Wiz Defend is Here: Threat detection and response for cloud

¿Qué es CWPP? [Plataforma de protección de cargas de trabajo en la nube]

Una plataforma de protección de carga de trabajo en la nube (CWPP) es una solución de seguridad que proporciona monitoreo y protección continuos contra amenazas para cargas de trabajo en la nube en diferentes tipos de entornos de nube.

Equipo de expertos de Wiz
7 minutos de lectura

¿Qué es una plataforma de protección de carga de trabajo en la nube?

Una plataforma de protección de cargas de trabajo en la nube (CWPP) es una solución de seguridad que brinda protección y monitoreo continuo de amenazas para cargas de trabajo en la nube en diferentes tipos de entornos de nube. CWPP protege cargas de trabajo en la nube que se ejecutan en servidores privados virtualizados e infraestructura de nube pública, centros de datos locales y plataformas de cargas de trabajo sin servidor como AWS Lambda.

La seguridad de la carga de trabajo en la nube , también conocida como protección de la carga de trabajo en la nube, es un conjunto de controles de seguridad destinados a proteger las cargas de trabajo basadas en la nube.

Es esta protección integral lo que hace que CWPP se destaque entre otras soluciones de ciberseguridad. Como explica Gartner, CWPP asume el papel de guardián de sus cargas de trabajo " independientemente de la ubicación ".

¿Qué es una carga de trabajo en la nube? 

Una carga de trabajo en la nube es una colección de recursos que se utilizan para ejecutar un proceso o una función empresarial específicos. Estos recursos pueden incluir máquinas virtuales, contenedores, bases de datos, aplicaciones y datos. Las cargas de trabajo en la nube se pueden implementar en una variedad de plataformas de nube, incluidas nubes públicas, privadas y entornos de nube híbrida.

¿Cómo funciona el CWPP?

CWPP combina aprendizaje automático, análisis de comportamiento y defensas automatizadas , todo ello trabajando en conjunto para garantizar que sus cargas de trabajo en la nube sean seguras sin importar dónde se ejecuten. Examina cuidadosamente pequeños patrones y variaciones, tratando de comprender qué es normal para su sistema. Con este conocimiento, puede detectar cualquier cosa inusual que pueda ser una amenaza. Puede alertar instantáneamente y activar manuales de respuesta para detener una posible amenaza de seguridad antes de que cause algún daño real.

CWPP debe comenzar con una visibilidad completa de la carga de trabajo, no solo de las cargas de trabajo en sí, sino también de sus interconexiones en todo el entorno.

El primer paso de un CWPP es analizar las cargas de trabajo y encontrar vulnerabilidades de seguridad. Luego, sugiere medidas correctivas para abordar estas vulnerabilidades. Por último, una vez neutralizadas las amenazas conocidas, el CWPP también está atento a las amenazas que puedan surgir en la producción o durante el tiempo de ejecución.

Desde un punto de vista operativo, CWPP facilita la vida a los profesionales de la ciberseguridad, ya que les ofrece un único punto de vista centralizado desde el que ver todo su patrimonio tecnológico, ya sea en la nube, híbrido o local. En lugar de cambiar de contexto entre múltiples herramientas de seguridad, los profesionales de la ciberseguridad obtienen un enfoque adicional en los problemas clave que deben abordarse en todo el panorama de sus sistemas de software.

Pro tip

Este equipo de Wiz Research ha descubierto que el 58 % de los entornos de nube tienen al menos una carga de trabajo expuesta públicamente con una clave de nube a largo plazo en texto sin formato almacenada en ella. Esto aumenta en gran medida el riesgo de movimiento lateral en la VPC y entre VPC.

Más información

Obtén más información

Beneficios del CWPP

Exploremos los beneficios clave a través de los cuales CWPP permite a las organizaciones defenderse de posibles vulnerabilidades en toda su pila tecnológica de extremo a extremo:

  • Visibilidad implacable: CWPP le brinda una visibilidad mejorada de las aplicaciones basadas en la nube para que sus equipos de seguridad puedan analizar las actividades, identificar anomalías y tomar medidas preventivas contra amenazas con precisión quirúrgica. Esto le permite estar al tanto de los posibles riesgos de seguridad en tiempo real y proteger de manera proactiva los datos confidenciales y las aplicaciones críticas.

  • Detección proactiva de amenazas: la detección de amenazas en tiempo real de CWPP reconoce y analiza las amenazas emergentes y garantiza que las brechas de seguridad se eliminen de raíz. Le brinda la ventaja de responder a los incidentes tan pronto como ocurren, lo que reduce el daño potencial que pueden causar.

