1.- Abuso y mal uso del Cloud Computing Esta amenaza afecta, principalmente, a los modelos de servicio IaaS y PaaS y se relaciona con un registro de acceso a estas infraestructuras/plataformas poco restrictivo. Es decir, cualquiera con una tarjeta de crédito válida puede acceder al servicio, con la consecuente proliferación de spammers, creadores de código malicioso y otros criminales que utilizan la nube como centro de operaciones.
Recomendaciones: – Implementar un sistema de registro de acceso más restrictivo.
– Coordinar y monitorizar el fraude en tarjetas de crédito.
– Monitorizar el tráfico de clientes para la detección de posibles actividades ilícitas.
– Comprobar las listas negras públicas para identificar si los rangos IP de la infraestructura han entrado en ellas.
2.- Interfaces y API poco seguros Generalmente los proveedores de servicios en la nube ofrecen una serie de interfaces y API (del inglés, Application Programming Interface) para controlar e interactuar con los recursos. De este modo, toda la organización, el control, la provisión y la monitorización de los servicios Cloud se realiza a través de estos API o interfaces.
Dado que todo (autenticación, acceso, cifrado de datos, etcétera) se realiza a través de estas herramientas, se hace necesario que los interfaces estén diseñados de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental.
Recomendaciones:
– Analizar los problemas de seguridad de las interfaces de los proveedores de servicio.
– Asegurarse que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos.
3.- Amenaza interna
Como en todos los sistemas de información, la amenaza que suponen los propios usuarios es una de las más importantes, dado que tienen acceso de forma natural a los datos y aplicaciones de la empresa. En un entorno Cloud esto no es en absoluto diferente, ya que se pueden desencadenar igualmente incidentes de seguridad provocados por empleados descontentos y accidentes por error o desconocimiento.
Además, en muchos casos es el propio proveedor del servicio el que gestiona las altas y bajas de los usuarios, produciéndose brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas de personal en la empresa.
Como es lógico, estos incidentes repercuten de forma importante en la imagen de la empresa y en los activos que son gestionados.
Los proveedores de servicio deberán proveer a los consumidores del mismo de medios y métodos para el control de las amenazas internas.
Recomendaciones:
– Especificar cláusulas legales y de confidencialidad en los contratos laborales.
– Determinar los posibles problemas en los procesos de notificación.
4.- Problemas derivados de las tecnologías compartidas Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio los componentes físicos (CPU, GPU, etcétera) no fueron diseñados específicamente para una arquitectura de aplicaciones compartidas. Se han dado casos en los que los hipervisores de virtualización podían acceder a los recursos físicos del anfitrión, provocando, de esta forma, incidentes de seguridad.
Para evitar este tipo de casos se recomienda implementar una defensa en profundidad, con especial atención a los recursos de computación, almacenamiento y red. Además, se ha de generar una buena estrategia de seguridad que gestione correctamente los recursos para que las actividades de un usuario no puedan interferir en las del resto.
Recomendaciones:
– Diseñar buenas prácticas para la instalación y configuración.
– Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad.
– Proporcionar autenticación fuerte y control de acceso para el acceso de administración.
– Adecuar los acuerdos de nivel de servicio para controlar el parcheado y la corrección de vulnerabilidades.
5.- Pérdida o fuga de información
Existen muchas formas en las que los datos se pueden ver comprometidos. Por ejemplo, el borrado o modificación de información sin tener una copia de seguridad de los originales supone una pérdida de datos.
En la nube, aumenta el riesgo de que los datos se vean comprometidos, ya que el número de interacciones entre ellos se multiplica por la propia arquitectura de la misma. Esto deriva en pérdida de imagen de la compañía, daños económicos y, si se trata de fugas, problemas legales, infracciones de normas, etcétera.
Recomendaciones: – Implementar API potentes para el control de acceso.
– Proteger el tránsito de datos mediante su cifrado.
– Analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución.
– Proporcionar mecanismos potentes para la generación de claves, el almacenamiento y la destrucción de la información.
– Definir, por contrato, la destrucción de los datos antes de que los medios de almacenamiento sean eliminados de la infraestructura, así como la política de copias de seguridad.
6.- Secuestro de sesión o servicio
En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los clientes a sitios maliciosos.
Recomendaciones:
– Prohibir, mediante políticas, compartir credenciales entre usuarios y servicios.
– Aplicar técnicas de autenticación de doble factor, siempre que sea posible.
– Monitorizar las sesiones en busca de actividades inusuales.
7.- Riesgos por desconocimiento Uno de los pilares de las infraestructuras Cloud es reducir la cantidad de software y hardware que tienen que adquirir y mantener las compañías, para así poder centrarse en el negocio. Esto, si bien repercute en ahorro de costes tanto económicos como operacionales, no puede ser motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura.
Para asistir en la toma de decisiones sobre las medidas de seguridad que se han de implantar en un entorno Cloud es conveniente conocer, al menos en parte, la información técnica de la plataforma. Datos como con quién comparte la infraestructura o los intentos de acceso no autorizados pueden resultar muy importantes a la hora de decidir la estrategia de seguridad.
La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas por el afectado.
Recomendaciones:
– Tener acceso a los logs (registros de actividad) de aplicaciones y datos.
– Estar al corriente, total o parcialmente, de los detalles de la infraestructura.
– Monitorizar y recibir alertas sobre el uso de información crítica.
