- Llamarada de nube: El 1 de febrero, Cloudflare Anunciado había detectado un actor de amenazas en su servidor Atlassian autohospedado el 23 de noviembre. Aunque el principal punto de compromiso en este incidente provino de las credenciales de la cuenta que Cloudflare no pudo rotar después de una compromiso de Okta, la compañía dijo que el actor de amenazas intentó obtener acceso a un servidor de consola que no es de producción en su centro de datos de São Paulo, Brasil, debido a una lista de control de acceso no aplicada. Al actor de amenazas se le negó el acceso y no pudo acceder a la red global de Cloudflare.
- Primer financiero americano: El 29 de diciembre de 2023, First American Financial reportado a la Comisión de Bolsa y Valores de EE. UU. (SEC) que había identificado actividad no autorizada en ciertos sistemas de tecnología de la información. Si bien proporcionó pocos detalles sobre este incidente, First American dijo que «cree que el autor de la actividad accedió a ciertos sistemas de la empresa, extrajo datos y cifró datos en ciertos sistemas que no son de producción».
- Ultimo pase: El 21 de marzo de 2023, LastPass Anunciado los resultados de su investigación sobre dos incidentes importantes de ciberseguridad, informaron que un actor de amenazas desconocido «aprovechó una vulnerabilidad en software de terceros, eludió los controles existentes y, finalmente, accedió a entornos de almacenamiento de respaldo y desarrollo que no eran de producción».
Los datos del mundo real se pueden encontrar en sistemas que no son de producción.
Uno de los principales riesgos de los sistemas de producción inseguros es que los actores de amenazas puedan obtener acceso a datos confidenciales, como cifrado y claves de acceso, contraseñas, conocimiento de los controles de seguridad o propiedad intelectual, que podrían resultar una mina de oro para una mayor explotación.
“Pienso en el CISO y BISO [business information security officer] «Por otro lado, hay algunas verdades fundamentales que podemos reconocer sobre estos entornos y que tal vez no todos estén dispuestos a admitir, y es que a menudo los entornos de desarrollo incluyen una tonelada de propiedad intelectual materialmente significativa», dijo Andrew Krug, jefe de defensa de la seguridad en Datadog Security Labs, le dice a CSO. “Se podrían tener las mejores prácticas de desarrollo e higiene del mundo. Algunos de sus datos reales llegarán allí en algún momento”.
El ahorro de costes y la complejidad suelen aparecer
Sin embargo, muchas empresas no necesariamente tienen las mejores prácticas de seguridad con respecto a los entornos de prueba y otros sistemas que no son de producción, a menudo debido a medidas de ahorro de costos. Con la llegada de la computación en la nube, “muchas empresas dividieron su infraestructura al menos en producción de prueba de desarrollo, y luego tendrían una cuenta de seguridad”, dice Krug. “Desafortunadamente, la mayoría de los modelos de costos de nube a los que se suscribieron para sus plataformas de seguridad o gestión de proveedores no escalaron realmente con esa segmentación. Entonces, simplemente optaron por no recibir diferentes recursos y diferentes cosas del monitoreo” para ahorrar dinero.
“Y no me refiero sólo al monitoreo de seguridad; Me refiero a todo tipo de seguimiento”, afirma Krug. “Esto es más una cuestión de cultura empresarial que una cuestión legal o regulatoria: ¿Qué valor tiene esa empresa en cuanto a las mejores prácticas de seguridad?”
La escasez de personal hace que asegurar los sistemas no productivos sea un desafío
Incluso empresas como Microsoft y Cloudflare, que probablemente no escatimarán en gastos de seguridad, experimentan desafíos al extender medidas de seguridad sólidas a sus sistemas que no son de producción. «Los entornos de nube se están volviendo cada vez más complejos, y cada vez resulta más difícil tener la gobernanza adecuada para observar en todos» los componentes, afirma Krug. «Probablemente podríamos decir que a medida que incorporamos más servicios y más complejidad, se vuelve cada vez más difícil saber incluso cuáles son las cosas correctas que observar».
La falta de talento disponible en ciberseguridad sólo dificulta el análisis de la complejidad. “Podríamos hablar de la escasez de habilidades cibernéticas y de que incluso si empresas del tamaño de Microsoft, CloudFlare y First American quisieran contratar el talento adecuado, es posible que no estén disponibles”, según Krug.