TecTop
En los últimos años, las ofertas de seguridad de Microsoft han pasado de la seguridad de los productos y servicios de Microsoft a la seguridad de Microsoft para la gama completa de productos y servicios que una empresa necesita proteger. Eso significa versiones de Defender que monitorean iOS, Android, macOS, Linux, dispositivos y contenedores de Internet de las cosas en lugar de solo Windows, así como su Sentinel SIEM, MDM para una amplia gama de dispositivos con Microsoft Endpoint Manager y un flujo continuo de adquisiciones. que traen herramientas puntuales como ReFirm y CloudKnox, que eventualmente se convierten en opciones integradas en las herramientas de seguridad de Microsoft.
VER: Office 365: una guía para líderes tecnológicos y empresariales (PDF gratuito) (TechRepublic)
El año pasado, Microsoft Defender for Cloud agregó funciones para administrar y monitorear configuración de seguridad en AWS así como en Azure; ahora también cubre GCP, con un tablero que muestra su configuración de seguridad y si está siguiendo las mejores prácticas en las tres nubes (o individualmente, si lo prefiere).
El nuevo panel de administración de permisos de CloudKnox le muestra qué permisos se otorgaron a todas las identidades que usa en Azure, AWS y GCP (incluidas las identidades de las máquinas virtuales, las claves de acceso, los contenedores y los scripts, así como los usuarios y los administradores). Puede ver qué identidades tienen acceso a más recursos de los que necesitan usar, recibir alertas sobre comportamientos inusuales y automatizar políticas que asignan la menor cantidad posible de privilegios y derechos de acceso.
La nube híbrida y multinube es una realidad para muchas organizaciones, dijo Eric Doerr, vicepresidente corporativo de seguridad en la nube de Microsoft.
«Hubo un período de tiempo en el que no estaba claro si la multinube iba a ser una estrategia intencional a largo plazo de los clientes o si era más ‘usted está en Azure y compra una empresa que está en AWS y tiene que lidiar con eso por un período de tiempo’. Quedó claro hace unos años que la multinube no es una moda pasajera, sino una estrategia intencional. Lo que comenzamos a escuchar cada vez más fue ‘estas cosas de Azure: lo que está haciendo es excelente, pero me muero por estar al tanto de todas las nubes y no tengo tiempo para que mis equipos de seguridad se vuelvan expertos en las herramientas. para Azure y las herramientas para AWS y las herramientas para GCP.’ Simplemente no funciona”.
Incluso las empresas con el presupuesto para tanto personal tienen problemas para contratar suficientes personas con habilidades de seguridad que cubran múltiples nubes. Defender for Cloud puede ayudarlo brindándole un lugar para establecer y monitorear políticas sobre parches, cifrado y copia de seguridad de datos, administración de puertos de red, registro y monitoreo de credenciales en repositorios de origen, sin necesidad de conocer los matices de las diferentes formas de configurarlos. en diferentes nubes.
“En lo que nos hemos enfocado con esta versión es en quitarnos el molesto trabajo de traducir ‘Quiero cifrado en todo mi almacenamiento [across clouds]’”, explicó Doerr. “No debería tener que preocuparme por la forma diferente de configurar eso en las diferentes nubes. Hacemos ese clic, y luego eso se aplica. Y luego, si hay desviaciones de esa política, recibe una alerta y puede investigar qué está pasando”.
El nuevo servicio CloudKnox va un paso más allá. “Vamos a hacer más que darte consejos. Le brindamos detalles muy específicos: esto es lo que tiene, esto es exactamente cuál es el problema, así es como lo soluciona”.
Doerr se resigna a la pequeña sorpresa de que Microsoft ofrezca soluciones de seguridad para sistemas que no son de Microsoft.
“La percepción siempre va a la zaga de la realidad”, señaló. “Mucho tiempo después de que nos tomamos en serio Linux, Mac, Android e iOS, aún teníamos clientes que decían ‘usted es Microsoft, ¿no solo se preocupa por Windows?’ Nos tomamos en serio la multinube, nos tomamos en serio conocer al cliente donde se encuentre y ayudarlo con su infraestructura de nube. Pero sé que voy a tener un período de tiempo en el que los clientes dirán: ‘no, pero solo te preocupas por Azure, ¿verdad?’ Amo a Azure. Los quiero más, clientes; Tengo su espalda.»
