Dado que Gartner predice que en 2027 el 70% de las empresas adoptarán las plataformas en la nube industriales para mejorar la eficiencia empresarial, no es de extrañar que la adopción de la nube híbrida vaya en aumento. Los entornos de nube híbrida combinan la infraestructura on-premise con las plataformas de nube, ofreciendo flexibilidad y escalabilidad; pero vienen con complejidades de seguridad inherentes. Las organizaciones suelen tener dificultades para obtener visibilidad en las plataformas on-premise y en la nube, lo que aumenta el riesgo de puntos ciegos que los atacantes pueden explotar. Para proteger los entornos de nube híbrida es necesario solucionar las deficiencias de visibilidad, evitar errores de configuración y garantizar la seguridad de los datos y el cumplimiento normativo. Los CISO deben cubrir las brechas de seguridad al tiempo que garantizan el cumplimiento y la resiliencia operativa. El UEBA es una herramienta crítica en este esfuerzo, la cual proporciona analítica avanzada para ayudar a los equipos de seguridad a identificar y responder a las anomalías en diversas infraestructuras. Una solución SIEM integrada en UEBA mejora la ciberseguridad y favorece la resiliencia de las organizaciones frente a las cambiantes ciberamenazas.
Puntos clave para los CISO
- Las empresas están adoptando rápidamente los entornos de nube híbrida, pero se enfrentan a retos de seguridad como la visibilidad limitada y las brechas en el monitoreo, el aumento de las amenazas internas, los riesgos para la privacidad y el cumplimiento de los datos, la inadecuación de las herramientas de seguridad heredadas y la posible explotación de errores de configuración de la nube por parte de los atacantes.
- La detección de anomalías con UEBA en entornos de nube híbrida puede ayudar a las empresas a resolver estos retos.
- Estas son las cinco razones principales por las que los CISO deberían priorizar el UEBA para la seguridad de la nube híbrida: detección proactiva de anomalías impulsada por la seguridad basada en ML, visibilidad unificada de la seguridad de la nube híbrida, mitigación avanzada de amenazas y riesgos internos, cumplimiento y alineación normativa, y escalabilidad.
- El UEBA no es sólo una mejora de la seguridad, es una necesidad estratégica para la resiliencia de la nube híbrida.
- Al integrar el UEBA, los CISO pueden reducir la exposición al riesgo, el tiempo medio de detección (MTTD) y el tiempo medio de resolución (MTTR); optimizar el cumplimiento; y reforzar las defensas de la empresa contra las ciberamenazas en evolución.
¿Cuáles son los retos a la hora de proteger los entornos de nube híbrida?
Aunque existen múltiples retos de seguridad en la nube híbrida a los que probablemente se enfrentarán las empresas, como la dificultad de integrar varias herramientas de seguridad y la brecha entre seguridad y escalabilidad, sólo trataremos algunos de los problemas clave que se mencionan a continuación:
Complejidad y visibilidad: La compleja naturaleza de las nubes híbridas (es decir, la mezcla de infraestructuras on-premise con múltiples servicios y aplicaciones en la nube) hace que sea difícil lograr una visibilidad completa y monitorear las actividades en todas las plataformas. Cada plataforma tiene su propia consola de gestión, API y protocolos de seguridad, lo que dificulta obtener una visión unificada de todo el entorno.
Amenazas internas: Las amenazas internas, ya sean maliciosas o involuntarias, pueden ser especialmente difíciles de detectar en los entornos de nube híbrida. Los empleados o contratistas con acceso legítimo a los servicios tanto on-premise como en la nube pueden usar indebidamente sus privilegios para comprometer los datos. La falta de una visibilidad adecuada de las acciones de los empleados puede tener un efecto desastroso en esta situación.
Privacidad, seguridad y cumplimiento de los datos: La naturaleza dinámica y distribuida de los entornos en nube y el movimiento de datos entre los entornos on-premise y en nube o entre los propios entornos en nube dificulta la supervisión y la protección del acceso a los datos sensibles, lo que aumenta el riesgo de violaciones de la seguridad de los datos y de la privacidad. Según el Informe de IBM sobre el costo de una violación de datos del 2024, el 40% de las violaciones de la seguridad de los datos en 2024 afectaron a los datos almacenados en múltiples entornos, siendo las violaciones en la nube pública las que tuvieron el mayor costo medio de violación, con $5,17 millones. Además, un entorno de nube distribuida requiere cumplir con diversos requisitos normativos en distintas jurisdicciones, lo que aumenta la complejidad y la responsabilidad por riesgos. Así lo demuestra un informe de 2024 de Cybersecurity Insiders, en el que se afirma que el 54% de los encuestados tuvo dificultades para garantizar el cumplimiento y controlar la nube en entornos de nube híbrida y multi nube.
