Esta semana en ciberseguridad – Abril 2022

Elementor Website Builder de WordPress Comprometido

Se ha encontrado que Elementor, un complemento de creación de sitios web de WordPress con más de cinco millones de instalaciones activas, es vulnerable a una falla de ejecución de código remoto (RCE) autenticada que podría ser abusada para hacerse cargo de los sitios web afectados.

La vulnerabilidad del complemento esta vinculada a la version 3.6.0 que fue lanzada el 22 de marzo de 2022 y aproximadamente el 37% de los usuarios de este complemento ya esta en esta versión.

“El código malicioso proporcionado por el atacante puede ser ejecutado por el sitio web”…”En este caso, es posible que la vulnerabilidad sea explotable por alguien que no haya iniciado sesión en WordPress…”

Según los investigadores

FUENTE: https://thehackernews.com/2022/04/critical-rce-flaw-reported-in-wordpress.htm

Tendencias de ciberseguridad 2022

McKinsey examina tres de las últimas tendencias de ciberseguridad y sus implicaciones para las organizaciones que se enfrentan a ciber-riesgos, amenazas nuevas y emergentes.

“La interrupción digital es inevitable y conducirá a un rápido cambio impulsado por la tecnología. A medida que las organizaciones realizan inversiones a gran escala en tecnología, ya sea en un espíritu de innovación o por necesidad, deben ser conscientes de los ciberriesgos asociados. Los atacantes están explotando las vulnerabilidades que introducen las nuevas tecnologías, e incluso los mejores controles cibernéticos se vuelven obsoletos rápidamente en este mundo digital acelerado. Las organizaciones que buscan posicionarse de manera más efectiva durante los próximos cinco años deberán adoptar un enfoque implacable y proactivo para construir capacidades defensivas sobre el horizonte”.

Jim Boehm, Charlie Lewis y Kathleen Li

Las 3 tendencias en ciberseguridad y la forma en que se podrían abordar:

  1. El acceso bajo demanda a distintas plataformas de datos e información.
    Este acceso requiere de cuatro capacidades de ciberseguiridad:
    1. Arquitectura de confianza cero
    2. Análisis Conductual
    3. Monitoreo de Registros elásticos para grandes conjuntos de datos.
    4. Cifrado homomórfico.
  2. La utilización de IA, aprendizaje automático y otras tecnologías para lanzar ataques cada vez más sofisticados
    Para contrarrestar ataques más sofisticados impulsados por la IA y otras capacidades avanzadas, las organizaciones deben adoptar un enfoque basado en el riesgo para la automatización y las respuestas automáticas a los ataques. La automatización debe centrarse en las capacidades defensivas, como las contramedidas del centro de operaciones de seguridad (SOC) y las actividades intensivas en mano de obra, como la gestión de identidad y acceso (IAM) y los informes. La IA y el aprendizaje automático deben usarse para mantenerse al tanto de los cambios en los patrones de ataque. Finalmente, el desarrollo de respuestas organizativas automáticas técnicas y automáticas a las amenazas de ransomware ayuda a mitigar el riesgo en caso de un ataque.
  3. Un panorama regulatorio cada vez mayor y sus brechas en recursos, conocimiento y talento.
    El mayor escrutinio regulatorio y las brechas en conocimiento, talento y experiencia refuerzan la necesidad de construir e integrar la seguridad en las capacidades tecnológicas a medida que se diseñan, construyen e implementan. Además, las capacidades como la seguridad como el código y una lista de materiales del software ayudan a las organizaciones a implementar capacidades de seguridad y mantenerse a la vanguardia de las consultas de los reguladores.

FUENTE: https://www.mckinsey.com/cybersecurity/cybersecurity-trends-looking-over-the-horizon

Cómo evaluar la seguridad de los proveedores de servicios en la nube

La adopción de la nube pública está aumentando entre las empresas de todos los sectores. En una encuesta reciente [1]

[1] https://cloudsecurityalliance.org/press-releases/2021/03/30/cloud-security-alliance-releases-latest-survey-report-on-state-of-cloud-security-concerns-challenges-and-incidents/

más de la mitad de las empresas indicaron que ahora están ejecutando al menos el 41% de sus cargas de trabajo en la nube pública, una tendencia que seguramente se acelerará en 2022, ese mismo estudio muestra que los problemas de la nube y las desconfiguraciones son las principales causas de las brechas y las interrupciones.

Los tres grandes proveedores de servicios [2] en la nube pública en 2022 son:

[2] https://www.threatstack.com/blog/7-cloud-service-evaluation-criteria-to-help-you-choose-the-right-cloud-service-provider

  • Amazon Web Services (AWS), con el 62% del mercado,
  • Microsoft Azure, con un 20%, y
  • Google Cloud Platform (GCP), con un 12%.

