Amenaces a la seguretat del núvol el 2023
A mesura que avancem cap al 2023, és important estar al corrent de les principals amenaces de seguretat del núvol que poden afectar la vostra organització. El 2023, les amenaces de seguretat del núvol continuaran evolucionant i es tornaran més sofisticades.
Aquí teniu una llista de coses a tenir en compte el 2023:
1. Enduriment de la teva infraestructura
Una de les millors maneres de protegir la vostra infraestructura de núvol és endurir-la contra els atacs. Això implica assegurar-vos que els vostres servidors i altres components crítics estiguin correctament configurats i actualitzats.
És important endurir el vostre sistema operatiu perquè moltes de les amenaces de seguretat del núvol actuals exploten les vulnerabilitats del programari obsolet. Per exemple, l'atac de ransomware WannaCry el 2017 es va aprofitar d'una fallada del sistema operatiu Windows que no s'havia pegat.
El 2021, els atacs de ransomware van augmentar un 20%. A mesura que més empreses passen al núvol, és important endurir la vostra infraestructura per protegir-vos d'aquest tipus d'atacs.
Endurir la vostra infraestructura us pot ajudar a mitigar molts atacs habituals, com ara:
- Atacs DDoS
– Atacs d'injecció SQL
– Atacs de cross-site scripting (XSS).
Què és un atac DDoS?
Un atac DDoS és un tipus d'atac cibernètic que s'adreça a un servidor o xarxa amb una gran quantitat de trànsit o sol·licituds per sobrecarregar-lo. Els atacs DDoS poden ser molt perjudicials i poden fer que un lloc web o un servei no estiguin disponibles per als usuaris.
Estadístiques d'atac de DDos:
– El 2018, hi va haver un augment del 300% dels atacs DDoS en comparació amb el 2017.
– El cost mitjà d'un atac DDoS és de 2.5 milions de dòlars.
Què és un atac d'injecció SQL?
Els atacs d'injecció SQL són un tipus de ciberatac que aprofita les vulnerabilitats del codi d'una aplicació per inserir codi SQL maliciós a una base de dades. Aquest codi es pot utilitzar per accedir a dades sensibles o fins i tot prendre el control de la base de dades.
Els atacs d'injecció SQL són un dels tipus d'atacs més comuns al web. De fet, són tan habituals que l'Open Web Application Security Project (OWASP) els enumera com un dels 10 principals riscos de seguretat d'aplicacions web.
Estadístiques d'atac d'injecció SQL:
– El 2017, els atacs d'injecció SQL van ser responsables de prop de 4,000 incompliments de dades.
– El cost mitjà d'un atac d'injecció SQL és d'1.6 milions de dòlars.
Què és Cross-Site Scripting (XSS)?
Cross-site scripting (XSS) és un tipus d'atac cibernètic que consisteix a injectar codi maliciós a una pàgina web. Aquest codi és executat per usuaris desprevinguts que visiten la pàgina, cosa que fa que els seus ordinadors es vegin compromesos.
Els atacs XSS són molt comuns i sovint s'utilitzen per robar informació sensible com contrasenyes i números de targetes de crèdit. També es poden utilitzar per instal·lar programari maliciós a l'ordinador d'una víctima o per redirigir-los a un lloc web maliciós.
Estadístiques de Cross-Site Scripting (XSS):
– El 2017, els atacs XSS van ser responsables de prop de 3,000 violacions de dades.
– El cost mitjà d'un atac XSS és d'1.8 milions de dòlars.
2. Amenaces a la seguretat del núvol
Hi ha una sèrie d'amenaces a la seguretat del núvol diferents que cal tenir en compte. Aquests inclouen coses com ara atacs de denegació de servei (DoS), incompliments de dades i fins i tot persones privilegiades malintencionades.
Com funcionen els atacs de denegació de servei (DoS)?
Els atacs DoS són un tipus d'atac cibernètic on l'atacant intenta que un sistema o una xarxa no estiguin disponibles inundant-lo de trànsit. Aquests atacs poden ser molt perjudicials i poden causar danys financers importants.
Estadístiques d'atac de denegació de servei
– El 2019, hi va haver un total de 34,000 atacs DoS.
