“Soy seguro porque alojo mi infraestructura en AWS (o en otra nube)”.
Esta debe ser una de las frases que más escuchamos en Hackmetrix. La gran mayoría de empresas tiene una percepción errónea sobre cómo se maneja la ciberseguridad en la nube y quién debe responder frente a incidentes en los recursos y servicios alojados en ella.
Nuestro equipo de Offensive Security ha hackeado infraestructuras completas, asociadas a clientes de diferentes industrias y tamaños, aprovechando fallas de seguridad implementadas, tanto en la misma nube, como en aplicaciones y sistemas que se comunican con esta. Las empresas, sobre todo las startups, buscan desarrollar y lanzar productos rápido, lo cual puede arrastrar vulnerabilidades.
En este artículo hablaremos sobre cómo utilizar el Modelo de Responsabilidad Compartida, un framework que establece responsabilidades sobre la seguridad en infraestructuras en la nube (a nivel proveedor y/o cliente), en escenarios donde esta es comprometida por un hacker.
Modelo de Responsabilidad Compartida
Los proveedores de servicios en la nube se acogen al Modelo de Responsabilidad Compartida y advierten a sus clientes sobre la aceptación de este modelo al hacer uso de su infraestructura.
En términos simples, el modelo explica la diferencia entre la responsabilidad:
- De la nube: se refiere a la seguridad de la infraestructura de la nube en sí, incluyendo la capacidad para ejecutar aplicaciones, almacenar datos y los diferentes casos de uso que tiene.
- En la nube: implica el uso responsable e informado por parte de los usuarios de los recursos y servicios en la nube. Esto incluye no solo el nivel de seguridad en las aplicaciones alojadas o en los datos almacenados, sino también aspectos legales y normativos.
Por esto, al igual que cuando utilizas aplicaciones como Gmail o Slack, AWS no puede hacerse responsable si no cuidaste tu contraseña y esta cayó en manos de un extraño.
¿Cómo abordar correctamente la seguridad de mi infraestructura?
La ciberseguridad de tu organización, al igual que tu producto y negocio, necesita de una estrategia bien definida. AWS lo reconoce, y es por eso que junto a un equipo de especialistas de seguridad, ha decidido disponibilizar un modelo que permite abordarla de manera efectiva, partiendo desde aspectos simples y fáciles de implementar. Este es conocido como el AWS Security Maturity Model.
Es fundamental destacar que este modelo no es parte oficial de AWS y es solo una guía de buenas prácticas definidas por un grupo de arquitectos de soluciones con foco en seguridad. Es por esto que podrás notar los sesgos hacia el uso de las herramientas provistas por ellos, aunque es posible integrar soluciones de terceros. También, es probable que especialistas de seguridad tengan opiniones diferentes sobre si el camino propuesto en este modelo es el más efectivo para fortalecer tu postura de seguridad. Lo importante es que entiendas cada paso, revises las recomendaciones y las adaptes a la realidad de tu infraestructura y organización. Al final, nadie conoce estas mejor que tú.
Dicho lo anterior, revisemos las etapas definidas en el AWS Security Maturity Model:
Quick Wins:
Se puede considerar como el desde de una infraestructura en términos de seguridad; son aquellos requisitos mínimos de seguridad que cualquier infraestructura debería cumplir y cuya implementación no requiere más que un par de clics.
Aspectos clave:
- Evitar el uso de la cuenta root.
- Habilitar el Multi-Factor Authentication (MFA) en todos los accesos a la infraestructura.
- Limitar el tráfico a partir de Security Groups.
- Proteger el acceso a buckets de S3.
- Auditar la actividad en tu infraestructura con CloudTrail
- Implementar firewalls para proteger tus aplicaciones. El uso del AWS WAF permite que las reglas de bloqueo de tráfico sean gestionadas por AWS.
Fundacional:
Una vez que hayas implementado estrategias sencillas y que no requieren mucho esfuerzo, es fundamental que establezcas las bases de tu estrategia de seguridad. Esta etapa está diseñada para lograr eso.
