¿Cuáles son los problemas en la seguridad de la nube?

Aunque los servicios en la nube han dado paso a una nueva era de transmisión y almacenamiento de datos, muchas empresas aún dudan o se mudan sin un plan claro de seguridad.

1. Violaciones de datos

La computación en la nube y los servicios son relativamente nuevos, sin embargo, las violaciones de datos en todas las formas han existido durante años. La pregunta sigue siendo: “Con los datos confidenciales almacenados en línea en lugar de en las instalaciones, ¿es la nube inherentemente menos segura?”

Un estudio realizado por el Instituto Ponemon titulado “Man In Cloud Attack” informa que más del 50 por ciento de los profesionales de TI y seguridad encuestados creían que las medidas de seguridad de su organización para proteger los datos en los servicios en la nube son bajas. Este estudio utilizó nueve escenarios, donde se había producido una violación de datos, para determinar si esa creencia se fundaba en realidad.

Después de evaluar cada escenario, el informe concluyó que la violación general de datos era tres veces más probable que ocurriera para las empresas que utilizan la nube que aquellas que no lo hacen. La conclusión simple es que la nube viene con un conjunto único de características que la hacen más vulnerable.

2. Secuestro de cuentas

El crecimiento y la implementación de la nube en muchas organizaciones ha abierto un nuevo conjunto de problemas en el secuestro de cuentas.

Los atacantes ahora tienen la capacidad de usar su información de inicio de sesión (o la de sus empleados) para acceder de forma remota a datos confidenciales almacenados en la nube; Además, los atacantes pueden falsificar y manipular información a través de credenciales secuestradas.

Otros métodos de secuestro incluyen errores de scripting y contraseñas reutilizadas, que permiten a los atacantes robar credenciales de manera fácil y frecuente sin detección. En abril de 2010, Amazon se enfrentó a un error de secuencias de comandos entre sitios que también apuntaba a las credenciales de los clientes. El phishing, el registro de teclas y el desbordamiento del búfer presentan amenazas similares. Sin embargo, la nueva amenaza más notable, conocida como Man In Cloud Attack, implica el robo de tokens de usuario que las plataformas de la nube usan para verificar dispositivos individuales sin requerir inicios de sesión durante cada actualización y sincronización.

3. Amenaza interna

Un ataque desde dentro de su organización puede parecer poco probable, pero la amenaza interna existe. Los empleados pueden usar su acceso autorizado a los servicios basados ​​en la nube de una organización para hacer un mal uso o acceder a información como cuentas de clientes, formularios financieros y otra información confidencial.

Además, estos expertos no necesitan tener intenciones maliciosas.

Un estudio de Imperva, “Inside Track on Insider Threats” descubrió que una amenaza interna era el mal uso de la información a través de intenciones maliciosas, accidentes o malware. El estudio también examinó cuatro mejores prácticas que las empresas podrían seguir para implementar una estrategia segura, como asociaciones comerciales, priorizar iniciativas, controlar el acceso e implementar tecnología.

4. Inyección de malware

Las inyecciones de malware son scripts o códigos integrados en servicios en la nube que actúan como “instancias válidas” y se ejecutan como SaaS en los servidores en la nube. Esto significa que el código malicioso puede inyectarse en los servicios en la nube y verse como parte del software o servicio que se ejecuta dentro de los propios servidores en la nube.

Una vez que se ejecuta una inyección y la nube comienza a operar en conjunto con ella, los atacantes pueden espiar, comprometer la integridad de la información confidencial y robar datos. Amenazas de seguridad en las vulnerabilidades de computación en la nube, un informe de la Universidad de East Carolina, revisa las amenazas de inyecciones de malware en la computación en la nube y afirma que “el ataque de inyección de malware se ha convertido en una preocupación importante de seguridad en los sistemas de computación en la nube”.

5. Abuso de servicios en la nube

La expansión de los servicios basados ​​en la nube ha hecho posible que tanto las organizaciones pequeñas como las de nivel empresarial alojen grandes cantidades de datos fácilmente. Sin embargo, la capacidad de almacenamiento sin precedentes de la nube también ha permitido que los piratas informáticos y los usuarios autorizados alojen y distribuyan fácilmente malware, software ilegal y otras propiedades digitales.

En algunos casos, esta práctica afecta tanto al proveedor de servicios en la nube como a su cliente. Por ejemplo, los usuarios privilegiados pueden aumentar directa o indirectamente los riesgos de seguridad y, como resultado, infringir los términos de uso proporcionados por el proveedor del servicio.

Estos riesgos incluyen compartir software pirateado, videos, música o libros, y pueden tener consecuencias legales en forma de multas y acuerdos con la Ley de Derechos de Autor de los EE. UU. Por un monto de hasta $ 250,000. Dependiendo del daño, estas multas pueden ser aún más costosas. Puede reducir su exposición al riesgo al monitorear el uso y establecer pautas para lo que sus empleados alojan en la nube. Los proveedores de servicios y las entidades legales, como CSA, han definido qué es el comportamiento abusivo o inapropiado junto con los métodos para detectar dichos comportamientos.

