Lo que significa para la seguridad en la nube y SaaS

Orden Ejecutiva de Ciberseguridad 2021

En respuesta a los actores maliciosos que apuntan a los sistemas de TI federales de EE. UU. y su cadena de suministro, el presidente emitió la «Orden ejecutiva sobre la mejora de la seguridad cibernética de la nación (Orden ejecutiva)».

Aunque está dirigida a los departamentos y agencias federales, la Orden Ejecutiva probablemente tendrá un efecto dominó a través del flujo de suministro de tecnología federal. Las empresas privadas y las empresas buscarán la Orden Ejecutiva para construir sus mejores prácticas.

En un nivel alto, la Orden Ejecutiva incluye requisitos para compartir información, un impulso hacia la nube y las arquitecturas Zero Trust, y una mayor transparencia en toda la cadena de suministro de software.

Comprensión de los fundamentos de la Orden Ejecutiva de la Casa Blanca sobre la Mejora de la Ciberseguridad de la Nación

La mayor parte de la Orden Ejecutiva se centra en las tareas administrativas asociadas con ella, incluida la redefinición del lenguaje del contrato, el establecimiento de plazos y la definición de funciones y responsabilidades de las agencias. Para las empresas que no suministran tecnología al gobierno federal, la Orden Ejecutiva puede parecer poco importante.

En realidad, varios de los principios básicos podrían ser utilizados por empresas que operan fuera de la cadena de suministro de TI federal, entre ellos:

  • Mejor intercambio de inteligencia
  • Modernización de la infraestructura de la agencia con la nube y Zero Trust
  • Protección de la cadena de suministro de software de TI federal

Lo que dice la Orden Ejecutiva

El texto de la Orden Ejecutiva es largo y viene con toda la jerga regulatoria asociada con la ley. Sin embargo, dividirlo en trozos del tamaño de un bocado ofrece una buena visión general.

Mejor intercambio de información

El punto breve y sucinto de este es que «todos deben jugar bien y dejar de esconderse detrás de los contratos». En pocas palabras, la Orden Ejecutiva busca crear una oportunidad de intercambio de información más significativa para agencias y proveedores cuando los actores de amenazas encuentran y explotan una vulnerabilidad.

Muévase a la nube y cree una arquitectura Zero Trust

Aunque este habla principalmente por sí mismo, los requisitos de la Orden Ejecutiva crearon un poco de pánico en el espacio federal porque muchos de los plazos son muy cortos. Por ejemplo, dentro de los 60 días, las agencias federales deben:

  • Priorice los recursos para pasar a la nube lo más rápido posible
  • Plan para implementar Zero Trust Architecture (ZTA)
  • Obtenga las cosas lo más seguras posible y solucione el riesgo cibernético

Finalmente, dentro de los 180 días, todos deben adoptar la autenticación multifactor (MFA) y el cifrado tanto en reposo como en tránsito. Con las agencias que adoptan aplicaciones de software como servicio (SaaS) para modernizar sus pilas de TI, identidad y configuraciones de control de acceso, incluida la autenticación de múltiples factores, actúan como una estrategia principal de mitigación de riesgos.

Asegure la cadena de suministro

Sin siquiera tener que enumerar los ataques e infracciones recientes de la cadena de suministro, este es el menos sorprendente de todos los requisitos. Sorprendiendo a muy pocas personas, esta sección incluye varios puntos clave:

  • Crear criterios para la evaluación de la seguridad del software
  • Establecer estándares y procedimientos para el desarrollo de software seguro.
  • Establezca una «Lista de materiales de software» que enumere todos los «ingredientes» tecnológicos que usan los desarrolladores

Qué significa la orden ejecutiva para las empresas

Para las agencias, esto requerirá un poco de trabajo. Para las empresas, esto es probablemente un presagio de lo que vendrá. El problema es que, si bien la Orden Ejecutiva es un gran comienzo, los dos requisitos principales para poner en práctica Zero Trust, MFA y cifrado, en realidad no cierran todas las brechas de seguridad en la nube.

Según el Informe de investigaciones de violación de datos (DBIR) de 2021, las configuraciones incorrectas siguen siendo un vector de amenaza principal para las arquitecturas en la nube. El mayor uso de aplicaciones de software como servicio (SaaS) en realidad desencadena dos patrones de ataque diferentes:

  • Ataques básicos a aplicaciones web: centrado en objetivos directos, que van desde el acceso a correo electrónico y datos de aplicaciones web hasta la reutilización de la aplicación web para distribuir malware, desfiguración o ataques de denegación de servicio distribuido (DDoS).
  • Errores varios: acciones no intencionales, generalmente por parte de un actor interno o actores asociados, incluido el envío de datos a destinatarios incorrectos.

Según DBIR, los ataques básicos a aplicaciones web incluyen cosas como el robo de credenciales y ataques de fuerza bruta. Mientras tanto, el subconjunto de errores varios también incluía cosas como el almacenamiento de archivos basado en la nube que se coloca en Internet sin controles.

Estos vectores de ataque muestran la importancia de la gestión de seguridad de SaaS para la seguridad de la nube en su conjunto. Muchas empresas carecen de visibilidad de sus configuraciones, y la proliferación de aplicaciones SaaS hace que el monitoreo manual de la configuración sea casi imposible. A medida que las empresas continúan su viaje de transformación digital, el monitoreo y la administración de la configuración solo se volverán más difíciles.

