La nube ha impulsado la innovación y la agilidad para las organizaciones, pero para los equipos de seguridad también ha traído nuevos niveles de complejidad sobre personas, procesos y tecnología. Los elásticos entornos de nube de hoy han introducido nuevos riesgos que la seguridad debe desarrollar enfoques para abordar. Hace poco, CxO organizó un seminario web y una mesa redonda ejecutiva de seguridad llamada: “Tomar el control de la seguridad de infraestructura en la nube”. Los ejecutivos de seguridad de todo el mundo se reunieron para analizar sus enfoques de seguridad en la nube. Veamos las claves que Anthony Belfiore, ex jefe de seguridad de Aon, compartió durante la sesión.
Número 1: La complejidad dificulta el mantenimiento de una postura fuerte de seguridad en la nube
Un tema común que resonó a lo largo del debate y las experiencias de Anthony fue la complejidad. Los entornos en la nube aumentan cada vez más en su complejidad, con nuevas tecnologías y arquitecturas desarrolladas continuamente por una amplia gama de equipos y propietarios, incluyendo los proveedores externos. Como resultado, los riesgos en la nube son cada día más complejos. Los equipos de seguridad están desbordados tratando de conseguir visibilidad sobre lo que hay ahí fuera y quién tiene qué, y no pueden permitirse añadir más complejidad a la mezcla con herramientas complicadas o implementaciones basadas en agentes. Esto es válido cuando se migra de la instalación local a la nube o cuando se trata de múltiples entornos en la nube.
Estábamos ejecutando un entorno de aplicación heredado, propio, que dependía mucho de las instalaciones locales, y queríamos aprovechar la nube... Nos dimos cuenta muy rápidamente de una cosa: cuando intentas portar aplicaciones heredadas locales a la nube, no se portan muy bien... Cuando haces la portabilidad, a veces las cosas se pierden en la traducción. Algunos controles se eliminan. Algunas configuraciones no se mapean eficazmente. Entonces, ¿cómo podría obtener un nivel de comodidad y seguridad de que [estas aplicaciones] operan en la nube de acuerdo con los requisitos de seguridad y criterios que definimos?
Ya se trate de la migración, de los requisitos de cumplimiento o de mantenerse al día con el ritmo de la innovación interna, la postura de seguridad en la nube es cada vez más difícil. Los CISO buscan maneras de simplificar su seguridad y conseguir la visibilidad de entornos en la nube diversos y dinámicos siempre que sea posible.
Wiz se implementó en entre 10 y 15 minutos en tres nubes para un POC... 8 minutos después, obtuvimos una imagen intuitiva completa con una visión contextualizada sobre un gráfico... Nunca tuvimos una herramienta que se implementara con tanta rapidez. Simplemente ingiere las API que necesita... No afecta la disponibilidad ni la estabilidad de la infraestructura. Wiz chupa todos los datos de tu nube y escupe una imagen completa del entorno de la nube con agujeros y vulnerabilidades en minutos. Es intuitivamente obvia incluso para los ingenieros más nuevos del equipo.
Número 2: Es importante tener una capacidad de validación en la nube
La confianza cero debe aplicarse a todo en seguridad, incluyendo la propia arquitectura. Esto significa que los equipos de seguridad deben ser capaces de validar su entorno en la nube de forma holística a través de plataformas, tecnologías y capas de riesgo. Los equipos de seguridad no pueden confiar ciegamente en proveedores externos ni siquiera en sus propios diagramas topológicos. Deben ser capaces de validar y verificar lo que sucede realmente en producción.
Confiábamos implícitamente en Amazon y Azure, pero fue un error. Debes confiar, pero validar; debes verificar que todo funcione en esas nubes como se supone. Ya sea arrastrar y soltar, retroequipar cosas heredadas o desarrollar nativamente en la nube, necesitas la capacidad de validación. Wiz, para AON, ha sido esa capacidad de validación.
