La adopción masiva de entornos de nube ha ayudado a las empresas a transformar sus operaciones a través de la escalabilidad y la eficiencia de costos, pero también ha ejercido una presión adicional sobre los profesionales de la seguridad. Las investigaciones muestran que casi dos tercios de los analistas de seguridad dicen que el tamaño de la superficie de ataque ha aumentado en los últimos tres años, impulsado por las inversiones digitales y en la nube provocadas por la pandemia. Los profesionales de la seguridad se enfrentan a una «espiral de más» cada vez mayor que los ve analizando más alertas de seguridad, estableciendo más reglas y trabajando con más herramientas de seguridad. Todo esto aumenta la carga de trabajo y dificulta identificar y responder rápidamente a las alertas de seguridad y gestionar las infracciones. Pero aparte de la creciente superficie de ataque, la calidad y eficacia de los propios registros de la nube está exacerbando los desafíos para los analistas de seguridad sobrecargados. Dado que la tecnología de la nube evoluciona tan rápidamente, los registros proporcionados aún son incipientes, lo que limita la visibilidad de los entornos de la nube. Esto hace que la vida sea más desafiante para los profesionales de la seguridad, aumentando su carga de trabajo y la probabilidad de que se produzca una infracción. En última instancia, las organizaciones necesitan encontrar una manera de mejorar su visibilidad en los entornos de nube para mantenerse seguras y al mismo tiempo mantener el cumplimiento e impulsar la eficiencia operativa. Problemas iniciales En algunos casos, los registros en la nube se están quedando cortos y exponen a las organizaciones a riesgos de seguridad. Por ejemplo, nuestro equipo de investigación en Vectra descubrió recientemente un nuevo exploit de Azure que utiliza CSV e inyección de registros para atacar a los administradores y obtener acceso a privilegios de administrador. Si tienen éxito, los actores de amenazas podrían otorgarse acceso a cualquier recurso en el entorno comprometido, desviar datos confidenciales, implementar ransomware o vender acceso a la organización violada a bandas de ransomware. Esto podría tener consecuencias desastrosas para una organización, desde una pérdida de confianza del cliente hasta multas regulatorias, todo lo cual impacta los resultados y la participación de mercado de las empresas. Aparte de las vulnerabilidades de seguridad, existen otros problemas relacionados con los registros que afectan la visibilidad de la nube, lo que aumenta la carga de trabajo de los analistas y pone a las organizaciones en mayor riesgo de sufrir una infracción. Estos incluyen: Inconsistencias en las ID de usuario e IP: la falta de un formato de datos consistente en los registros puede dificultar que los analistas establezcan una imagen clara durante los eventos de seguridad. Incluso el cambio más pequeño en la forma en que se escribe una dirección IP o en la forma en que se presenta un nombre de usuario puede crear una pesadilla de correlación. Esto genera una carga de trabajo adicional, ya que los analistas deben invertir más tiempo conectando puntos de datos dispares, lo que podría provocar retrasos en la respuesta a los incidentes. Comunicaciones más frecuentes sobre interrupciones: si bien los proveedores como Microsoft generalmente son buenos para notificar a los usuarios sobre interrupciones, se necesita más visibilidad y control dentro de los registros para ayudar a los analistas a rastrear el flujo de registros y evitar la desactivación no autorizada o accidental de registros. De lo contrario, es extremadamente difícil saber si hay una interrupción que impide que los registros de la nube lleguen o si un interno ha desactivado los registros. Retrasos en la disponibilidad de los eventos de registro: los eventos de registro son esenciales para notificar a los analistas sobre cambios urgentes que podrían ser necesarios para mantener seguro el entorno de la nube. Pero los retrasos en estos anuncios pueden poner en riesgo a las organizaciones, ya que los actores de amenazas pueden explotar vulnerabilidades y brechas de seguridad en 30 minutos o menos. Sin suficiente aviso, es posible que los analistas no tengan suficiente tiempo para analizar la situación, por lo que podrían pasar por alto indicadores críticos de compromiso y quedar expuestos a amenazas. Los proveedores de la nube deben actuar para dar ventaja a los defensores. Está claro que, si bien la nube aporta una serie de beneficios de eficiencia, queda trabajo por hacer para mejorar la visibilidad de estos nuevos entornos. Sin embargo, los desafíos actuales con los registros en la nube no se solucionan fácilmente. Si los registros locales resultan inadecuados, los analistas pueden intentar cambiar de proveedor para mejorar su precisión y eficacia. Pero en la nube, pueden verse atrapados entre la espada y la pared. Esto se debe a que los proveedores de la nube como AWS o Azure tienen control total sobre qué registros están disponibles y cómo se presentan. Esto significa que depende de los proveedores de la nube mejorar la calidad de los registros de la nube y reforzar la seguridad de su base de clientes. La buena noticia es que hay medidas claras que los proveedores pueden tomar. En primer lugar, los proveedores de la nube deben actuar para documentar exhaustivamente los eventos y campos. Esto ayudará a proporcionar una visión clara de las adiciones y eliminaciones de operaciones de registros. Garantizar la entrega rápida de registros es igualmente importante para proporcionar un análisis de datos eficiente. Siguiendo estas prácticas, los proveedores de servicios en la nube pueden mejorar la usabilidad y efectividad general de los registros, promoviendo mejores conocimientos y capacidades de resolución de problemas para los usuarios. Uso de IA para anular la espiral de más Si bien los proveedores deben centrarse en actualizar los registros de la nube para mejorar la eficacia, las organizaciones deben hacer todo lo posible para minimizar el riesgo de la nube. Aunque siempre será un desafío para las organizaciones controlar factores externos como la creciente superficie de ataque, pueden controlar el impacto de la «espiral de más» en sus equipos de seguridad. Esto significa utilizar IA para mejorar la claridad de la señal, lo que reducirá la carga de los analistas a la hora de detectar y responder a ataques, ya sea localmente o en la nube. Una mejor claridad de la señal garantizará que los equipos puedan identificar y priorizar con precisión ataques reales, lo que colocará a las organizaciones en la posición más sólida para defenderse contra las amenazas modernas. Después de todo, cuanto más efectiva sea la señal de amenaza, más ciberresiliente y efectivo se volverá el centro de operaciones de seguridad (SOC), lo cual es fundamental en un mundo cada vez más basado en la nube. Mark Wojtasiak es vicepresidente de marketing de productos: investigación y estrategia en Vectra

Source link