Vamos a centrar nuestra atención en lo que hay que tener en cuenta al elegir un proveedor de la nube.

  1. Comprobar la adhesión a los standards y frameworks
    Algunas de las normas más comunes que hay que buscar son la ISO-27001, la ISO-27002 y la ISO-27017, que indican que el proveedor sigue las mejores prácticas de seguridad y se esfuerza activamente por reducir los riesgos. Otra norma importante es la ISO-27018, que indica que el proveedor protege suficientemente la información personal identificable.
    También hay que tener en cuenta las leyes gubernamentales y normativas, como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS).
  1. Auditar los procesos operativos y empresariales
    La mayoría de los proveedores de servicios en la nube ofrecen documentación que describe su cumplimiento de las directrices y normativas corporativas, gubernamentales y del sector. Esto es un comienzo, pero es importante ir un paso más allá y solicitar información adicional.
    Como regla general, considere la posibilidad de buscar informes de seguridad de terceros de auditores y agencias independientes. Si un proveedor se resiste a proporcionar información o no puede hacerlo con rapidez, podría ser una señal de alarma de que no está actuando en su beneficio.
  1. Comprobar los controles de autenticación e identidad
    El almacenamiento de datos y aplicaciones en la nube introduce nuevos riesgos de acceso. En lugar de acceder a los datos y aplicaciones in situ, los trabajadores pueden utilizarlos desde casi cualquier lugar del mundo. Esto aumenta la probabilidad de robo y uso indebido.
    Por esta razón, es fundamental asociarse con proveedores de la nube que ofrecen controles sólidos de autenticación e identidad . Por ejemplo, el proveedor debe ofrecer autenticación multifactorial (MFA) para los inicios de sesión. Además, las herramientas de monitoreo de identidades en tiempo real y Cloud Infrastructure Entitlements Management (CIEM3) vigilan de cerca todas las identidades (personales y no personales) de su entorno.