  • Cumplimiento de políticas: CWPP integra perfectamente las políticas de seguridad en toda su infraestructura en la nube y garantiza el cumplimiento de los mandatos regulatorios y los protocolos de seguridad internos.

  • Auditoría y elaboración de informes de cumplimiento normativo: CWPP garantiza el cumplimiento de los marcos normativos más estrictos, la protección de los datos confidenciales y la seguridad de las operaciones críticas. De esta manera, puede estar tranquilo sabiendo que su organización está protegida de las consecuencias del incumplimiento normativo.

Características clave que se deben buscar en un CWPP

Con la cantidad de soluciones de ciberseguridad disponibles, es necesario tener a mano una lista de características esenciales que debe buscar en una solución CWPP eficaz. Deberá analizar detenidamente cada opción y considerar la compatibilidad y la escalabilidad antes de tomar una decisión. 

Estos son los elementos imprescindibles para su plataforma CWPP:

Protección en tiempo de ejecución: el corazón y el alma de su CWPP reside en su capacidad de brindar protección inquebrantable en tiempo real. Esto significa que las amenazas que intentan infiltrarse en sus cargas de trabajo en la nube se detectan y neutralizan rápidamente sin demora. Con la protección en tiempo de ejecución en su kit de herramientas CWPP, puede estar seguro de que se mitigarán los posibles daños y sus operaciones continuarán sin interrupciones.

Detección de amenazas en tiempo real y respuesta a incidentes : un CWPP puede detectar amenazas conocidas y desconocidas y actividades sospechosas en sus entornos de nube, incluida la ejecución remota de código, malware, criptominería, movimiento lateral , escalada de privilegios, escape de contenedores y más.

Reciba alertas en tiempo real para reforzar su postura de seguridad contra una variedad de malware

Análisis sin agentes : si sus soluciones CWPP lo admiten, puede olvidarse de las complicaciones de la implementación de agentes y disfrutar de los beneficios del análisis sin agentes en toda su pila de nube. El análisis sin agentes simplifica la gestión de la seguridad en la nube, ya que es mucho más fácil comenzar a usarlo. Además, es amigable con los recursos, lo que garantiza que su entorno de nube se mantenga optimizado a escala.

Una solución sin agente debe ofrecer una cobertura completa de los recursos PaaS, máquinas virtuales, contenedores, funciones sin servidor o datos confidenciales almacenados.

Gestión de vulnerabilidades: la evaluación de vulnerabilidades de un CWPP debe priorizar las vulnerabilidades en función de su gravedad, su capacidad de explotación y el valor de los activos que afectan. Esto ayuda a las organizaciones a centrarse en las vulnerabilidades que representan el mayor riesgo para su organización.

Integración de CI/CD: para una seguridad en la nube reforzada en cada etapa del ciclo de vida de desarrollo de software (SDLC), es imprescindible integrar sin problemas su CWPP en el proceso de integración y despliegue continuos (CI/CD). Al incorporar medidas de seguridad en cada paso de su proceso de desarrollo, crea aplicaciones que resisten a posibles vulnerabilidades.

Las integraciones predefinidas permiten a los equipos de seguridad crear flujos de trabajo automatizados para enviar rápidamente los problemas a los equipos adecuados para su solución.

Evaluaciones de cumplimiento: una solución CWPP completa también debe evaluar continuamente sus cargas de trabajo en todos los marcos de cumplimiento. Los resultados deben compilarse en un mapa de calor de cumplimiento para permitir que los equipos de seguridad determinen rápidamente las áreas de enfoque.

Ejemplo de un mapa de calor de cumplimiento

Comparación entre CWPP y CSPM

En general, los CWPP y los CSPM son herramientas complementarias que se pueden utilizar juntas para ofrecer un enfoque integral de la seguridad en la nube. Los CWPP pueden ayudar a proteger las cargas de trabajo en la nube de ataques, mientras que los CSPM pueden ayudar a prevenir configuraciones incorrectas que pueden hacer que las cargas de trabajo en la nube sean más vulnerables a los ataques.

Ejemplos de casos de uso para CWPP

Detección de ataques sin archivos dirigidos a cargas de trabajo

El equipo de investigación de Wiz descubrió recientemente un ataque sin archivos llamado PyLoose, que apunta a cargas de trabajo en la nube mediante un script de Python que aprovecha la técnica sin archivos de Linux memfd. Los ataques sin archivos, como PyLoose , son particularmente difíciles de detectar, investigar y atribuir.