Detección y respuesta a amenazas: Las herramientas de seguridad tradicionales pueden tener dificultades para detectar y responder a amenazas sofisticadas que abarcan tanto entornos on-premise como en la nube. Las brechas e incoherencias (incluyendo los errores de configuración en la nube y la falta de políticas de seguridad uniformes en los entornos on-premise y en la nube) aumentan la superficie de ataque, exponiendo a las organizaciones a amenazas maliciosas como el phishing, el robo de credenciales, el secuestro de cuentas, los accesos no autorizados, los ataques DDoS y las violaciones de los datos. Un artículo de investigación del 2024, Detección de anomalías en redes en la nube: Una revisión, menciona algunos de los problemas de seguridad en la nube más significativos mencionados por el NIST, como se muestra en la Figura 1.
[Fuente de la imagen: Detección de anomalías en redes en la nube: Una revisión (2024)]
Figura 1: Problemas clave de la seguridad en la nube.
El mismo artículo también destaca la importancia de la detección de anomalías para mitigar las vulnerabilidades mencionadas.
¿Qué es la detección de anomalías en una nube híbrida?
La detección de anomalías en una nube híbrida se refiere al proceso de aprovechar algoritmos de machine learning para identificar actividades inusuales o sospechosas tanto en entornos on-premise como en la nube. Para ello, establece el comportamiento normal; cualquier desviación del comportamiento esperado, como intentos inusuales de inicio de sesión; cambios excesivos en los permisos de los archivos; volúmenes anormales de transferencia de datos o cambios inesperados en las configuraciones del sistema, AWS o Azure, se considerará anómalo y se asignará una puntuación de riesgo adecuada y se alertará a los equipos de seguridad. Sin embargo, debido al hecho de que las nubes híbridas integran infraestructuras de nubes on-premise, privadas y públicas, es crucial elegir herramientas de detección de anomalías que tengan en cuenta las complejidades del monitoreo en diferentes arquitecturas, fuentes de datos, modelos de seguridad y patrones de tráfico. El UEBA es el motor de detección de anomalías en las soluciones SIEM. El rol del UEBA en entornos de nube híbrida es identificar los comportamientos anómalos exhibidos por los usuarios y las entidades en entornos on-premise y en la nube que podrían indicar amenazas internas y ataques externos, y mejorar la postura general de seguridad de las empresas.
Cómo el UEBA ayuda a resolver los retos de seguridad de la nube híbrida
Según el informe de Cybersecurity Insiders, 91% de las organizaciones están priorizando la adopción de la IA para mejorar la detección y prevención de amenazas. Si bien la adopción de la IA en sus sistemas actuales puede ser una tarea necesaria que toma tiempo, las empresas se beneficiarán si comienzan adoptando el UEBA, que emplea algoritmos de machine learning y confiere las siguientes ventajas:
Visibilidad mejorada: El UEBA ofrece una visión unificada de los comportamientos de los usuarios y las entidades en entornos on-premise y en la nube, mejorando la visibilidad y el monitoreo en tiempo real de los entornos híbridos.
Cumplimiento normativo: La mayoría de las normativas de cumplimiento obligan a monitorear y reportar las actividades anómalas que indiquen ataques o violaciones de las políticas. El UEBA ayuda a garantizar el cumplimiento monitoreando continuamente las actividades y detectando anomalías que puedan indicar incumplimientos o violaciones de la seguridad de los datos.
Detección de amenazas avanzadas: El UEBA utiliza técnicas de machine learning y perfiles de comportamiento para detectar amenazas sofisticadas que las herramientas de seguridad tradicionales podrían pasar por alto, proporcionando alertas en tiempo real para una respuesta rápida. Además, las herramientas de UEBA también se pueden integrar de manera eficiente con soluciones de seguridad como las herramientas de SIEM, mejorando así las funciones de detección de amenazas y la postura de seguridad de las organizaciones que adoptan entornos de nube híbrida.
