Opinión: ¿Son seguras tus cuentas de administrador en la nube?
|Gartner informa que a finales de este año, el 60% de las compañías globales habrán almacenado datos confidenciales de clientes en la nube pública, un incremento del 40% en tan sólo dos años.
Por Jamie Tischart, CTO Cloud/SaaS, Intel Security
Además, nuestra encuesta de Estado de Adopción de la Nube reveló que más de dos tercios de las organizaciones ya están utilizando Infraestructura como un Servicio (IaaS) y el 64% están utilizando al menos una aplicación de Software como un Servicio (SaaS). Estos son claros indicadores de que el mundo de negocios ha adoptado plenamente la nube y está migrando rápidamente hacia SaaS y despliegues en la misma.
Esta tendencia ha provocado que las credenciales administrativas de las organizaciones, tengan un alto valor para los hackers. En lugar de intentar hackear una red o endpoint de empresa, el atacar la cuenta de administrador de nube de una organización y aprovechar esos accesos puede generar esfuerzos de exfiltración de datos de mayor impacto. Una infiltración de un hacker en los servicios, puede poner en peligro a toda la organización, ya que estos son críticos para muchas empresas.
Continuaremos observando proveedores de servicios que innovan para proporcionar a las organizaciones mejoras de seguridad para la administración de la nube. Hasta que eso llegue, aquí le presentamos cinco pasos para proteger sus valiosas credenciales y flujos de trabajo de cuenta de administración de nube.
- Si el servicio de nube ofrece autenticación multifactor, haga cumplir su uso para todas sus cuentas de administración e incluso las cuentas que no lo sean. La autenticación multifactor puede ser un poco molesta, pero vale la pena, ya que el servicio podría tener vulnerabilidades que serían aprovechadas para acceder a sus datos confidenciales.
- Utilice diferentes nombres de cuenta y contraseñas administrativas, de manera que cualquier credencial hackeada no se pueda utilizar a lo largo de su infraestructura de nube o SaaS. Es muy común tener el mismo inicio de sesión y contraseña para todas sus cuentas de administrador. Haga cumplir una política para garantizar que sean significativamente diferentes para cada servicio.
- Permita todas las auditorías dentro del servicio de nube, y revise los datos diaramente como medida de defensa/revisión de seguridad. Espere que un comportamiento malicioso comience con actividades sigilosas – lo que yo llamo “infiltrados”. Los infiltrados iniciarán sesión con las credenciales hackeadas, crearán una nueva cuenta de administrador, y luego utilizarán esa cuenta para realizar minería de datos continua. Así que preste especial atención a la creación de nuevas cuentas de administración y verifique la legitimidad de las mismas. Con la información de la auditoría, usted también debe ser capaz de rastrear cualquier creación de cuenta de administrador a la cuenta original desde la que fue creada, para encontrar aquellas que quizás estén en riesgo.
- Cree y haga cumplir políticas de actualización de contraseñas, especialmente si la autenticación multifactor no está disponible. Idealmente, las contraseñas de administrador tienen una vida menor a 168 horas (7 días), pero incluso ese tiempo podría ser demasiado para obtener una máxima protección.
- Aplique estrictamente las políticas en torno a la gestión, modificación y eliminación de cuentas de administración. Muchas organizaciones proporcionan muchas cuentas de administrador por diferentes motivos. Esto crea un riesgo para la seguridad, ya que amplía la superficie de ataque, especialmente cuando se trata de rotación de empleados.
Idealmente, sólo permita acceso de administrador a un selecto y reducido número de individuos, y asegúrese de que dichas cuentas se eliminen inmediatamente con la salida del empleado. Como mínimo, adopte una revisión de cuenta de administración semanal que incluya una justificación para que esa persona en particular tenga acceso como administrador.
- Defina flujos de trabajo críticos que requieran revisión y aprobación de dos o más administradores antes de que la actividad pueda ser completada. En la medida de lo posible, cree notificaciones e informes para rastrear cuándo estas actividades se han iniciado y mantenga un registro de cambios para el proceso de revisión.
Esto proporcionará un par de beneficios. En primer lugar, si la revisión y aprobación no sucedieron, sabrá como mínimo que ocurrió algo incorrecto en su organización que podría tener un impacto potencialmente devastador. En segundo lugar, al definir los flujos de trabajo críticos, usted tendrá una lista de las actividades y sus resultados o fallos esperados, lo que puede llevar a la adición de múltiples protecciones contra esas actividades.
Por ejemplo, exportar o eliminar todos los datos del cliente desde una aplicación CRM, se define como un flujo de trabajo crítico, que requiere no sólo de la aprobación sino también de cifrado y copias de seguridad completas cada seis horas, para protegerse contra la actividad maliciosa. En el caso del peor escenario en donde haya identificado comportamiento malicioso, ahora usted puede detectar, aislar y solucionar mucho más rápidamente que si no definiera el proceso de flujo de trabajo crítico.
A medida que continuamos utilizando la nube y adoptando SaaS, es una buena idea revisar cómo administrar sus cuentas administrativas y definir los procesos y los procedimientos para protegerlas de comportamiento malicioso. Si se está empleando AWS, eche un vistazo a las 5 mejores prácticas para la configuración de Gestión de Identidad y Acceso seguros en AWS.