https://sonraisecurity.com/use-cases/identity/

  1. Comprender las procesos internos del proveedor y las políticas de acceso
    La migración a la nube y el uso de infraestructura de terceros requiere una gran confianza entre la organización y el proveedor de la nube. Después de todo, una parte importante de sus cargas de trabajo fluirá a través de la infraestructura de un tercero cuando utilice la nube.
    Para proteger su empresa, es necesario definir las políticas de acceso y gobernanza del proveedor. De este modo, tendrá una idea clara de lo que controla el proveedor de la nube y de lo que puede hacer con sus datos. Sin una sólida política de gobierno y acceso del proveedor, su empresa podría arriesgarse a perder incidentes de seguridad y violaciones de la privacidad.
  1. Garantizar el acceso a los registros de auditoría corporativos
    Un registro de auditoría es una línea que resume la fecha y la hora de transacciones específicas en la nube. En otras palabras, muestra quién realiza acciones específicas y cuándo las lleva a cabo.
    El proveedor de la nube debe proporcionar acceso directo a los datos de los registros de auditoría corporativa, para una visibilidad y transparencia completas. Sin este tipo de información, puede ser difícil o incluso imposible realizar una reconstrucción de un evento en particular.
  1. Comprender los recursos de gestión interna
    La migración a la nube pública no es algo que se establece y se olvida. Necesitas conocer a fondo los recursos disponibles que vas a utilizar. Al mismo tiempo, también debe saber qué debe hacer para proteger su entorno de nube.
    Tenga en cuenta que los proveedores de la nube suelen tener modelos de responsabilidad compartida, con marcos específicos para asegurar y supervisar las cargas de trabajo. Los marcos de seguridad en la nube pueden incluir descripción de controles, informes de cumplimiento y protocolos de gestión de identidades o de configuraciones erróneas.
  1. Examinar los SLA
    Los SLA son es el acuerdo oficial entre la organización y el proveedor de servicios en la nube. En un nivel alto, el SLA se encarga de esbozar el nivel de servicio que recibe el cliente. También define las consideraciones de seguridad, incluyendo las responsabilidades compartidas, la fiabilidad, el mantenimiento y el soporte, el gobierno y la auditoría de los datos.
    Dado que el acuerdo de nivel de servicio rige esencialmente la relación con el proveedor de la nube, es necesario examinar el documento y tener una comprensión completa de lo que implica. También es una buena idea incluir en el proceso a los responsables de la seguridad, los equipos jurídicos y otros responsables de la toma de decisiones para evitar dejar nada al azar.
  1. Comprender los precios de los servicios de seguridad
    Muchos de los principales proveedores de la nube ofrecen servicios de seguridad avanzados por un cargo adicional. Por ejemplo, AWS tiene el AWS Security Hub y GCP tiene el Security Command Center. Estos tipos de servicios proporcionan visibilidad y control centralizados, informes de desconfiguración, inteligencia sobre amenazas y mucho más.
    Hable con sus asesores de seguridad y determine si necesita pagar por este tipo de servicio o si es mejor utilizar herramientas estándar. Es posible que pueda evitar el pago de fuertes cuotas de suscripción y reducir el coste total del proyecto.
  1. Examine la ubicación del almacenamiento de datos
    Antes de migrar a la nube, determine el nivel de seguridad y confidencialidad que necesitan sus datos, es decir, clasifique sus datos. Esto le ayudará a analizar el entorno de almacenamiento del proveedor de la nube y a determinar si se ajusta a sus necesidades específicas.
    También querrás investigar dónde almacena realmente tus datos el proveedor. Los proveedores suelen almacenar y procesar los datos en países con normas de seguridad mínimas. Esto podría amenazar potencialmente tus datos personales en la nube y exponerte a violaciones de la privacidad.
  1. Evaluar las capacidades de integración de terceros
    Es necesario comprobar si la plataforma admite integraciones de seguridad de terceros para determinar el nivel de control y personalización que tendrá.
    Las empresas suelen crear modelos de seguridad en la nube personalizados utilizando varias protecciones y servicios de supervisión de terceros. Un proveedor nube nunca debería limitarte a sus servicios. La flexibilidad y las integraciones son la clave del éxito en la nube.
  1. Evaluar uptime y performance
    Los proveedores de la nube pueden sufrir interrupciones y tiempos de inactividad como cualquier otra empresa. Cuando esto ocurre, los clientes se ven directamente afectados. En un ejemplo reciente, Apple tuvo una interrupción masiva del servicio que afectó a numerosas aplicaciones.
    Busqué en profundidad métricas de uptime y performance y analice los datos para determinar la frecuencia con la que el proveedor de la nube experimenta interrupciones y el tiempo medio de resolución.
  1. Compruebe si hay un historial de violación o pérdida de datos
    Otra forma de examinar la seguridad de un proveedor de la nube es investigar la cantidad total de pérdidas de datos y violaciones.
    Al investigar este tipo de información, primero hay que tener en cuenta el contexto. También querrá examinar el tamaño y el alcance del proveedor y el nivel de responsabilidad compartida que ofrece.
  1. Analizar los procesos de copia de seguridad y recuperación de desastres
    Las interrupciones y los desastres pueden ocurrir en cualquier momento. Es vital contar con un sólido proceso de copia de seguridad y recuperación para proteger sus activos en la nube.
    A la hora de seleccionar un proveedor de la nube, estudie sus disposiciones y procesos de recuperación de desastres. Asegúrate de que tienen la capacidad de preservar y restaurar los datos sin problemas.
  1. Busque servicios de migración y soporte
    La migración de las cargas de trabajo de los entornos on-prem a la nube puede ser una tarea compleja y pesada. Las empresas que intentan hacerlo con recursos internos suelen tener dificultades y se encuentran con problemas de rendimiento, desafíos de migración y errores de seguridad.
    Para evitar complicaciones, conviene comprobar si el proveedor de la nube ofrece servicios de migración. Por ejemplo, tanto Azure como AWS facilitan la transferencia de cargas de trabajo de forma segura y eficiente.
  1. Revise la planificación de la salida y evite el bloqueo
    Como dice el refrán, sepa dónde están las salidas. Es posible que empiece a trabajar con un proveedor de la nube y tenga que abandonar el barco por motivos de seguridad, costes, rendimiento o cambio de estrategia.
    El bloqueo del proveedor de la nube se produce cuando un proveedor de la nube hace que sea difícil o incluso imposible romper los lazos con él. Esto suele ocurrir cuando el coste de abandonar el proveedor es tan exorbitante que la empresa tiene que seguir trabajando con él.

Consideraciones Finales
Como puede ver, migrar a la nube no es un paseo. Por el contrario, es un proceso complicado con mucho que considerar, especialmente cuando se trata de la seguridad.

Controlar la seguridad en la nube puede ser muy complejo, tanto si gestionas una como varias plataformas en la nube. Para facilitar el proceso y avanzar en el nivel de seguridad, resulta útil aprovechar una plataforma de seguridad en la nube que ofrezca visibilidad a todos los proveedores.

Fuente: https://securityboulevard.com/2022/04/how-to-evaluate-cloud-service-provider-security-checklist