Aspectos clave:
- Capacitación en ciberseguridad
- Gestión proactiva de vulnerabilidades en la infraestructura y aplicaciones
- Encriptación de datos a través de AWS KMS.
- Implementación de Multi Zonas de Disponibilidad para esquemas de redundancia.
- Creación de procesos de gestión de incidentes.
Es interesante observar que, a partir de este punto, los procesos y estrategias que dictamina el modelo no se limitan exclusivamente a la infraestructura. Esto se debe a que AWS reconoce que la seguridad en la nube es solamente una parte de la seguridad a nivel organizacional, y que las fallas de seguridad en tu organización pueden, eventualmente, afectar a tu infraestructura.
Eficiencia:
Esta etapa logra que una organización avance hacia niveles de ciberseguridad y cumplimiento altamente robustos.
Aspectos clave:
- Alineación con normativas como ISO 27.001 y PCI-DSS.
- Uso de Infraestructura como Código (IaC) a través de herramientas como AWS CloudFormation o alternativas de terceros, como Terraform.
- Implementación de soluciones anti-malware / EDR.
- Configuración personalizada del firewall de aplicaciones.
Optimizado:
En la última etapa, se busca que tu estrategia de seguridad cuente con las estrategias y tendencias más recientes para garantizar la integridad, confidencialidad y disponibilidad de la información.
Aspectos clave:
- Implementación de estrategias de Chaos Engineering para poner a prueba la resiliencia de tu infraestructura.
- Simulación de escenarios de ataques hacia tu infraestructura (Red Team).
- Aplicación de herramientas y estrategias de DevSecOps (Hardening, SAST /DAST).
¿Y qué pasa con lo que ocurre fuera de mi infraestructura?
Existen multitud de tareas que ocurren fuera de la nube y son necesarias para mantener la seguridad de tu organización. Y es que, si te pones a analizar el punto de partida de la gran mayoría de hackeos que ocurren día a día, te darás cuenta que casi el 80% de ellos se deben a errores humanos. Por esto, es fundamental que integres actividades relacionadas al personal en el programa de seguridad de tu organización, como alta/baja de accesos a los sistemas y capacitaciones sobre concientización en ciberseguridad.
Además, otras tareas esenciales incluyen la gestión de activos, riesgos e incidentes, fundamentales para que tu sistema de gestión de seguridad opere de manera correcta y proteja tu organización.
Herramientas como la plataforma de Hackmetrix, te facilitan la gestión de todas estas actividades, para mantenerte protegido y monitorear tu seguridad, dándote la capacidad de identificar y corregir cualquier vulnerabilidad que pueda poner en riesgo tu negocio.
Conclusiones finales
Dejar atrás la percepción errónea de que la seguridad de tu infraestructura es responsabilidad únicamente del proveedor de servicios en la nube, es el primer paso. Y para eso, es que existe el modelo de responsabilidad compartida, el cual se encarga de hacer la distinción entre la seguridad en la nube y de la nube.
Asimismo, y entendiendo que abarcar la seguridad de tu organización no es tarea fácil, aparecen modelos como AWS Security Maturity, que entregan una guía de buenas prácticas para abordar la seguridad de manera efectiva, desde aspectos básicos hasta estrategias más avanzadas. Esta guía te proporciona herramientas y un marco de referencia para que entiendas los aspectos críticos que debes considerar en tu seguridad.
Una de las particularidades del modelo es que reconoce la seguridad en tu nube como una parte integral de la seguridad organizacional, abarcando factores que pueden impactar en tu infraestructura. Por esta razón, Hackmetrix ofrece un módulo de seguridad de aplicaciones que te permite detectar proactivamente fallas en tu infraestructura. Al mismo tiempo, facilita el control sobre elementos críticos de tu organización que pueden ser vulnerables a ataques, como aplicaciones que interactúan directamente con tu nube, ya sea de manera directa (como GitHub / GitLab / Bitbucket) o indirecta (como Slack y Jira).
