,7% de los empleados a tiempo completo trabajan desde casa. Un 28,2% adicional se ha adaptado al modelo híbrido, que combina el trabajo desde casa y el trabajo en la oficina. De hecho, el 16% de las empresas incluso operan sin una oficina física. En 2020, el 61% de las empresas migraron sus cargas de trabajo a la nube, lo que demuestra la importancia de la computación en la nube para facilitar el trabajo remoto. La pandemia de Covid-19 ha transformado la forma en que operan las empresas y ha alterado el panorama de la ciberseguridad. La necesidad de tecnología flexible, accesible y confiable nunca ha sido más pronunciada. Evolución de las ciberamenazas y defensas A mediados de los 90, la ciberseguridad se centraba en la protección física de los servidores y las comunicaciones. El cifrado se consideraba suficiente. Sin embargo, a medida que las redes comenzaron a crecer y la Internet explotó a fines de la década de 1990, el concepto de software antivirus, firewalls y sistemas de detección de intrusiones surgió debido al creciente número de malware que explotaba vulnerabilidades. En 2000, muchos programas informáticos usaban solo dos dígitos para representar un año de cuatro dígitos, lo que hacía que el año 2000 fuera indistinguible de 1900, lo que potencialmente amenazaba las infraestructuras informáticas en todo el mundo. Esto se conoció como el error Y2K. Al mismo tiempo, la cantidad de malware como CryptoWall, ZeuS, NanoCore y Ursnif aumentó significativamente en la década de 2000. Los profesionales de TI mejoraron sus defensas, incluidas las prácticas de codificación segura y los sistemas de prevención de intrusiones. Una década después, las infracciones de alto perfil por parte de actores de amenazas de estados nacionales resaltaron una vez más la importancia de la seguridad cibernética. Por ejemplo, en 2014, Sony Pictures sufrió una importante violación de datos en la que un grupo cibercriminal norcoreano robó 100 terabytes de datos. Entre los años 2010 y 2020, con la creciente popularidad de la computación en la nube (y los dispositivos de Internet de las cosas (IoT)), garantizar la seguridad de estas tecnologías se había convertido en una de las principales prioridades para la mayoría de las organizaciones. Un dilema moderno Según el Informe sobre el costo de una violación de datos de 2023 de IBM, el costo promedio global de una violación de datos fue de $ 4,45 millones, lo que representa un aumento del 15% en tres años y un aumento del 2,2% en comparación con 2022. Al tener en cuenta el trabajo remoto, el costo promedio de una violación de datos aumentó en casi $ 1 millón. Esto indica que las organizaciones que se han adaptado al trabajo remoto enfrentan costos más altos que las que no lo han hecho. Con el trabajo remoto convirtiéndose en un aspecto inevitable del lugar de trabajo moderno, la computación en la nube pública surge como una herramienta para facilitar este cambio. En este contexto, los directores de seguridad de la información (CISO) y los profesionales de la seguridad desempeñan un papel fundamental. No solo deben garantizar que estas tecnologías se utilicen de forma segura para evitar fugas de datos accidentales o deliberadas, sino también minimizar el impacto en el usuario. Dada la naturaleza en constante evolución de las amenazas cibernéticas, esta es sin duda una tarea desafiante. Riesgo interno Además de los actores de amenazas externas tradicionales, los insiders también poseen el mismo o incluso mayor nivel de amenaza. En referencia al Informe de Amenazas Internas de Cybersecurity Insiders de 2023, que encuestó a 326 profesionales de la seguridad cibernética, aquí hay algunas conclusiones clave: El 68% de los encuestados están preocupados o muy preocupados por el riesgo interno después de cambiar al trabajo remoto e híbrido El 53% de los encuestados cree que se ha vuelto algo o significativamente más difícil detectar ataques internos desde la migración a la nube Los usuarios/administradores de TI privilegiados plantean los mayores riesgos de seguridad para las organizaciones (60%), seguidos de los contratistas/proveedores de servicios/trabajadores temporales/vendedores/proveedores. Estos resultados indican que el riesgo interno es una preocupación importante que los CISO y los profesionales de la seguridad deben abordar. Si bien existen numerosos controles para evitar que los actores de amenazas externas accedan a los datos, como la aplicación de la autenticación multifactor (MFA) y la habilitación de políticas de acceso condicional, etc., estas medidas pueden no ser suficientes para mitigar el riesgo interno. Sin mecanismos de detección adecuados para amenazas internas, aún pueden ocurrir fugas de datos accidentales o deliberadas porque estas personas ya tienen acceso a los datos. En mi opinión, pueden representar una amenaza aún mayor. XDR: detección y respuesta extendidas En promedio, las organizaciones tardaron 10 meses (o 304 días) en identificar y reportar una violación de datos. Sin embargo, el informe de IBM afirmó que las organizaciones con una solución de detección y respuesta extendidas (XDR) redujeron drásticamente el ciclo de violación de datos a 29 días. Entonces, la pregunta es, ¿qué es XDR? XDR es la evolución