Mitigación de amenazas internas: Dado que el UEBA establece una línea base del comportamiento esperado para cada usuario de la red, puede identificar cuándo un usuario se desvía de ella, ayudando así a detectar y mitigar las amenazas internas y reduciendo el riesgo de violación de la seguridad de los datos y de abuso de privilegios. Dado que IBM informó de que el costo medio de un ataque interno malicioso era de $4,99 millones, las empresas pueden ahorrar enormemente invirtiendo en una solución SIEM integrada en UEBA.
Escalabilidad: Dado su creciente tamaño y la naturaleza dinámica y escalable de la nube, las empresas necesitan una solución de seguridad que pueda crecer y evolucionar junto con sus entornos de nube híbrida, y el UEBA es una de esas herramientas. El UEBA se puede adaptar a volúmenes crecientes de datos y usuarios en diversas infraestructuras.
Un ejemplo real de UEBA en la detección de anomalías en nubes híbridas
Una gran empresa de servicios financieros, FinEdge Enterprises, opera en un entorno de nube híbrida, utilizando tanto centros de datos on-premise como servicios en la nube para diversas aplicaciones, como la gestión de clientes, las transacciones financieras y el cumplimiento normativo. Dado que maneja datos financieros confidenciales y es uno de los principales objetivos de los ataques cibernéticos, FinEdge decidió implementar una solución UEBA para mejorar la seguridad de su nube híbrida. Un mes después, FinEdge pudo comprobar la efectividad del UEBA para detectar anomalías en un entorno de nube híbrida.
Cuando un atacante intentó infiltrarse en FinEdge y exfiltrar datos, el UEBA detectó el intento y ayudó al equipo de seguridad a frustrar el ataque. La solución UEBA adoptada por FinEdge lo consiguió identificando los siguientes eventos como anómalos y alertando al equipo de seguridad sobre ellos:
1. Una serie de intentos inusuales de inicio de sesión desde una cuenta de empleado en dos regiones geográficas diferentes, no asociadas previamente con el usuario.
2. La cuenta del empleado que intenta obtener acceso de administrador a la base de datos on-premise al tiempo que inicia cambios en los permisos de almacenamiento en la nube.
3. La cuenta de un empleado que intenta acceder a archivos confidenciales a los que nunca antes había accedido, y sus posteriores intentos de transferir archivos de gran tamaño desde una base de datos on-premise segura a un proveedor externo de almacenamiento en la nube con el que no estaba familiarizado.
Con cada uno de estos eventos, la solución UEBA de FinEdge aumentó la puntuación de riesgo y alertó al equipo de seguridad que respondió rápidamente para mitigar el incidente. De este modo, FinEdge pudo reducir su MTTD y MTTR, evitar una infracción y mantener intacta su reputación y la satisfacción de sus clientes.
Acerca de ManageEngine Log360
Log360 es una solución SIEM unificada que integra funciones de UEBA, SOAR, DLP y CASB para ayudar a proteger los entornos de nube híbrida de organizaciones de varios tamaños, incluyendo empresas. La función de UEBA en Log360 aprovecha los algoritmos de ML y los modelos estadísticos para detectar anomalías; para garantizar una alta precisión en la puntuación de riesgos, también permite a las empresas aprovechar el análisis de grupos de pares, la estacionalidad, la asignación de identidades de usuarios, el modelado de anomalías personalizado y la puntuación de riesgos personalizada. El UEBA en Log360 también detecta anomalías en entornos on-premise y en entornos en la nube, como AWS, Azure y GCP. Log360 ayuda a las empresas a lograr el cumplimiento monitoreando continuamente las actividades anómalas y proporcionando informes listos para la auditoría de varias normativas, como el GDPR, la HIPAA, el PCI DSS y la SOX. Para obtener más información, regístrese para una demostración personalizada, o descargue una versión de prueba gratis y totalmente funcional de Log360.
Recursos adicionales
Para obtener información detallada sobre cómo el UEBA puede ayudar a diversas industrias, lea los siguientes recursos:
Seguridad de los datos en la salud con UEBA
Ciberseguridad en los servicios financieros
Ciberseguridad en la fabricación
Ciberseguridad en la educación: ¿Por qué es importante y cómo puede ayudar el UEBA?
Para saber cómo el UEBA mejora la detección de amenazas y la precisión de la puntuación de riesgos, lea este e-book.