6. API inseguras

Las interfaces de programación de aplicaciones (API) brindan a los usuarios la oportunidad de personalizar su experiencia en la nube.

Sin embargo, las API pueden ser una amenaza para la seguridad de la nube debido a su propia naturaleza. No solo brindan a las empresas la capacidad de personalizar las características de sus servicios en la nube para satisfacer las necesidades comerciales, sino que también autentican, brindan acceso y efectúan el cifrado.

A medida que la infraestructura de las API crece para proporcionar un mejor servicio, también lo hacen sus riesgos de seguridad. Las API brindan a los programadores las herramientas para construir sus programas para integrar sus aplicaciones con otro software de trabajo crítico. Un ejemplo popular y simple de una API es YouTube, donde los desarrolladores tienen la capacidad de integrar videos de YouTube en sus sitios o aplicaciones.

La vulnerabilidad de una API radica en la comunicación que tiene lugar entre las aplicaciones. Si bien esto puede ayudar a los programadores y las empresas, también dejan riesgos de seguridad explotables.

7. Ataques de denegación de servicio

A diferencia de otro tipo de ataques cibernéticos, que generalmente se lanzan para establecer un punto de apoyo a largo plazo y secuestrar información confidencial, los ataques de denegación de servicio no intentan violar su perímetro de seguridad. Más bien, intentan hacer que su sitio web y servidores no estén disponibles para usuarios legítimos. Sin embargo, en algunos casos, DoS también se usa como una cortina de humo para otras actividades maliciosas y para eliminar dispositivos de seguridad como los firewalls de aplicaciones web.

8. Diligencia debida insuficiente

La mayoría de los problemas que hemos visto aquí son de naturaleza técnica, sin embargo, esta brecha de seguridad en particular ocurre cuando una organización no tiene un plan claro para sus objetivos, recursos y políticas para la nube. En otras palabras, es el factor de la gente.

Además, la debida diligencia insuficiente puede representar un riesgo de seguridad cuando una organización migra a la nube rápidamente sin anticipar adecuadamente que los servicios no cumplirán con las expectativas del cliente.

Esto es especialmente importante para las empresas cuyos datos caen bajo las leyes regulatorias como PII, PCI, PHI y FERPA o aquellas que manejan datos financieros para los clientes.

9. Vulnerabilidades compartidas

La seguridad en la nube es una responsabilidad compartida entre el proveedor y el cliente.

Esta asociación entre el cliente y el proveedor requiere que el cliente tome medidas preventivas para proteger sus datos. Si bien los principales proveedores como Box, Dropbox, Microsoft y Google tienen procedimientos estandarizados para asegurar su lado, el control de grano fino depende de usted, el cliente.

Como Skyfence señala en su artículo “Office 365 Seguridad y responsabilidad compartida”, esto deja firmemente en sus manos los protocolos de seguridad clave, como la protección de las contraseñas de los usuarios, las restricciones de acceso a archivos y dispositivos y la autenticación multifactor.

La conclusión es que los clientes y proveedores tienen responsabilidades compartidas, y omitir las suyas puede poner en peligro sus datos.

10. Pérdida de datos

Los datos en los servicios en la nube pueden perderse a través de un ataque malicioso, un desastre natural o una eliminación de datos por parte del proveedor de servicios. Perder información vital puede ser devastador para las empresas que no tienen un plan de recuperación. Amazon es un ejemplo de una organización que sufrió pérdida de datos al destruir permanentemente muchos de los datos de sus propios clientes en 2011.

Google fue otra organización que perdió datos cuando su red eléctrica fue alcanzada por un rayo cuatro veces.

Asegurar sus datos significa revisar cuidadosamente los procedimientos de respaldo de su proveedor en lo que respecta a ubicaciones de almacenamiento físico, acceso físico y desastres físicos.

Related Content

SAP: ¿Cómo es / afectará la computación en la nube la demanda de consultores de SAP / servicios de SAP?

¿Cómo se comparan JumpBox y Standing Cloud?

¿AWS proporciona Oracle para el almacenamiento? ¿Hay una prueba gratuita para esto?

Para la misma configuración, el alojamiento dedicado tiene un mejor rendimiento que el alojamiento en la nube. ¿Es verdad?

¿Cuál es la universidad / colegio en Canadá que ofrece un programa de posgrado en computación en la nube?

Para comprender la seguridad de la nube, primero deberá comprender cuáles son todas las piezas de la nube en lo que respecta al cliente.

Un cliente en la nube generalmente tiene tres componentes que almacena en la nube: aplicaciones, cuentas de usuario y datos. Y se almacenan en la infraestructura del proveedor de servicios en la nube.