Sepa lo que necesita proteger
La complejidad de administrar varias nubes también exacerba un problema común: muy pocas organizaciones tienen una lista precisa y actualizada de todos los recursos que necesitan proteger, y si bien eso es cierto para toda la infraestructura, es muy fácil activar una nueva nube. recursos que tienden a proliferar. “Resulta que la gente en realidad no siempre sabe lo que tiene. Algunas de las mejores y más estrictas tiendas de seguridad con las que he hablado, todas tienen una historia relativamente reciente en la que esta subsidiaria hizo esto y no nos hablaron, no sabíamos sobre eso y luego todo un de repente, tuvimos este problema”.
Para ayudar con eso, el año pasado Microsoft compró RiskIQ, que ofrece un servicio de inteligencia de seguridad que Doerr llama ‘escaneado externo’; «Escanean toda su superficie de ataque direccionable de Internet».
Escanear todo el Internet direccionable y sacar inferencias de lo que está visible impulsa tres enfoques diferentes, siendo el primero la auditoría. “Ayude a una empresa a mirar de manera amplia y comprender qué parte de su infraestructura, incluso la infraestructura que podrían haber olvidado, está expuesta”. También proporciona inteligencia de amenazas más general en un tablero”. si soy un [security] analista en medio de una investigación o estoy investigando un poco para prepararme para qué tipo de amenazas podrían surgir en el petróleo y el gas y qué tipo de actores están persiguiendo [that sector]”, explica Doerr.
Pero también está entusiasmado con la forma en que el servicio puede ayudar a los clientes a comprender las amenazas de sus socios y la cadena de suministro. “Si soy una empresa con relaciones de proveedor con otras cien empresas, ¿qué tan seguras son? ¿Están haciendo un buen trabajo? ¿Están parcheando? Suena aburrido, pero si no estás parcheando, ¡estás en problemas!”. En el futuro, sugiere, Microsoft podrá correlacionar eso con las otras señales en su gráfico de seguridad.
VER: Kit de contratación: Cloud Engineer (TechRepublic Premium)
Actualmente, un servicio separado que se integrará con otras herramientas de Microsoft (espere una actualización en un par de meses, dijo Doerr), RiskIQ complementa los esfuerzos «de adentro hacia afuera» existentes de Microsoft para ayudar a los equipos de seguridad en su trabajo. “Si el equipo de seguridad no conoce algún activo, no puedes protegerlo. Este ‘afuera adentro’ [approach] es el complemento perfecto; es como mantequilla de maní y mermelada. Necesitas hacer de adentro hacia afuera, necesitas hacer de afuera hacia adentro y eso debe unirse de manera realmente significativa para los equipos de seguridad”.
Por buena que sea la información de sus herramientas de seguridad, no lo hará más seguro a menos que se actúe en consecuencia.
Además de crear herramientas de seguridad, Microsoft también está trabajando con los clientes para ayudarlos a llevar la información de esas herramientas a sus procesos para que puedan usar la información para hacer que sus sistemas sean más seguros, lo que podría significar actualizar una aplicación personalizada en lugar de simplemente establecer una regla de cortafuegos. “No vivimos en un mundo en el que solo puede tener un equipo de seguridad que establezca una política de red y boom, ya está”, señala. “Un número cada vez mayor de estas cosas que les mostramos a los equipos de seguridad son cosas en las que el equipo de seguridad en sí mismo no posee el recurso que necesita cambiar”.
Las organizaciones a menudo quieren conectar esa información a los flujos de trabajo existentes. “Algunos clientes dicen: ‘Oye, tengo un sistema de emisión de boletos que es increíble y quiero que tengas las API correctas y te conectes a eso y todo irá bien’. Algunos clientes viven por correo electrónico y quieren la extensibilidad para que el equipo de seguridad pueda molestar a las personas por correo electrónico”.
