Proteger el centro de datos moderno: cómo salvaguardar sus inversiones digitales
José de la Cruz, director técnico de Trend Micro Iberia
01/03/2019El centro de datos está atravesando un período de cambio profundo. Los proyectos de transformación digital están exigiendo un cambio de los sistemas obsoletos locales a entornos cloud híbridos ágiles. Pero al hacerlo, las organizaciones se exponen a niveles de ciberriesgo sin precedentes. Hacer frente a este desafío significa comprender los niveles de riesgo con los que su organización está preparada para vivir y luego aplicar los controles adecuados para gestionar la variedad y diversidad de amenazas que se ciernen sobre los centros de datos modernos.
La estampida digital
Según el Cloud Industry Forum, más del 70% de las organizaciones del Reino Unido cuentan con una estrategia de transformación digital o la están aplicando. El atractivo de mayores niveles de eficiencia TI, procesos simplificados, agilidad del negocio y ahorro de costes ha convencido a los consejos de administración para realizar fuertes inversiones. Se trata de un mercado que tendrá un valor de 462.000 millones de dólares en 2024, ya que las empresas recurren a la IA, IoT, big data y otros factores para estimular el crecimiento impulsado por la innovación.
El centro de datos se encuentra en el corazón de estas iniciativas. Pero a menos que sea una empresa nacida en la nube, es probable que esté ejecutando una combinación de operaciones físicas, virtuales y cloud en sus instalaciones y en los centros de datos de terceros. Incluso podría estar ejecutando nuevas arquitecturas diseñadas para mejorar aún más la flexibilidad y reducir los gastos generales: un estudio de 2018 descubrió que el 72% de las empresas utilizan o evalúan contenedores y el 46% hacen lo mismo con la informática sin servidor.
Todas estas decisiones plantean problemas de seguridad. La ejecución de entornos heterogéneos puede crear silos peligrosos y puntos ciegos, mientras que los líderes de TI deben ser conscientes de que las herramientas físicas de ciberseguridad no pueden migrarse simplemente a entornos cloud. Los riesgos se ven agravados por las complejas cadenas de suministro digital de hoy en día, en las que terceros pueden necesitar acceso a sus servidores.
Todo esto significa que los centros de datos actuales tienen una superficie de ataque mucho mayor que lo que se haya visto antes. Equipos de seguridad TI extendidos y la confusión sobre el modelo de responsabilidad compartida para la seguridad en la nube solo aumentan los riesgos potenciales de pérdida de datos o interrupciones en el servicio.
José de la Cruz, director técnico de Trend Micro Iberia.
Los centros de datos en el punto de mira
Las organizaciones deben mantener a raya a las amenazas de un enemigo cada vez más ágil y decidido, protegiendo los resultados y la reputación corporativa, al tiempo que mantienen contentos a los reguladores cumpliendo con la normativa. Los ataques sin archivos son una táctica popular que utiliza componentes legítimos como PowerShell, secuencias de comandos o scripts y macros, así como extensiones de archivo poco convencionales para burlar los filtros tradicionales. A menudo se utilizan en el creciente número de ataques dirigidos a los centros de datos modernos. Prevemos que los black hats recurrirán cada vez más a las herramientas de inteligencia artificial (IA) para hacerlos aún más exitosos, mediante la elaboración de perfiles de procesos corporativos y patrones de comunicación para entender dónde y cómo atacar.
A menudo, los desarrolladores son su peor enemigo. La reutilización de código es un riesgo de seguridad persistente, pero sigue siendo una forma popular de satisfacer las insaciables demandas de la empresa digital. El año pasado se descubrió que 17 imágenes maliciosas se descargaron más de cinco millones de veces desde Docker Hub. Una vulnerabilidad recientemente revelada en la capa de abstracción a nivel de contenedores también muestra que estas nuevas arquitecturas representan una amenaza creciente ante la que muchas firmas aún no se han despertado.
Más de 59.000 organizaciones de toda Europa ya han informado a los reguladores del GDPR de brechas de datos. Pero la amenaza a los centros de datos va más allá del robo de la información de los clientes o de IP sensibles. El ransomware sigue siendo un riesgo importante que podría detener y afectar gravemente a las operaciones. El año pasado, Europol advirtió que seguiría siendo una amenaza importante durante muchos años. Luego está el criptojacking. Encontramos un aumento del 956% en las detecciones de malware para minería desde el primer semestre de 2017 hasta los seis primeros meses de 2018. Aunque es poco probable que esta amenaza cause una interrupción del servicio, consumirá energía y provocará un desgaste de los servidores. Pero lo más importante es que crea un punto de presencia en la organización al que los mismos hackers podrían volver en el futuro, tal vez con ransomware.
Un paso por delante
Entonces, ¿qué pueden hacer los administradores de seguridad TI como respuesta? La estrategia más eficaz es la que se basa en la gestión de riesgos. Realizar algunos modelos de riesgo y comprender qué partes del centro de datos son “zonas de alto riesgo” y cuáles son de menor riesgo. A continuación, aplicar tecnologías y procesos relativos a este riesgo. Separar estas zonas para que si una se infecta limitar el daño. Aplicar protección de defensa en profundidad en el servidor, gateway, red y endpoint. Considerar también la posibilidad de invertir en una combinación de herramientas en cada capa para hacer frente a la gran variedad de amenazas que existen, puesto que no hay nada que se parezca a una fórmula mágica que lo resuelva todo. Estas herramientas podrían incluir prevención de intrusiones (IPS), firewalls, listas blancas, análisis de comportamiento, sandboxing personalizado y machine learning. Además de añadir autenticación multifactor (MFA), VPN y cifrado de datos en reposo para mitigar aún más el riesgo.
La mayoría de las empresas necesitan un partner de seguridad para el centro de datos que pueda proporcionar protección en entornos físicos, virtuales y cloud híbridos, con productos de seguridad diseñados específicamente teniendo en cuenta estas diferentes plataformas. Esto maximizará la protección y el cumplimiento al tiempo que minimizará cualquier impacto en el rendimiento. El enfoque más completo abarcará desde el escaneo de contenedores antes de la ejecución hasta la protección automatizada de cargas de trabajo dinámicas. Con esta configuración, las empresas pueden finalmente comenzar a realizar un enfoque de mejores prácticas de seguridad por diseño, respaldado por DevSecOps.
Finalmente, es importante pensar en la seguridad como un esfuerzo proactivo, no reactivo. Para ello, hay que considerar las herramientas de búsqueda de amenazas, o aquellas que ofrezcan una mayor comprensión y visión de los flujos de tráfico de los centros de datos para detectar las señales de alerta temprana de actividad sospechosa. Los planes de respuesta a incidentes deben probarse a fondo y adaptarse constantemente. Por encima de todo, lo que hay que tener en cuenta es que una buena ciberseguridad es un proceso continuo, no un destino.