A principios de febrero, BMW fue otra víctima de peligrosas configuraciones erróneas en su almacenamiento en la nube, que expusieron claves privadas y datos confidenciales. Según un artículo reciente de TechCrunch, un depósito de almacenamiento público de Azure contenía «archivos de script que incluían información de acceso, claves secretas para acceder a direcciones de depósitos privados y detalles sobre otros servicios en la nube».
Para ser justos, BMW no está solo en estos problemas; de hecho, según el Informe de seguridad en la nube de Check Point de 2023, las configuraciones incorrectas son el problema de seguridad número uno al que se enfrentan las organizaciones que utilizan el almacenamiento en la nube en la actualidad. ¿Y por qué es eso? Error humano. Con la cantidad de código, aplicaciones e instancias nuevas que se envían a la nube cada segundo de cada día, es cada vez más difícil implementar controles de seguridad adecuados antes de la producción.
Ahora bien, esto no significa que se deba abandonar la nube; de hecho, la velocidad de la nube es fundamental para que las organizaciones se mantengan al día en el panorama empresarial actual. Sin embargo, se deben implementar medidas de seguridad para monitorear, alertar y prevenir amenazas para proteger los entornos de nube y permitir que empresas como BMW avancen.
La buena noticia es que esto ya no es una quimera. Las soluciones necesarias para abordar estas preocupaciones existen. Y lo que es mejor es que no tienes que contratar a 7 proveedores diferentes para cubrir todas tus inquietudes.
CNAPP ha entrado al chat.
En 2021, Gartner acuñó el término Plataforma de protección de aplicaciones nativas en la nube o CNAPP. Esta tecnología fue creada para un propósito extremadamente específico. Por la naturaleza de la nube, todo es un vector de ataque. Entonces, ¿cómo puedes asegurar todos los ángulos de ataque y darte visibilidad de tus errores inevitablemente humanos? CNAPP. Estos tipos de soluciones son diferentes porque son plataformas (está justo en el nombre), lo que significa que no es necesario tener soluciones puntuales repartidas por todo su entorno. También significa que, en lugar de tener varias herramientas diferentes, todas las cuales le arrojan alertas dispares y no se comunican entre sí, puede tener todas las herramientas de seguridad que necesita integradas en una única interfaz con las distintas alertas de riesgo sopesadas contextualmente. ¿Cómo se ve esto en términos prácticos?
Mala (re)configuración
El problema principal de la exposición de BMW es que se descubrió que un depósito de almacenamiento que contenía datos confidenciales era de acceso público. A partir de ahí, el potencial de explotación crece rápidamente. ¿Qué tipo de datos quedaron expuestos? Bueno, “información de acceso al contenedor” y “claves secretas”. Este tipo de problemas se informan inmediatamente a través de un CNAPP.
En la captura de pantalla anterior se muestra el panel de gestión de riesgos de nuestra CNAPP de CloudGuard. Puede ver en el área resaltada que este tipo exacto de exposición se ha designado como de gravedad crítica y se ha colocado en la parte superior de la pestaña de problemas de seguridad. Lo que significa que sus equipos verán esta alerta y comenzarán a tomar medidas para investigar y solucionar el problema. Hablando de remediación, un buen CNAPP también le guiará sobre cómo comenzar el proceso. Aquí hay un desglose de la alerta de «activos de almacenamiento expuestos públicamente»…
Este tipo de alerta no ocurre en el vacío. Entre bastidores, el CNAPP analiza el activo y las circunstancias que rodean la configuración incorrecta y comienza a asignar una puntuación de riesgo basada en factores como la exposición pública, la sensibilidad de los datos, las vulnerabilidades conocidas, la prioridad empresarial y más.
¿Necesita otro ejemplo del valor aquí? Veamos la exposición de Mercedes-Benz de principios de este año. El TLDR en este caso es que un token de autenticación de empleado fue codificado en un repositorio público de GitHub. Este token proporcionaba «acceso irrestricto al código fuente de la empresa». No los insultaré explicándoles por qué este es un escenario de pesadilla. En lugar de eso, veamos cómo un CNAPP con código de seguridad puede ayudar a evitar que le ocurran estos problemas.
Una buena herramienta de seguridad de código le permitirá integrar todos sus entornos de desarrollo (ya sea CI/CD, IDE, etc.) en el sistema para que tenga visibilidad completa de todas las partes del SDLC. También será lo suficientemente rápido como para escanear sus entornos sin provocar ralentizaciones en el sistema o en los desarrolladores que dependen de ellos. Finalmente, le avisará cuando se detecten problemas y le proporcionará pasos guiados sobre cómo solucionarlos.
Volviendo al ejemplo anterior, también funciona con GitHub…
Aquí puede ver un escaneo de un repositorio de demostración (usando el módulo de seguridad de código CloudGuard) y los tipos de alertas que puede esperar cuando se encuentran problemas.
NOTA: todo esto está dentro de la misma interfaz que el panel de Gestión de riesgos resaltado anteriormente en el artículo.
En este ejemplo, puede ver que se encontró una contraseña de la base de datos de Azure en el código base y es necesario corregirla. Si profundizamos más en el problema, obtenemos un manual sobre cómo manejar este tipo de problemas, así como una vista resaltada de la línea exacta donde se detectó el problema. Permitir una solución rápida y sencilla de un problema que de otro modo sería grave.
Saber mejor, hacerlo mejor
Al final del día, todos somos humanos. Todos cometemos errores. Pero la verdad es que, en 2024, este tipo de problemas se podrán evitar con bastante facilidad con la plataforma de seguridad adecuada. Si su empresa hace negocios en la nube y utiliza o almacena datos de clientes, se debe a usted mismo y a sus clientes implementar una solución CNAPP. Las soluciones puntuales solían ser bastante buenas, pero con la interconectividad de la nube, todo lo que se necesita es que un actor malicioso encuentre uno de los problemas resaltados anteriormente para unir una base de datos expuesta públicamente con un secreto API codificado o una credencial de cuenta antes de que termine siendo la próxima gran historia de incumplimiento. No esperar hasta entonces.
