Nube: cuando no hay perímetros para defender

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

La adopción de la nube es una iniciativa estratégica para casi todas las empresas en la actualidad, pero todavía hay una cantidad de incertidumbre y dudas sobre la seguridad en la nube, la mayoría de ellas sin fundamento.

A lo largo de mi carrera profesional aprendí que, los errores de codificación y las vulnerabilidades de las aplicaciones son la raíz de la mayoría de los problemas de seguridad, independientemente del lugar donde se encuentren los datos.

Cuando se trata de la nube, es necesario mirar más allá de las distracciones y centrarse principalmente en asegurar las aplicaciones.

La principal diferencia entre la seguridad en las instalaciones y en la nube es que ya no hay un perímetro de seguridad bien definido que pueda ser protegido por dispositivos de hardware.

El papel que la (pobre) seguridad de las aplicaciones ha desempeñado en la exposición de vulnerabilidades es algo más que un presentimiento.

Si analizamos los parámetros del proyecto Open Web Application Security, podemos comprobar los patrones históricos de las vulnerabilidades de seguridad que demuestran que las aplicaciones han sido una amenaza persistente durante años.

La lista OWASP 10 de vulnerabilidades de aplicaciones web no ha cambiado sustancialmente en la última década ya pesar de los avances en los appliances de firewall, las infracciones están ocurriendo a un ritmo cada vez más alarmante.

Los dispositivos de seguridad, por naturaleza, no pueden ser tan elásticos como las soluciones de software, debido a su enfoque basado en el perímetro.

Los firewalls de aplicaciones web (WAF por sus siglas en inglés) han intentado mejorar las defensas de seguridad a través de la inspección y las políticas de la capa 7, pero una vez más, son enfoques estáticos, no dinámicos y, esto nos lleva al problema de los falsos positivos, que tanto dolor de cabeza están dando al mercado de seguridad en el último tiempo.

 

Luis V. Sintes Martinez Analista de Seguridad – Vintegris