– El cost mitjà d'un atac DoS és de 2.5 milions de dòlars.
– Els atacs DoS poden durar dies o fins i tot setmanes.
Com es produeixen les violacions de dades?
Les violacions de dades es produeixen quan s'accedeix a dades sensibles o confidencials sense autorització. Això pot passar a través de diversos mètodes diferents, com ara la pirateria, l'enginyeria social i fins i tot el robatori físic.
Estadístiques d'incompliment de dades
– El 2019, hi va haver un total de 3,813 infraccions de dades.
– El cost mitjà d'una violació de dades és de 3.92 milions de dòlars.
– El temps mitjà per identificar una violació de dades és de 201 dies.
Com ataquen els insiders malintencionats?
Les persones privilegiades malintencionades són empleats o contractistes que fan un mal ús deliberat del seu accés a les dades de l'empresa. Això pot passar per diverses raons, com ara guanys econòmics, venjança o simplement perquè volen causar danys.
Estadístiques d'amenaces privilegiades
– El 2019, els usuaris maliciosos van ser responsables del 43% de les infraccions de dades.
– El cost mitjà d'un atac intern és de 8.76 milions de dòlars.
– El temps mitjà per detectar un atac intern és de 190 dies.
3. Com enduriu la vostra infraestructura?
L'enduriment de la seguretat és el procés per fer que la vostra infraestructura sigui més resistent als atacs. Això pot implicar coses com la implementació de controls de seguretat, el desplegament de tallafocs i l'ús del xifratge.
Com implementeu els controls de seguretat?
Hi ha una sèrie de controls de seguretat diferents que podeu implementar per endurir la vostra infraestructura. Aquests inclouen coses com ara tallafocs, llistes de control d'accés (ACL), sistemes de detecció d'intrusions (IDS) i xifratge.
Com crear una llista de control d'accés:
- Definir els recursos que cal protegir.
- Identifiqueu els usuaris i grups que haurien de tenir accés a aquests recursos.
- Creeu una llista de permisos per a cada usuari i grup.
- Implementeu les ACL als vostres dispositius de xarxa.
Què són els sistemes de detecció d'intrusions?
Els sistemes de detecció d'intrusions (IDS) estan dissenyats per detectar i respondre a l'activitat maliciosa a la vostra xarxa. Es poden utilitzar per identificar coses com intents d'atac, violacions de dades i fins i tot amenaces internes.
Com implementeu un sistema de detecció d'intrusions?
- Trieu l'IDS adequat per a les vostres necessitats.
- Desplegueu l'IDS a la vostra xarxa.
- Configureu l'IDS per detectar activitats malicioses.
- Respondre a les alertes generades per l'IDS.
Què és un tallafoc?
Un tallafoc és un dispositiu de seguretat de xarxa que filtra el trànsit en funció d'un conjunt de regles. Els tallafocs són un tipus de control de seguretat que es pot utilitzar per endurir la vostra infraestructura. Es poden implementar de diverses maneres diferents, incloses les instal·lacions locals, al núvol i com a servei. Els tallafocs es poden utilitzar per bloquejar el trànsit entrant, el trànsit sortint o tots dos.
Què és un tallafocs local?
Un tallafoc local és un tipus de tallafoc que es desplega a la vostra xarxa local. Els tallafocs locals s'utilitzen normalment per protegir les petites i mitjanes empreses.
Què és un tallafoc al núvol?
Un tallafocs al núvol és un tipus de tallafocs que es desplega al núvol. Els tallafocs al núvol s'utilitzen normalment per protegir les grans empreses.
Quins són els avantatges dels tallafocs al núvol?
Els tallafocs al núvol ofereixen una sèrie d'avantatges, com ara:
– Millora de la seguretat
– Augment de la visibilitat de l'activitat de la xarxa
- Reduïda complexitat
– Menors costos per a organitzacions més grans
Què és un tallafoc com a servei?
Un tallafoc com a servei (FaaS) és un tipus de tallafocs basat en núvol. Els proveïdors de FaaS ofereixen tallafocs que es poden desplegar al núvol. Aquest tipus de servei el fan servir normalment les petites i mitjanes empreses. No hauríeu d'utilitzar un tallafoc com a servei si teniu una xarxa gran o complexa.