La seguridad en la nube, incluso con un enfoque en el establecimiento de una arquitectura de confianza cero, debe incorporar la seguridad de la aplicación SaaS. A medida que las agencias y empresas en su cadena de suministro incorporan aplicaciones SaaS, es necesario abordar el riesgo de seguridad que plantean las configuraciones incorrectas.

La lista de reproducción para mejorar la seguridad de SaaS

A medida que las agencias y las empresas comienzan a buscar soluciones, la mejora de la seguridad de SaaS debe estar en la lista de «pasos proactivos a seguir».

Integre todas las aplicaciones: viaje por el camino largo y sinuoso

Hacer el negocio de su negocio requiere muchas aplicaciones, especialmente entre las fuerzas de trabajo remotas. A pesar de un ciclo de compra potencialmente largo, agregar aplicaciones a su pila es relativamente fácil. Su equipo de TI crea algunas conexiones a su infraestructura en la nube mediante API y luego agrega a los usuarios. La gente puede ponerse manos a la obra.

Obtenga más información sobre cómo evitar riesgos de mala configuración en su estado de aplicaciones SaaS

Administrar la aplicación de seguridad SaaS a largo plazo es el gran desafío. Tienes muchas aplicaciones, y cada una tiene configuraciones e idiomas únicos. Ninguna organización puede tener un experto en todos los idiomas y configuraciones de las aplicaciones. Si puede integrar todas sus aplicaciones en una sola plataforma que crea un enfoque estandarizado para las configuraciones, está dando el primer paso en el camino largo y sinuoso para asegurar su infraestructura en la nube.

Verifique el acceso y haga cumplir las políticas: Stop Believin ‘

Si bien Journey podría decir «no dejes de creer», una arquitectura de confianza cero significa no creerle a nadie ni a nada hasta que proporcione la prueba correcta. Por ejemplo, MFA no funciona en un sistema que usa protocolos de autenticación heredados como IMAP y POP3. Si necesita proteger su pila de SaaS y cumplir con estos breves plazos, necesita visibilidad del acceso de todos los usuarios, especialmente de los titulares de acceso privilegiado, como los superadministradores o las cuentas de servicio.

Las empresas necesitan políticas unificadas en todas las aplicaciones SaaS, lo que garantiza el cumplimiento continuo. Esto significa la capacidad de analizar el acceso de cada usuario en todas sus plataformas SaaS por rol, privilegio, nivel de riesgo y plataforma con la capacidad de mezclar y combinar mientras busca, para que tenga los conocimientos que necesita, cuando los necesita.

Elimine las configuraciones erróneas de SaaS

Supervise la seguridad de SaaS de forma continua: debería saberlo

La parte más difícil de la seguridad de SaaS es que cambia continuamente, como cuando los empleados comparten documentos con terceros o agregan nuevos usuarios que no pertenecen a la empresa a las plataformas de colaboración. El problema es que la Orden Ejecutiva y la mayoría de los otros mandatos de cumplimiento asumen que debe conocer su postura de riesgo porque está monitoreando continuamente su seguridad.

Necesita seguridad SaaS siempre activa que proporcione identificación de riesgos en tiempo real, alertas basadas en el contexto y priorización de riesgos.

Automatice las actividades de remediación: Never Gonna Let You Down

Ningún ser humano puede gestionar la seguridad de SaaS de forma manual.

La gestión manual de los riesgos derivados de tantos usuarios, tantas aplicaciones y tantas ubicaciones dejará al departamento de TI funcionando con espresso y bebidas energéticas y, lamentablemente, lo más probable es que pierda un riesgo crítico.

Automatizar el proceso de seguridad de SaaS en una única plataforma basada en la nube es la forma más eficiente de gestionar el proceso. Las soluciones de administración de la plataforma SaaS cumplen con su seguridad donde reside, en la nube, para que pueda automatizar su seguridad a la velocidad de la nube, reducir el riesgo y fortalecer su postura de seguridad y cumplimiento.

Adaptive Shield: SaaS Performance Security Management es el eslabón perdido

Adaptive Shield proporciona una visibilidad completa de uno de los problemas más complejos de la seguridad en la nube. Esta solución de administración de la postura de seguridad de SaaS permite a las empresas monitorear continuamente los riesgos de configuración incorrecta en todo el estado de SaaS: desde configuraciones que cubren malware, spam y phishing hasta comportamientos sospechosos y permisos de usuario configurados incorrectamente.

Adaptive Shield alinea los controles técnicos con los puntos de referencia de CIS y puede asignar el cumplimiento de los controles a NIST 800-53, así como a otros marcos.

La solución de administración de la plataforma de seguridad Adaptive Shield SaaS también se conecta de forma nativa con soluciones de inicio de sesión único (SSO), como Azure, Ping y Okta, para ayudar a rastrear el uso de MFA en toda la organización.

Dado que las aplicaciones SaaS se están convirtiendo en la regla y no en la excepción para las empresas modernas, la seguridad en la nube se basa en el monitoreo continuo de configuraciones incorrectas de SaaS riesgosas.

Obtenga más información sobre cómo evitar riesgos de mala configuración en su estado de aplicaciones SaaS

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática