Seguridad en la nube y fatiga por alertas
6 de Enero de 2023Escribe Fabio Gallego, Ingeniero experto en Nube Pública de Fortinet para América Latina y el Caribe
Cuando escuchas la frase "seguridad en la nube", ¿qué es lo primero que te viene a la mente? Para un profesional que trabaja en la protección de cargas de trabajo en la nube, esta cuestión ya conlleva decenas de elementos como CSPM, CWPP, EDR, firewalls, IPS, seguridad de contenedores, estándar de seguridad del proveedor de la nube, control de usuarios, mínimo privilegio, auditoría, claves de acceso, DLP, ICES, etc.
El uso de estas herramientas tiene como principal objetivo cuidar y proteger nuestros datos y servicios en diferentes capas -lo cual es necesario, porque sabemos que la seguridad integral necesita diferentes miradas, enfoques y, por tanto, capas de protección-, pero la gestión del material generado por todas estas herramientas es uno de los puntos de mayor preocupación para los equipos de TI y seguridad.
Estas herramientas pueden generar, por ejemplo, una media de 700 alertas al día. Esto es lo que llamamos fatiga de alerta.
Las alertas son fundamentales, pero deben tener sentido y ser pertinentes, es decir, necesitan contexto para guiar a los equipos de seguridad en el proceso de toma de decisiones.
Imagina que eres responsable de la seguridad en la nube de tu empresa y que utilizas herramientas que te informan de las vulnerabilidades. Hoy ha aparecido la misma vulnerabilidad crítica en 100 de tus instancias. Las 100 tienen la misma vulnerabilidad, ¿cuál corregirías primero? Difícil decisión, ¿verdad?
Pero ¿y si sabes que, de esas 100 instancias, 50 están expuestas a Internet? De esos 50 expuestos, diez están conectados a datos sensibles (como un cubo con datos personales de clientes) y de esos diez, dos tuvieron contacto con una red de bots. Ahora es más fácil, ¿no? En otras palabras, si tenemos una vulnerabilidad crítica explotada como la del ejemplo, sabremos cuáles son las dos que representan más riesgo o causarán más daño.
Hoy es posible reducir esta complejidad derivada de la fatiga de alertas. Por ello, es clave utilizar una solución de seguridad que recoja estas alertas, que genere automáticamente puntuaciones de riesgo mediante aprendizaje automático y que esté integrada con las herramientas nativas de los proveedores de la nube. Recibir un informe con el contexto de qué recurso y qué corre mayor riesgo, marcará la diferencia en la gestión eficaz de la seguridad de su nube.
(*) Fábio Gallego: Consultor de Ingeniería de Sistemas de Nube Pública de Fortinet para América Latina