Cómo desarrollar una estrategia de protección contra ransomware con respaldo en la nube
Implementar copias de seguridad en la nube para la protección contra el ransomware se ha convertido en una estrategia de seguridad común. A continuación se explica cómo examinar adecuadamente a los proveedores de almacenamiento en la nube para garantizar que los respaldos permanezcan seguros.
La creciente tasa de amenazas que incorporan ransomware y ataques a datos específicos está impulsando a muchas organizaciones a implementar un nuevo modelo de copia de seguridad y recuperación de datos que incluya almacenamiento basado en la nube.
La mayoría de las empresas maduras tienen varios niveles de copias de seguridad y datos replicados para fines de continuidad del negocio y recuperación ante desastres (BCDR). Pero el espectro del ransomware está llevando a algunas organizaciones a considerar la posibilidad de realizar respaldos aislados. Se trata de copias de seguridad a las que no se pueden alcanzar ni acceder desde el entorno corporativo central sin realizar cambios en la infraestructura y/o requerir numerosos ajustes administrativos de autenticación/autorización.
Las tácticas comunes para la protección contra ransomware de respaldo en la nube incluyen las siguientes:
- Construir un nuevo segmento de red dentro del entorno de la organización para estas copias de seguridad, con un firewall de "negación de todo" protegiendo el segmento. Estas reglas sólo se relajan cuando los datos son necesarios o para replicación.
- Crear una nueva copia de seguridad aislada basada en la nube utilizando restricciones de red locales y basadas en la nube similares a las que acabamos de mencionar. Alternativamente, esta copia de seguridad aislada podría estar en un centro de datos secundario o de respaldo.
- Requerir que varios administradores ingresen de manera colaborativa credenciales e información de autenticación multifactor.
Primeros pasos: Desarrollo de una estrategia de respaldo en la nube
Para desarrollar una estrategia de respaldo en la nube como protección contra ransomware, las siguientes áreas distintas de la organización deben participar en la fase de planificación:
- Operaciones de TI. Los equipos de operaciones de TI deben analizar los tipos de datos que deben respaldarse y durante cuánto tiempo deben almacenarse.
- Planificación del BCDR. Para los equipos de planificación de BCDR, los datos deben estar alineados con métricas estándar, como el tiempo medio de recuperación, el objetivo de tiempo de recuperación, el objetivo de punto de recuperación y otros.
- Seguridad de información. La sensibilidad de los datos almacenados y replicados es de vital importancia. Como resultado, los equipos de seguridad deben centrarse no solo en los tipos de datos respaldados, sino también en los controles de seguridad disponibles en la nube para ayudar a proteger estos datos.
- Legal y cumplimiento. Cualquier necesidad legal y regulatoria requerida debe abordarse con anticipación para garantizar que todos los requisitos de almacenamiento y archivo cumplan con los requisitos de las mejores prácticas y de la industria.
Preguntas sobre seguridad de datos para los proveedores de almacenamiento en la nube
Las organizaciones deben hacer a sus proveedores de almacenamiento en la nube una serie de preguntas que abarquen todo, desde la seguridad del centro de datos hasta la arquitectura de almacenamiento y la seguridad de la red, la gestión del almacenamiento y los procesos de seguridad.
Seguridad del centro de datos
Las preguntas iniciales deben centrarse en la seguridad física de los centros de datos de un proveedor y el personal que opera sistemas y aplicaciones dentro de esos entornos. Estas preguntas incluyen las siguientes:
- ¿Está restringido el acceso físico al centro de datos? ¿Qué métodos de seguridad se requieren para el acceso, por ejemplo, escáneres biométricos de retina? Las empresas deben esperar que los proveedores mantengan fuertes controles de acceso físico a estas instalaciones.
- ¿El centro de datos cuenta con personal y está monitoreado las 24 horas del día, los 7 días de la semana? Si es así, ¿cómo se manejan los cambios de turno?
- ¿El centro de datos cuenta con videovigilancia y registros de auditoría que rastrean a los visitantes y sus horas de entrada y salida? ¿Cómo se controla la videovigilancia?
- ¿Se realizan verificaciones de antecedentes de los empleados con acceso físico o administrativo a la infraestructura? ¿Qué tipo de controles se realizan y con qué frecuencia?
- ¿Existen alertas de intrusión y existe un plan de respuesta documentado en caso de una violación de la seguridad física en los centros de datos?
Arquitectura de almacenamiento y seguridad de red
Las organizaciones deben ser conscientes de las consideraciones generales de diseño de seguridad vigentes en el entorno del proveedor de la nube. Estos controles se consideran elementos fundamentales del programa de seguridad que cualquier programa maduro debería admitir. Considere los siguientes criterios:
- ¿Qué métodos de autenticación se requieren para los usuarios al acceder a áreas y componentes de almacenamiento? En particular, los administradores de almacenamiento de un proveedor deben tener requisitos de autenticación estrictos.
- ¿Existen configuraciones seguras que exijan cambios de contraseña predeterminada como parte del proceso de instalación? Las configuraciones seguras deben denegar todos y cada uno de los servicios, características y funciones a menos que los usuarios los activen específicamente, proporcionando una postura de denegación predeterminada para todos los controles de configuración.