de la detección y respuesta de endpoints (EDR), que va más allá del enfoque EDR tradicional. Ingiere no solo datos de endpoints, sino también identidad, correo electrónico, carga de trabajo en la nube y más. Luego, utiliza aprendizaje automático (ML) avanzado e inteligencia artificial (IA) para correlacionar y analizar datos en tiempo real para detectar amenazas y anomalías. Si se identifica más de una amenaza, se priorizarán por nivel de gravedad, lo que permitirá a los analistas del Centro de operaciones de seguridad (SOC) clasificar e investigar los incidentes de manera oportuna. Con las configuraciones pertinentes, algunos incidentes también se pueden resolver mediante la investigación y respuesta automatizadas (AIR). Al mismo tiempo, algunas soluciones XDR suelen tener algunas o todas las siguientes capacidades equipadas para minimizar la fuga de datos: Prevención de pérdida de datos (DLP) para evitar que se comparta información confidencial fuera de su red, algo fundamental para proteger los datos en la nube pública Los agentes de seguridad de acceso a la nube (CASB) actúan como puntos de aplicación de la seguridad que existen entre los usuarios de los servicios en la nube y los proveedores de la nube, lo que ayuda a garantizar un uso seguro y conforme de los servicios en la nube Los gateways web seguros (SWG) protegen a los usuarios de posibles amenazas en el tráfico web y en la nube, lo que los hace esenciales para las operaciones seguras basadas en la nube. Hay varias soluciones XDR en el mercado, incluidas, entre otras, Microsoft Defender XDR, Palo Alto Network Cortex XDR y Fortinet FortiXDR. Estas soluciones suenan increíbles, pero al mismo tiempo son caras y complicadas. Sus implementaciones listas para usar no se utilizan lo suficiente en seguridad. «En mi experiencia, la suerte no existe». – Obi-Wan Kenobi, Maestro Jedi A lo largo de mi carrera, he visto una serie de incidentes que ocurren incluso cuando las organizaciones aún experimentan violaciones de datos, a pesar de que ya han invertido mucho en herramientas de seguridad. Aunque las configuraciones ya están personalizadas, una configuración única aún no es suficiente. También deben mantenerse en todo momento para garantizar un rendimiento óptimo. Confianza cero ¡Confianza cero! ¿No se supone que debemos confiar en los usuarios o dispositivos dentro de la red corporativa y en aquellos que están conectados a través de una VPN? No, ya no. La confianza cero es la nueva tendencia. Los usuarios son el eslabón más objetivo y menos protegido de su programa de seguridad. Este término fue introducido por primera vez por Stephen Marsh en su tesis doctoral sobre seguridad informática en 1994. Más de 20 años después, en 2018, el Instituto Nacional de Tecnología Estándar (NIST) y el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) publicaron NIST SP 800-207 Zero Trust Architecture, que define la confianza cero como «una colección de conceptos e ideas diseñados para reducir la incertidumbre en la aplicación de decisiones de acceso precisas por solicitud en sistemas y servicios de información ante una red considerada comprometida». Un año después, el Centro Nacional de Seguridad Cibernética (NCSC) recomendó a los arquitectos de redes que consideraran el enfoque de confianza cero para las implementaciones de TI, especialmente aquellos que planean utilizar servicios de nube pública. Los tres principios principales para la confianza cero son: Utilice el acceso con el mínimo privilegio: al limitar el acceso de los usuarios con controles Just-In-Time (JIT) y Just-Enough-Access (JEA), se minimiza el daño potencial de una cuenta comprometida. Verifique explícitamente: nunca se debe dar por sentado la confianza. Cada usuario y cada solicitud de acceso debe ser autenticado y autorizado en función de todos los puntos de datos disponibles. Esto va más allá de simplemente verificar la ubicación o la dirección IP del usuario. Suponga una infracción: actúe como si su red ya estuviera comprometida. Emplee cifrado de extremo a extremo y utilice análisis para obtener visibilidad, impulsar detecciones basadas en amenazas y mejorar continuamente las defensas. Adoptar un enfoque de confianza cero puede mejorar significativamente la postura de seguridad de una organización, en particular cuando se utilizan servicios de nube pública. Reflexiones finales El auge de los servicios de nube pública y la creciente dependencia del trabajo remoto se ve facilitado por la computación en la nube. Con este cambio, el panorama de la seguridad cibernética ha evolucionado, presentando nuevas amenazas y desafíos. Las empresas ahora se enfrentan al dilema de garantizar el uso seguro de la tecnología y, al mismo tiempo, prevenir la fuga de datos. Esta tarea recae en los CISO y los profesionales de la seguridad que también deben considerar los riesgos internos. Se analizan soluciones de seguridad avanzadas como XDR y el concepto de confianza cero. A pesar de la complejidad y la naturaleza cambiante de las amenazas, con la estrategia, las herramientas y la vigilancia constante adecuadas, las empresas pueden aprovechar de forma segura los servicios de nube pública. Jason Lau es consultor senior de seguridad en la nube en Quorum Cyber.