Hacer que la transferencia sea correcta hará que la industria suba un nivel porque mejorar la seguridad significa orquestar el flujo de trabajo de principio a fin, desde detectar un problema de seguridad hasta solucionarlo. “Si el equipo de seguridad no sabe que tiene un problema y no conoce la prioridad relativa, entonces eso es un problema. Pero luego, a medida que expone la visibilidad del problema, si no ayuda a equiparlos con las herramientas para solucionarlo, entonces realmente no ha movido la aguja hacia los malos”.
La política de cambio a la izquierda de devsecops desempeñará un papel cada vez más importante aquí, dijo Doerr, y Microsoft está invirtiendo en herramientas para desarrolladores y GitHub para ayudar: “Establecer una política y aplicarla en el código para que, a medida que se implementen las implementaciones, ocurran las cosas correctas con mayor frecuencia. Tiene que cambiar más a la izquierda en el entorno de despliegue para ser racional acerca de su uso del poder de la persona humana. Tenemos mucha gente trabajando en cómo conectamos al equipo de seguridad con el equipo de ingeniería”.
Volver a lo básico
Por otro lado, si bien los atacantes se vuelven más sofisticados, con demasiada frecuencia los ataques más simples aún logran pasar porque las herramientas de seguridad con las que trabajan los defensores están fragmentadas y no es lo suficientemente fácil para trabajar con ellas.
“Hemos visto el goteo de técnicas y competencia. Hace cinco años, había un puñado de estados-nación que eran muy buenos y la mayoría de los actores criminales no eran muy sofisticados. Los estados-nación han seguido mejorando en sus capacidades, pero hemos visto que los grupos criminales definitivamente han cerrado bastante la brecha”, advirtió.
Con el número cada vez mayor de ataques, la priorización es más importante que nunca, y el uso de la automatización para aplicar políticas de seguridad puede hacer que los ingenieros de seguridad sean más productivos al manejar los aspectos básicos y dejar que analicen y comprendan los problemas más inusuales, sugirió Doerr.
“Es cierto que los malos, los estados-nación y los delincuentes están mucho mejor equipados que nunca. Pero los defensores aún los superan en número. Si solo podemos trabajar juntos, si solo podemos hacer que los defensores realmente dediquen tiempo a las cosas que importan en lugar de dedicar mucho tiempo a aprender las primitivas de GCP y descubrir cómo traducir los marcos de control en algo significativo para el equipo de seguridad».
“¿Cómo elevamos el nivel mínimo de competencia que debe tener un atacante para ser un problema para la empresa promedio que existe? Mucho de eso tiene que ver con la simplicidad y la automatización y no requiere que contrate a siete personas de seguridad de primer nivel para diseñar un programa de seguridad desde cero. Lo que estamos haciendo es un paso en esa dirección con una solución multinube: elija su política, elija cómo desea ejecutar su equipo de seguridad y vamos a automatizar muchas de esas cosas”.
El DART (Equipo de detección y respuesta) de Microsoft ayuda a los clientes con incidentes de seguridad (y Doerr ejecuta el propio Centro de operaciones de seguridad de Microsoft), por lo que ve problemas similares en demasiadas organizaciones con las que la automatización podría ayudar, ya sea con los nuevos servicios multinube o siguiendo la seguridad básica recomendaciones para Office 365.
“Es impactante la frecuencia con la que [the problem is] ‘Espera, ¿no tenías MFA activado? ¿Tenía puertos de administración expuestos? ¿Por qué expuso los puertos de gestión? Y cuando lo analizas, es porque las herramientas no lo facilitaban. Estás jugando este interminable juego de Whack a Mole. ¿Cómo hacemos para que, en lugar de que los equipos de seguridad jueguen Whack A Mole, tenga equipos de seguridad que impulsen políticas automatizadas? Todavía habrá excepciones y cosas raras que sucedan, pero luego te enfocas en esas cosas raras y no corres jugando Whack a Mole con puertos abiertos «.