- ¿Qué tipos de monitoreo y registro de eventos de seguridad se utilizan? Cualquier plataforma y aplicación debe ofrecer la capacidad de detectar eventos de seguridad y registrarlos en consecuencia. Los usuarios deben tener la capacidad de enviar alertas de seguridad a consolas de administración, administradores de elementos, buscapersonas, correo electrónico y otras fuentes. En muchos casos, estos datos solo están disponibles para los equipos de proveedores de la nube, pero los usuarios deben ser conscientes de qué tecnologías y procesos existen.
- ¿Cómo se implementa el arrendamiento múltiple y qué tecnologías se utilizan para segmentar y aislar los datos de diferentes inquilinos? Los firewalls virtuales, los hipervisores, las herramientas y técnicas de aislamiento de la red de área de almacenamiento (SAN) y la segmentación de la red son opciones viables. Los proveedores de la nube deberían estar dispuestos a revelar qué utilizan para proteger los datos en plataformas compartidas.
- ¿Se auditan los permisos y contraseñas de los usuarios de los dispositivos de red y con qué frecuencia? Los proveedores de la nube deben revisar periódicamente los permisos y contraseñas de los usuarios para asegurarse de que sigan siendo válidos y actualizados.
- ¿Los sistemas que dan servicio a cada cliente están separados de otras zonas de la red, tanto lógica como físicamente? Debe haber zonas separadas con firewall para el acceso a Internet, bases de datos de producción, áreas de desarrollo y preparación, y aplicaciones y componentes internos.
Seguridad de gestión y acceso al almacenamiento
La gestión de los controles de acceso y la seguridad de las sesiones para acceder al entorno de almacenamiento debería ser una preocupación primordial tanto para los administradores de proveedores de nube, como para los usuarios empresariales. Para defenderse de amenazas de seguridad comunes, como el ransomware, el almacenamiento en la nube debe evaluarse según los siguientes criterios:
- ¿Las herramientas de gestión y otras aplicaciones administrativas almacenan las contraseñas de los usuarios en un formato cifrado? Si es así, ¿de qué tipo? ¿Este cifrado se prueba periódicamente? Además, ¿la aplicación de gestión de almacenamiento permite la configuración y aplicación de la longitud, el tipo y la duración de la contraseña?
- ¿Qué tipos de conectividad segura se permiten para la infraestructura de almacenamiento en la nube? ¿Se admiten protocolos de comunicación más seguros, como Secure Sockets Layer/Transport Layer Security o Secure Shell?
- ¿Existe un tiempo de espera de sesión de usuario activo?
- ¿Las herramientas de administración admiten múltiples perfiles de administrador para proporcionar niveles de seguridad granulares? Las aplicaciones administrativas para acceder y configurar el almacenamiento en la nube deben tener opciones de configuración que restrinjan el acceso del administrador según la hora, el día, la función y otros atributos. Todas las acciones del administrador deben registrarse para auditorías y alertas, y los registros deben estar disponibles para los equipos de seguridad de la empresa.
- ¿Puede la aplicación de gestión de almacenamiento en la nube definir roles y privilegios granulares? Para mantener una separación adecuada de funciones y hacer cumplir el principio del privilegio mínimo, esta capacidad debe considerarse obligatoria.
Procesos de seguridad
La mayor parte de la atención en los procesos orientados a la seguridad dentro de un proveedor de almacenamiento en la nube debería centrarse en las pruebas de software y la seguridad del desarrollo, así como en la gestión de vulnerabilidades y parches. Las preguntas que debe hacer incluyen las siguientes:
- ¿El proveedor de almacenamiento en la nube prueba el hardware y el software en configuraciones totalmente seguras y parchadas para evaluar la vulnerabilidad de los servidores, las redes y las aplicaciones?
- ¿Existe un proceso en el proveedor para rastrear e informar las vulnerabilidades de seguridad descubiertas en los productos de almacenamiento en la nube? El proveedor también debe delimitar entre anuncios generales y métodos de contacto para clientes particulares como parte de sus procesos de respuesta a incidentes.
- ¿Qué procedimientos de notificación y escalamiento se siguen si se encuentran violaciones de seguridad u otros incidentes de seguridad potencialmente graves?
- ¿Existe un proceso establecido y documentado para la distribución interna de parches de software críticos y actualizaciones de seguridad no críticas?
- ¿Existe un proceso establecido para probar la seguridad en los ciclos de desarrollo y control de calidad? Esto debería incluir escanear el código fuente en busca de problemas principales, entre ellos el Open Web Application Security Project Top 10, desbordamientos de búfer, autenticación deficiente y manejo de sesiones.
El almacenamiento basado en la nube complementa las estrategias de respaldo de datos que ya emplean las organizaciones maduras. Esas estrategias incluyen respaldos estándar locales usando cinta o disco o replicación a gran escala de contenidos de datos virtuales, con integración de almacenamiento conectado a red/SAN, así como respaldos secundarios usando cinta o disco enviados a un proveedor de respaldo externo.
Finalmente, para escenarios más nuevos, como preocupaciones de ransomware, se puede considerar copias de seguridad aisladas a corto plazo para el contenido del usuario final y/o los activos críticos del centro de datos central.