Beneficis d'un FaaS
FaaS ofereix una sèrie d'avantatges, com ara:
- Reduïda complexitat
– Augment de la flexibilitat
– Model de preus de pagament
Com implementeu un tallafoc com a servei?
- Trieu un proveïdor de FaaS.
- Desplegueu el tallafoc al núvol.
- Configureu el tallafoc per satisfer les vostres necessitats.
Hi ha alternatives als tallafocs tradicionals?
Sí, hi ha una sèrie d'alternatives als tallafocs tradicionals. Aquests inclouen tallafocs de nova generació (NGFW), tallafocs d'aplicacions web (WAF) i passarel·les API.
Què és un tallafocs de nova generació?
Un tallafocs de nova generació (NGFW) és un tipus de tallafocs que ofereix un rendiment i funcions millorats en comparació amb els tallafocs tradicionals. Els NGFW solen oferir coses com ara el filtratge a nivell d'aplicació, la prevenció d'intrusions i el filtratge de contingut.
Filtrat a nivell d'aplicació permet controlar el trànsit en funció de l'aplicació que s'està utilitzant. Per exemple, podeu permetre el trànsit HTTP però bloquejar la resta de trànsit.
Prevenció d'intrusions permet detectar i prevenir atacs abans que es produeixin.
Filtratge de contingut us permet controlar a quin tipus de contingut es pot accedir a la vostra xarxa. Podeu utilitzar el filtratge de contingut per bloquejar coses com ara llocs web maliciosos, llocs pornogràfics i d'apostes.
Què és un tallafoc d'aplicacions web?
Un tallafoc d'aplicacions web (WAF) és un tipus de tallafoc dissenyat per protegir les aplicacions web dels atacs. Els WAF solen oferir funcions com la detecció d'intrusions, el filtratge a nivell d'aplicació i el filtrat de contingut.
Què és una passarel·la API?
Una passarel·la API és un tipus de tallafoc dissenyat per protegir les API dels atacs. Les passarel·les d'API solen oferir funcions com l'autenticació, l'autorització i la limitació de velocitat.
Authentication és una característica de seguretat important perquè garanteix que només els usuaris autoritzats puguin accedir a l'API.
Autorització és una característica de seguretat important perquè assegura que només els usuaris autoritzats poden realitzar determinades accions.
Limitació de tarifes és una característica de seguretat important perquè ajuda a prevenir atacs de denegació de servei.
Com utilitzeu el xifratge?
El xifratge és un tipus de mesura de seguretat que es pot utilitzar per endurir la vostra infraestructura. Es tracta de transformar les dades en un formulari que només pot ser llegit pels usuaris autoritzats.
Els mètodes de xifratge inclouen:
– Xifratge de clau simètrica
– Xifratge de clau asimètrica
– Xifratge de clau pública
Xifratge de clau simètrica és un tipus de xifratge on s'utilitza la mateixa clau per xifrar i desxifrar dades.
Xifratge de clau asimètrica és un tipus de xifratge on s'utilitzen diferents claus per xifrar i desxifrar dades.
Xifratge de clau pública és un tipus de xifratge on la clau es posa a disposició de tothom.
4. Com utilitzar una infraestructura endurida des d'un mercat al núvol
Una de les millors maneres d'endurir la vostra infraestructura és comprar una infraestructura endurida a un proveïdor com AWS. Aquest tipus d'infraestructura està dissenyada per ser més resistent als atacs i us pot ajudar a complir els vostres requisits de seguretat. Tanmateix, no totes les instàncies a AWS es creen iguals. AWS també ofereix imatges no endurides que no són tan resistents als atacs com les imatges endurides. Una de les millors maneres de saber si una AMI és més resistent als atacs és assegurar-se que la versió està actualitzada per assegurar-se que té les característiques de seguretat més recents.
Comprar una infraestructura endurida és molt més senzill que passar pel procés d'enduriment de la vostra pròpia infraestructura. També pot ser més rendible, ja que no haureu d'invertir en les eines i els recursos necessaris per endurir la vostra infraestructura.