Número 3: Los equipos de seguridad necesitan dedicar su tiempo a los problemas más apremiantes
DevOps supera en número a los equipos de seguridad y a menudo se enfrenta a decenas de miles de alertas en todo su entorno. No pueden permitirse gastar tiempo en alertas de baja prioridad ni en perseguir a los socios de DevOps para solucionar problemas que tienen un impacto bajo. Necesitan encontrar formas de priorizar con exactitud los problemas y deberían tener un sesgo hacia las herramientas que permitan un tiempo corto hasta el valor y mejorar el ROI de seguridad.
Tengo una cantidad limitada de ciclos y tiempo presupuestario. Tengo que asignarlos a los problemas más urgentes... He estado haciendo seguridad durante 24 años y nunca tuve una herramienta de seguridad más rápida que Wiz, por no hablar del retorno de valor. El tiempo medio a valor era inferior a media hora. Mis equipos no podían creerlo. Cuando el equipo de ingeniería entregó los resultados, pensamos que era mentira. Los resultados parecían imposibles. Estaba celoso de lo que Wiz podía hacer. Fue una locura.
Más allá del tiempo hasta el valor y el ROI de la seguridad, con personal y recursos de seguridad limitados, los equipos de seguridad en la nube buscan maneras de empoderar a otros miembros del equipo de seguridad y socios de DevOps. Cuanto más colaborativas y accesibles puedan ser las investigaciones de seguridad y remediación, más podrá afrontar el equipo.
Una cosa que es positiva sobre Wiz es que, por la forma en la que muestra los datos, incluso un ingeniero de seguridad o un usuario de DevOps que no tiene la experiencia para entender lo que está mirando en la nube puede entender lo que Wiz muestra y la forma en la que hace que todo sea más agradable e intuitivo. Nunca he visto una herramienta que tome algo tan complejo y lo escupa de forma tan simple, básicamente es como: "aplicar un arreglo aquí, mirar allí, ir, hacer esto". Esta es realmente la propuesta de valor. No todo el mundo tiene arquitectos de la nube superestrellas con todas estas certificaciones en el equipo; por eso, realmente ayuda tener ese nivel de detalle cuando intentas resolver este tipo de problemas.
Número 4: Las herramientas sin agente son la ola del futuro
Con la interconexión y la complejidad de los entornos en la nube, los enfoques de seguridad que impactan en el entorno son cada vez más insostenibles. Ya es difícil obtener una cobertura adecuada con los agentes, por no hablar de los costos adicionales en términos de complejidad y utilización de recursos. Hubo un acuerdo general entre los CISO sobre el debate de que menos es más difícil cuando se trata de agentes de seguridad.
Las herramientas de escaneo autenticadas pueden ser demasiado intrusivas y causar también impactos negativos en la infraestructura de la nube. El enfoque correcto es discreto y no tiene ningún impacto en el entorno de la nube.
No se necesitan escaneos autenticados en la nube con una herramienta como Wiz. Eso significa que la forma en la que solíamos hacer las cosas localmente con... cualquiera de estas plataformas de escaneo de VM, todo eso está en peligro de extinción. Esa es una de las ventajas de Wiz. Wiz es discreto. No necesita interactuar con los activos en el nivel de puerto y protocolo, por lo que no tiene el potencial de causar problemas... Es la belleza de Wiz; está totalmente fuera de línea, no es invasiva, no es interrogante y no afecta a los activos que la rodean. Simplemente succiona los datos que ve en función de las API nativas de nube y los datos operativos.
Mira el debate
Cuando se trata de la nube, encontrar formas de abordar las cuestiones más críticas como equipo de seguridad es un desafío que nunca termina. Incrementar la complejidad, la necesidad de más visibilidad y validación y una despiadada priorización son todas áreas clave de atención para los equipos de seguridad en empresas de todos los tamaños. La mesa redonda y las historias de Anthony sirven como buenos recordatorios de esto. Puedes ver a Anthony compartir sus aprendizajes y experiencias aquí.
