La velocidad y la sofisticación de los ataques a la nube han reducido rápidamente el tiempo que tienen los equipos de seguridad para detectar y responder antes de sufrir una infracción. Según el informe “Mandiant M-Trends 2023”, el tiempo de permanencia para un entorno local es de 16 días. Por el contrario, sólo se necesita 10 minutos para ejecutar un ataque en la nube después de descubrir un objetivo explotable. Agregue la presión de tener cuatro días hábiles para revelar un incidente cibernético importante a la SEC y queda claro que todo se mueve más rápido en la nube. Los equipos de seguridad necesitan ayuda.
Los marcos de detección y respuesta heredados no pueden proteger adecuadamente a las organizaciones. La mayoría de los puntos de referencia existentes están diseñados para entornos centrados en endpoints y son simplemente demasiado lentos para los equipos de seguridad que protegen los entornos de nube modernos.
La industria necesita un punto de referencia de detección y respuesta moderno, diseñado para la nube. Superar a los atacantes en la nube requiere que los equipos de seguridad cumplan con las Punto de referencia 5/5/5, que especifica cinco segundos para detectar, cinco minutos para clasificar y cinco minutos para responder a las amenazas.
Cuando el costo de una vulneración de la nube es de 4.45 millones de dólares, según el “Informe sobre el costo de una vulneración de datos 2023” de IBM, los equipos de seguridad deben poder detectar y responder a los ataques a la velocidad de la nube. Si no lo hacen, el radio de la explosión se expandirá rápidamente y el impacto financiero se agravará rápidamente. Cumplir con el punto de referencia 5/5/5 ayudará a las organizaciones a operar con confianza y seguridad en la nube.
El punto de referencia de detección y respuesta en la nube 5/5/5
Operar en la nube de forma segura requiere una nueva mentalidad. Los procesos de desarrollo y lanzamiento nativos de la nube plantean desafíos únicos para la detección y respuesta a amenazas. Los flujos de trabajo de DevOps, incluido el código comprometido, creado y entregado para aplicaciones, involucran nuevos equipos y roles como actores clave en el programa de seguridad. En lugar de explotar las vulnerabilidades tradicionales de ejecución remota de código, los ataques a la nube se centran más en comprometer la cadena de suministro de software y en el abuso de la identidad, tanto humana como mecánica. Las cargas de trabajo efímeras requieren enfoques mejorados para la respuesta a incidentes y la análisis forense.
Si bien la gestión de identidades y acceso, la gestión de vulnerabilidades y otros controles preventivos son necesarios en entornos de nube, no puede mantenerse seguro sin un programa de detección y respuesta a amenazas para abordar exploits de día cero, amenazas internas y otros comportamientos maliciosos. Es imposible impedirlo todo.
El punto de referencia 5/5/5 desafía a las organizaciones a reconocer las realidades de los ataques modernos y a impulsar sus programas de seguridad en la nube. El punto de referencia se describe en el contexto de los desafíos y oportunidades que los entornos de nube presentan a los defensores. Lograr 5/5/5 requiere la capacidad de detectar y responder a los ataques a la nube más rápido de lo que los atacantes pueden completarlos.
5 segundos para detectar amenazas
Desafío: Las etapas iniciales de los ataques a la nube están muy automatizadas debido a la uniformidad de las API y arquitecturas de un proveedor de nube. La detección a esta velocidad requiere telemetría de instancias informáticas, orquestadores y otras cargas de trabajo, que a menudo no está disponible o está incompleta. La detección eficaz requiere visibilidad granular en muchos entornos, incluidas implementaciones multinube, aplicaciones SaaS conectadas y otras fuentes de datos.
Oportunidad: La uniformidad de la infraestructura del proveedor de la nube y los esquemas conocidos de los puntos finales API también facilitan la obtención de datos de la nube. La proliferación de tecnologías de detección de nubes de terceros como eBPF ha hecho posible obtener una visibilidad profunda y oportuna de instancias, contenedores, clústeres y funciones sin servidor de IaaS.
5 minutos para correlacionar y clasificar
Desafío: Incluso dentro del contexto de un único proveedor de servicios en la nube, la correlación entre componentes y servicios es
desafiante. La abrumadora cantidad de datos disponibles en la nube a menudo carece de un contexto de seguridad, lo que deja a los usuarios la responsabilidad del análisis. De forma aislada, es imposible comprender plenamente las implicaciones de seguridad de una señal determinada. El plano de control de la nube, los sistemas de orquestación y las cargas de trabajo implementadas están estrechamente entrelazados, lo que facilita a los atacantes pivotar entre ellos.
Oportunidad: La combinación de puntos de datos dentro y entre sus entornos proporciona información útil a su equipo de detección de amenazas. La identidad es un control clave en la nube que permite la atribución de actividad a través de los límites del entorno. La diferencia entre “alerta ante una señal” y “detección de un ataque real” radica en la capacidad de conectar rápidamente los puntos, requiriendo el menor esfuerzo manual posible por parte de los equipos de operaciones de seguridad.
5 minutos para iniciar la respuesta
Desafío: Las aplicaciones en la nube a menudo se diseñan utilizando funciones y contenedores sin servidor, que duran menos de 5 minutos en promedio. Las herramientas de seguridad tradicionales esperan sistemas duraderos y fácilmente disponibles para la investigación forense. La complejidad de los entornos modernos dificulta identificar el alcance completo de los sistemas y datos afectados y determinar las acciones de respuesta adecuadas entre los proveedores de servicios en la nube, los proveedores de SaaS y los socios y proveedores.
Oportunidad: La arquitectura de la nube nos permite adoptar la automatización. Los mecanismos basados en API e infraestructura como código para la definición y el despliegue de activos permiten una respuesta rápida y acciones de remediación. Es posible destruir y reemplazar rápidamente los activos comprometidos con versiones limpias, minimizando la interrupción del negocio. Las organizaciones suelen requerir herramientas de seguridad adicionales para automatizar la respuesta y realizar investigaciones forenses.
Siguientes Pasos
Para profundizar en el mundo de los ataques en la nube, lo invitamos a desempeñar el papel de atacante y defensor y probar nuestro Kraken Discovery Lab. Lo más destacado del laboratorio Kraken ACERO ESCARLATA, una reconocida operación de ciberataque dirigida a entornos de nube. Los participantes descubrirán las complejidades de la recolección de credenciales y la escalada de privilegios, todo dentro de un marco integral de nube. Únete el próximo laboratorio de descubrimiento de Kraken.
Sobre la autora
Ryan Davis es el director senior de marketing de productos de Sysdig. Ryan se centra en impulsar la estrategia de comercialización de iniciativas y casos de uso básicos de seguridad en la nube.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/5-5-5-benchmark-cloud-detection-and-response