Quan compreu una infraestructura endurida, hauríeu de buscar un proveïdor que ofereixi una àmplia gamma de controls de seguretat. Això us donarà les millors possibilitats d'endurir la vostra infraestructura contra tot tipus d'atacs.
Més avantatges de comprar una infraestructura endurida:
– Augment de la seguretat
– Millora del compliment
– Cost reduït
- Major simplicitat
L'augment de la simplicitat a la vostra infraestructura de núvol està molt subestimat! El més convenient de la infraestructura endurida d'un venedor de bona reputació és que s'actualitzarà constantment per complir amb els estàndards de seguretat actuals.
La infraestructura del núvol que està obsoleta és més vulnerable als atacs. Per això és important mantenir la vostra infraestructura actualitzada.
El programari obsolet és una de les majors amenaces de seguretat a les quals s'enfronten les organitzacions actuals. En comprar una infraestructura endurida, podeu evitar aquest problema per complet.
Quan enduriu la vostra pròpia infraestructura, és important tenir en compte totes les possibles amenaces de seguretat. Aquesta pot ser una tasca descoratjadora, però és necessari assegurar-vos que els vostres esforços d'enduriment siguin efectius.
5. Compliment de seguretat
Endurir la vostra infraestructura també us pot ajudar amb el compliment de la seguretat. Això es deu al fet que molts estàndards de compliment requereixen que prengueu mesures per protegir les vostres dades i sistemes dels atacs.
Si coneixeu les principals amenaces de seguretat del núvol, podeu prendre mesures per protegir-ne la vostra organització. Si enduriu la vostra infraestructura i utilitzeu funcions de seguretat, podeu fer que sigui molt més difícil que els atacants comprometin els vostres sistemes.
Podeu reforçar la vostra postura de compliment utilitzant els punts de referència de CIS per guiar els vostres procediments de seguretat i endurir la vostra infraestructura. També podeu utilitzar l'automatització per ajudar-vos a endurir els vostres sistemes i mantenir-los compatibles.
Quins tipus de normes de seguretat de compliment hauríeu de tenir en compte el 2022?
– GDPR
- PCI DSS
- HIPAA
– SOX
– CONFIANÇA
Com complir amb GDPR
El Reglament General de Protecció de Dades (GDPR) és un conjunt de regulacions que regulen com s'han de recopilar, utilitzar i protegir les dades personals. Les organitzacions que recullen, utilitzen o emmagatzemen dades personals dels ciutadans de la UE han de complir el RGPD.
Per complir el RGPD, hauríeu de prendre mesures per endurir la vostra infraestructura i protegir les dades personals dels ciutadans de la UE. Això inclou coses com xifrar dades, desplegar tallafocs i utilitzar llistes de control d'accés.
Estadístiques sobre el compliment del GDPR:
Aquí teniu algunes estadístiques sobre GDPR:
– El 92% de les organitzacions han fet canvis en la seva manera de recopilar i utilitzar les dades personals des que es va introduir el GDPR
– El 61% de les organitzacions diuen que complir amb el GDPR ha estat difícil
– El 58% de les organitzacions han experimentat una violació de dades des que es va introduir el GDPR
Malgrat els reptes, és important que les organitzacions prenguin mesures per complir amb el GDPR. Això inclou endurir la seva infraestructura i protegir les dades personals dels ciutadans de la UE.
Per complir el RGPD, hauríeu de prendre mesures per endurir la vostra infraestructura i protegir les dades personals dels ciutadans de la UE. Això inclou coses com xifrar dades, desplegar tallafocs i utilitzar llistes de control d'accés.
Com mantenir-se conforme a PCI DSS
L'estàndard de seguretat de dades de la indústria de targetes de pagament (PCI DSS) és un conjunt de directrius que regeixen com s'ha de recopilar, utilitzar i protegir la informació de la targeta de crèdit. Les organitzacions que processen pagaments amb targeta de crèdit han de complir amb el PCI DSS.
Per mantenir-se compatible amb PCI DSS, hauríeu de prendre mesures per endurir la vostra infraestructura i protegir la informació de la targeta de crèdit. Això inclou coses com xifrar dades, desplegar tallafocs i utilitzar llistes de control d'accés.