Afortunadamente, el sensor de tiempo de ejecución de Wiz pudo detectar comportamientos maliciosos, como la entrega y ejecución de cargas útiles, que se desarrollaban dentro de la carga de trabajo. A continuación, se muestra un ejemplo de detección del CWPP:

Alerta de sensor de tiempo de ejecución para ejecución sin archivos (incluido PyLoose)

Check out the research team's blog below to get a step-by-step analysis of how the Pyloose attack unfolded, and how it was detected.

Un usuario con privilegios excesivos está restringido

Imagina que ves que el servicio A accede a otro servicio B de alta prioridad, al que normalmente no accede. Te preguntas si algo anda mal. Tu CWPP puede darte información sobre cada servicio, sus permisos y cómo puedes protegerlos. 

Utiliza su solución CWPP para investigar y descubrir que el servicio A tiene acceso de lectura y escritura al servicio B, y requiere acceso de solo lectura. Tiene toda la información que necesita para reducir los privilegios del servicio A y otorgarle un secreto dinámico con acceso de solo lectura al servicio B la próxima vez. CWPP le brinda este contexto crucial y le permite implementar los controles de acceso adecuados.

Revelar la configuración incorrecta de la nube y detectar desviaciones

La gestión eficaz de las configuraciones de host en las complejas y extensas infraestructuras de aplicaciones actuales es un desafío complejo que puede generar vulnerabilidades y configuraciones incorrectas. CWPP ayuda a abordar este desafío con reglas de configuración de host personalizadas .

Las reglas de configuración de host personalizadas son como una lupa para las cajas negras que suelen ser máquinas virtuales. Estas reglas identifican configuraciones incorrectas y le permiten ampliar la configuración sin tener que centrarse en un recurso específico.

Ejemplo de un editor de reglas personalizado que permite incluir una variedad de criterios, desde pruebas de contenido de archivos hasta pruebas de permisos

Las reglas de configuración de host personalizadas permiten a los usuarios crear una lógica personalizada que se ejecuta durante los análisis de carga de trabajo automatizados y sin agente. Esto significa que ya no se requieren comandos manuales en máquinas virtuales o archivos de aplicaciones, lo que garantiza una cobertura integral en todo el patrimonio de la nube.

Las reglas personalizadas también se pueden aplicar automáticamente a cualquier nueva carga de trabajo y determinar si el sistema operativo o la aplicación en la nube están mal configurados. Por lo tanto, si con el tiempo la configuración cambia debido a la intervención del usuario o a una intención maliciosa, un CWPP auditará los cambios y le avisará si hay una desviación de la configuración .

CWPP es solo una parte de la ecuación

En el panorama de la nube en constante evolución, no se puede subestimar la importancia de los CWPP. Con los CWPP de su lado, obtiene una amplia visibilidad y detección proactiva de amenazas en sus cargas de trabajo, pero la seguridad en la nube no termina allí.

Una estrategia holística de seguridad en la nube implica una combinación de soluciones en la nube que incluyen:

  • CWPP para proteger las cargas de trabajo de extremo a extremo

  • Gestión de derechos de infraestructura en la nube (CIEM) para gestionar permisos a escala

  • Gestión de la postura de seguridad en la nube ( CSPM )  para la gestión segura de la configuración y los recursos

En conjunto, esta combinación de soluciones se conoce como plataforma de protección de aplicaciones nativas de la nube (CNAPP) . Adoptar una solución CNAPP moderna puede ayudarlo a mantenerse al día con el cambiante panorama de la nube y la complejidad de un panorama tecnológico fragmentado.

Para ver usted mismo cómo una solución CNAPP consolida los beneficios de los productos puntuales en una sola plataforma, programe una demostración con nuestros expertos en productos Wiz.

Proteja sus cargas de trabajo, desde el momento de compilación hasta el momento de ejecución

Descubra por qué los CISO de las empresas de más rápido crecimiento protegen su nube con Wiz.

Solicita una demo 

Preguntas frecuentes sobre el CWPP


Continuar leyendo

The EU Artificial Intelligence Act: A tl;dr

Equipo de expertos de Wiz

In this post, we’ll bring you up to speed on why the EU put this law in place, what it involves, and what you need to know as an AI developer or vendor, including best practices to simplify compliance.

What is Application Security (AppSec)?

Application security refers to the practice of identifying, mitigating, and protecting applications from vulnerabilities and threats throughout their lifecycle, including design, development, deployment, and maintenance.