Se necesita un promedio de solo tres pasos para que un actor de amenazas se infiltre en un entorno de nube objetivo y llegue a sus activos de “joya de la corona” y, como resultado, una gran cantidad de organizaciones ahora están experimentando incidentes de seguridad en la nube, con al menos 80% reportando un incidente “grave” en los últimos 12 meses.
Esto es de acuerdo con dos informes diferentes sobre el estado de la seguridad en la nube publicados hoy por los especialistas del sector Orca Security y Snyk, los cuales revelan una nueva visión de los riesgos cibernéticos y los desafíos planteados por la adopción generalizada de la nube, y cómo los equipos de seguridad están lidiando. con ellos.
El informe de Orca, compilado por su acertadamente llamado Research Pod, analiza la carga de trabajo y los datos de configuración capturados de miles de millones de activos en AWS, Azure y Google Cloud en los primeros siete meses de 2022, para identificar dónde existen brechas y qué pueden hacer los equipos de seguridad para llenarlas. en.
Además de la preocupante idea de que un actor de amenazas solo necesita encadenar tres debilidades conectadas y explotables en un entorno de nube para causar estragos potencialmente terminales, Orca descubrió que la gran mayoría (78 %) de estas rutas de ataque comenzaron con una vulnerabilidad o exposición común conocida (CVE ) como el vector inicial, lo que sugiere que las organizaciones, como siempre, no logran parchear adecuadamente.
También descubrió que las organizaciones continúan dejando sus activos de almacenamiento en la nube, como AWS S3 Buckets y Azure Blobs, completamente expuestos a la Internet pública y no están implementando medidas de seguridad básicas como la autenticación multifactor (MFA), el cifrado y el escaneo de puertos. .
Además, Orca descubrió que las organizaciones tienden a pasar por alto los servicios nativos de la nube, probablemente porque, aunque son fáciles de poner en marcha, necesitan supervisión y configuración periódicas.
Alrededor del 58 % de las organizaciones tienen funciones sin servidor con tiempos de ejecución no compatibles y el 70 % tiene una API de Kubernetes de acceso público.
Avi Shua, CEO y cofundador de Orca, dijo: “La seguridad de la nube pública no solo depende de las plataformas en la nube que brindan una infraestructura segura en la nube, sino también en gran medida del estado de las cargas de trabajo, las configuraciones y las identidades de una organización en la nube. .
“Todavía queda mucho trabajo por hacer en esta área, desde vulnerabilidades sin parchear e identidades demasiado permisivas, hasta activos de almacenamiento que se dejan completamente abiertos. Sin embargo, es importante recordar que las organizaciones nunca pueden corregir todos los riesgos en su entorno. Simplemente no tienen la mano de obra para hacer esto. En su lugar, las organizaciones deben trabajar estratégicamente y asegurarse de que los riesgos que ponen en peligro los activos más críticos de la organización siempre se solucionen primero”.
Además de su estadística principal, que cuatro quintas partes de las organizaciones han experimentado un incidente grave de seguridad en la nube, ya sea una violación, fuga o intrusión de datos, en los últimos 12 meses, el informe de Snyk también encontró que el 58% de los encuestados sintieron el riesgo basado en la nube. era probable que creciera en los próximos 12 meses, y el 25 % estaba preocupado de haber sufrido recientemente una filtración de datos en la nube, pero no lo sabían.
Snyk también encontró evidencia de cierto escepticismo sobre los enfoques nativos de la nube, con un 41 % que dijo que introdujeron más complejidad y complicación en sus esfuerzos en torno a la seguridad, particularmente en términos de capacitación y colaboración, y acceso a recursos de ingeniería.
Sin embargo, donde los encuestados tenido trabajaron para mejorar su seguridad en la nube, encontraron múltiples beneficios, incluida una mayor colaboración, una mayor productividad y una innovación más rápida.
“Esta nueva investigación debería servir como una llamada de atención de que nuestro riesgo colectivo de seguridad en la nube es universal y solo seguirá creciendo si duplicamos los enfoques obsoletos y las herramientas heredadas”, dijo Josh Stella, vicepresidente y arquitecto jefe de Snyk. .
“Sin embargo, la perspectiva no es del todo nefasta, ya que los datos también revelan claramente que cambiar la seguridad de la nube a la izquierda y adoptar la colaboración DevSecOps puede permitir que las organizaciones globales continúen con su ritmo actual de innovación de manera más segura”.
El informe de Snyk se basó en un estudio de más de 400 profesionales de seguridad e ingeniería en la nube, así como líderes de varios tipos de organizaciones e industrias.