Estadístiques sobre PCI DSS
Estadístiques a PCI DSS:
– El 83% de les organitzacions han fet canvis en la manera de processar els pagaments amb targeta de crèdit des que es va introduir el PCI DSS
– El 61% de les organitzacions diuen que complir amb el PCI DSS ha estat difícil
– El 58% de les organitzacions han experimentat una violació de dades des que es va introduir el PCI DSS
És important que les organitzacions prenguin mesures per complir amb el PCI DSS. Això inclou endurir la seva infraestructura i protegir la informació de la targeta de crèdit.
Com complir amb HIPAA
La Llei de responsabilitat i portabilitat de l'assegurança de salut (HIPAA) és un conjunt de regulacions que regulen com s'ha de recopilar, utilitzar i protegir la informació personal de salut. Les organitzacions que recullen, utilitzen o emmagatzemen la informació personal de salut dels pacients han de complir amb HIPAA.
Per seguir complint amb HIPAA, hauríeu de prendre mesures per endurir la vostra infraestructura i protegir la informació personal de salut dels pacients. Això inclou coses com xifrar dades, desplegar tallafocs i utilitzar llistes de control d'accés.
Estadístiques sobre HIPAA
Estadístiques sobre HIPAA:
- El 91% de les organitzacions han fet canvis en la seva manera de recopilar i utilitzar la informació personal de salut des que es va introduir HIPAA
– El 63% de les organitzacions diuen que complir amb HIPAA ha estat difícil
– El 60% de les organitzacions han experimentat una violació de dades des que es va introduir HIPAA
És important que les organitzacions prenguin mesures per complir amb HIPAA. Això inclou endurir la seva infraestructura i protegir la informació personal de salut dels pacients.
Com mantenir-se en compliment de SOX
La Llei Sarbanes-Oxley (SOX) és un conjunt de regulacions que regulen com s'ha de recopilar, utilitzar i protegir la informació financera. Les organitzacions que recullen, utilitzen o emmagatzemen informació financera han de complir amb SOX.
Per complir amb SOX, hauríeu de prendre mesures per endurir la vostra infraestructura i protegir la informació financera. Això inclou coses com xifrar dades, desplegar tallafocs i utilitzar llistes de control d'accés.
Estadístiques sobre SOX
Estadístiques a SOX:
– El 94% de les organitzacions han fet canvis en la seva manera de recopilar i utilitzar la informació financera des que es va introduir SOX
– El 65% de les organitzacions diuen que complir amb SOX ha estat difícil
– El 61% de les organitzacions han experimentat una violació de dades des que es va introduir SOX
És important que les organitzacions prenguin mesures per complir amb SOX. Això inclou endurir la seva infraestructura i protegir la informació financera.
Com aconseguir la certificació HITRUST
Aconseguir la certificació HITRUST és un procés de diversos passos que implica completar una autoavaluació, sotmetre's a una avaluació independent i després ser certificat per HITRUST.
L'autoavaluació és el primer pas del procés i s'utilitza per determinar la preparació d'una organització per a la certificació. Aquesta avaluació inclou una revisió del programa de seguretat i la documentació de l'organització, així com entrevistes in situ amb el personal clau.
Un cop finalitzada l'autoavaluació, un avaluador independent realitzarà una avaluació més detallada del programa de seguretat de l'organització. Aquesta avaluació inclourà una revisió dels controls de seguretat de l'organització, així com proves in situ per verificar l'eficàcia d'aquests controls.
Un cop l'avaluador independent hagi verificat que el programa de seguretat de l'organització compleix tots els requisits del CSF HITRUST, l'organització serà certificada per HITRUST. Les organitzacions que estiguin certificades a HITRUST CSF poden utilitzar el segell HITRUST per demostrar el seu compromís amb la protecció de dades sensibles.
Estadístiques sobre HITRUST:
- A juny de 2019, hi ha més de 2,700 organitzacions certificades a HITRUST CSF.
- El sector sanitari té les organitzacions més certificades, amb més de 1,000.
- El sector financer i d'assegurances és el segon, amb més de 500 organitzacions certificades.
- El sector minorista és el tercer, amb més de 400 organitzacions certificades.