Ahora, cuando se trata de problemas, puede pensar en todos los problemas relacionados con aplicaciones, cuentas de usuario y datos. El cliente se vuelve más vulnerable a medida que las nubes se encuentran en una plataforma pública y se accede a través de Internet.

Pero, por otro lado, se entiende claramente que las plataformas en la nube son más seguras que los sistemas locales tradicionales porque los proveedores de servicios en la nube están mejor equipados con las últimas tecnologías, personal de seguridad más experimentado y grandes presupuestos para la seguridad.

Hemos visto en los últimos tiempos, que la mayoría de los problemas que se han producido recientemente se debieron a una configuración incorrecta o un intento de phishing y al acceso a sus credenciales en la nube. Por lo tanto, ya sea que aloje sus datos en la nube o en el centro de datos tradicional, los orígenes de los hacks se pueden remontar a sus configuraciones deficientes o contraseñas deficientes, phishing o falta de capacitación en seguridad de su personal.

Sobre las principales amenazas en el entorno de la nube, puede consultar un excelente documento de la alianza de seguridad de la nube: Treacherous 12. Puede obtenerlo en su sitio web.

Y si está buscando soluciones de seguridad en la nube más específicas o auditoría de la infraestructura en la nube, puede visitarnos https://www.secloud.guru

Bhushan Aher

Hay varios problemas en Cloud Security:

  • Pérdida de datos : un usuario de la nube puede acceder a la nube como servicio IAAS, SAAS o PAAS y, en cualquier caso, los datos del usuario en la nube a los que pueden acceder empleados internos accidental o intencionalmente (o piratas informáticos).
  • Hackers : como la nube está abierta al público, lo mismo es para los Hackers también. Pueden crear sus propias máquinas virtuales en la nube y comenzar su actividad de piratería, ya que pueden atacar máquinas virtuales que son propiedad de otro usuario en la misma nube.
  • Interfaces de programación de aplicaciones inseguras : la seguridad de los servicios en la nube utilizados por el usuario depende de la seguridad de dichas interfaces; si están en riesgo, los usuarios de la nube pueden sufrir.
  • Otros ataques de red : fuerza bruta, falsificación de IP, reproducción, ingeniería social, malware, secuestro de tráfico y muchos más.

Estos son algunos problemas en la seguridad de la nube y se toman medidas para controlarlos y proporcionar servicios de nube seguros y seguros para el usuario.

Bhushan Aher

Algunos de los problemas de seguridad en la nube que puedo pensar en este momento:

1. Ataques de denegación económica de sostenibilidad (EDoS) y denegación de servicio distribuida (DDoS).

2. Intrusión en la tenencia múltiple de la nube.

3. Robustez de la seguridad (por ejemplo, cifrado) en el almacenamiento de datos y la comunicación.

4. Impacto de SDN en la seguridad de la nube.

5. Impacto de IPv6 en la seguridad de la nube.

computación en la nube

Oliver Jones

La nube ha abierto una frontera completamente nueva para el almacenamiento, el acceso, la flexibilidad y la productividad. También ha abierto un nuevo mundo de preocupaciones de seguridad. Los siguientes son algunos de los problemas de seguridad que hay que tener en cuenta:

  • Violaciones de datos
  • Secuestro de cuenta
  • Insiders maliciosos
  • Pérdida de datos
  • Denegación de servicio (DoS)
  • Espectro y deshielo

Los parches de seguridad están disponibles y hacen que sea más difícil ejecutar un ataque. Uno debe consultar a su proveedor de servicios en la nube y crear una estrategia de seguridad en la nube para proteger su negocio de tales ataques.

Bhushan Aher

More Interesting

¿Por qué Netflix depende tanto de AWS en lugar de construir su propio centro de datos?

¿Debo elegir un CRM basado en la nube o un CRM en las instalaciones?

¿Cuál es la mejor solución de alojamiento en la nube además de Amazon para una pequeña aplicación de inicio?

¿Cuáles son los mejores recursos (libros o blogs, etc.) para aprender IoT y computación en la nube?

¿Quién puede aprender Amazon Web Services?

¿Qué son las instancias?

¿Hay alguna empresa canadiense de computación en la nube?

¿Cuáles son los objetivos críticos de rendimiento de la computación en la nube?

¿El alojamiento dedicado tiene un mejor rendimiento que el alojamiento en la nube?

¿Es posible alojar un sitio web con tráfico normal en el nivel gratuito de AWS durante un año?

¿Por qué Amazon es el proveedor de nube dominante y no Google?

¿Cómo ha cambiado la computación en la nube el panorama de las comunicaciones durante el año pasado?

¿Cuáles son las mejores empresas desarrolladoras de PaaS que no son los principales actores?

¿Cuál es el beneficio de poner mis 450 Gb de productos digitales en un servicio en la nube de Amazon en comparación con dejarlos en mi propio servidor dedicado?

¿Qué es el hosting VPS administrado? ¿Cuáles son los beneficios del alojamiento VPS?