La formació en consciència de seguretat ajuda amb el compliment de seguretat?
Sí, consciència de seguretat la formació pot ajudar amb el compliment. Això es deu al fet que molts estàndards de compliment requereixen que prenguis mesures per protegir les teves dades i sistemes dels atacs. En ser conscient dels perills de atacs cibernètics, podeu prendre mesures per protegir la vostra organització d'ells.
Quines són algunes maneres d'implementar la formació de conscienciació sobre seguretat a la meva organització?
Hi ha moltes maneres d'implementar la formació en consciència de seguretat a la vostra organització. Una manera és utilitzar un proveïdor de serveis de tercers que ofereixi formació en consciència de seguretat. Una altra manera és desenvolupar el vostre propi programa de formació en consciència de seguretat.
Pot ser obvi, però entrenar els vostres desenvolupadors sobre les millors pràctiques de seguretat d'aplicacions és un dels millors llocs per començar. Assegureu-vos que sàpiguen codificar, dissenyar i provar aplicacions correctament. Això ajudarà a reduir el nombre de vulnerabilitats a les vostres aplicacions. La formació d'Appsec també millorarà la velocitat de finalització dels projectes.
També hauríeu de proporcionar formació en coses com l'enginyeria social i Phishing atacs. Aquestes són maneres habituals en què els atacants accedeixen a sistemes i dades. En ser conscients d'aquests atacs, els vostres empleats poden prendre mesures per protegir-se i protegir la vostra organització.
La implementació de formació sobre conscienciació sobre seguretat pot ajudar a complir, perquè us ajuda a educar els vostres empleats sobre com protegir les vostres dades i sistemes d'atacs.
Desplegueu un servidor de simulació de pesca al núvol
Una manera de provar l'eficàcia de la vostra formació de conscienciació de seguretat és desplegar un servidor de simulació de pesca al núvol. Això us permetrà enviar correus electrònics simulats de pesca als vostres empleats i veure com responen.
Si trobeu que els vostres empleats cauen en atacs de pesca simulats, aleshores sabeu que heu de proporcionar més formació. Això us ajudarà a endurir la vostra organització contra atacs de pesca real.
Assegureu tots els mètodes de comunicació al núvol
Una altra manera de millorar la vostra seguretat al núvol és protegir tots els mètodes de comunicació. Això inclou coses com el correu electrònic, la missatgeria instantània i l'ús compartit de fitxers.
Hi ha moltes maneres de protegir aquestes comunicacions, com ara xifrar dades, utilitzar signatures digitals i desplegar tallafocs. Si seguiu aquests passos, podeu ajudar a protegir les vostres dades i sistemes d'atacs.
Qualsevol instància del núvol que impliqui comunicació s'hauria d'endurir per al seu ús.
Beneficis d'utilitzar un tercer per fer formació sobre conscienciació sobre seguretat:
– Pots subcontractar el desenvolupament i la realització del programa de formació.
– El proveïdor comptarà amb un equip d'experts que poden desenvolupar i oferir el millor programa de formació possible per a la vostra organització.
– El proveïdor estarà al dia dels últims requisits de compliment.
Inconvenients d'utilitzar un tercer per fer formació sobre conscienciació sobre seguretat:
– El cost d'utilitzar un tercer pot ser elevat.
– Haureu de formar els vostres empleats sobre com utilitzar el programa de formació.
– És possible que el proveïdor no pugui personalitzar el programa de formació per satisfer les necessitats específiques de la vostra organització.
Beneficis de desenvolupar el vostre propi programa de formació en consciència de seguretat:
– Podeu personalitzar el programa de formació per satisfer les necessitats específiques de la vostra organització.
– El cost de desenvolupar i oferir el programa de formació serà inferior al d'utilitzar un proveïdor extern.
– Tindreu més control sobre el contingut del programa de formació.
Inconvenients de desenvolupar el vostre propi programa de formació en consciència de seguretat:
– Es necessitarà temps i recursos per desenvolupar i oferir el programa de formació.
– Caldrà comptar amb personal expert que pugui desenvolupar i impartir el programa de formació.
– És possible que el programa no estigui actualitzat amb els últims requisits de compliment.
