Por Lori Mac Vittie, evangelista tecnológica principal para la nube, seguridad en la nube y aplicaciones de F5.
Hasta febrero de este año había cinco casos documentados de organizaciones exponiendo sus datos privados por causa de cubos S3 o bases de datos en la nube mal configurados. En realidad, no, corrijamos: por causa de cubos S3 y bases de dato en la nube configurados intencionalmente. La diferencia es importante. Para permitir el tipo de acceso necesario para que un usuario ilegítimo vea los cubos S3 o acceda a las bases de datos, una persona debe eliminar o degradar las protecciones de seguridad que, por defecto, están puestas.
Si decimos que estuvieron mal configuradas implicaría un error, del tipo que todas las personas cometen periódicamente y que pueden perdonarse. Pero estos no son errores, ya que los recursos se han abierto de manera intencional para permitir que casi cualquier persona acceda a ellos.
Los investigadores de F5 Labs rastrearon la lista de organizaciones cuyos recursos en la nube han estado expuestos desde 2017 a causa de inseguridad intencional. El incremento de 2017 a 2018 fue un alarmante 200%. En 2019, con un promedio de 2.5 brechas por cada mes, esperaríamos a ver un total de 30 brechas hasta el final de este año. Pero la cifra de crecimiento de los años anteriores nos dice que nuestra estimación es, probablemente, demasiado baja. Si ese 200% de incremento se mantiene esperamos ver al menos 90 brechas de seguridad en la nube durante 2019. Y lo que es peor: estamos seguros que nuestras listas compiladas de organizaciones están solamente raspando la parte superior del barril.
Creemos que esto es inaceptable. No sólo son datos privados expuestos, sino que algunos de ellos tienen el potencial de repercutir de manera real y muy dañina en las personas de quienes son esos datos: Usted, nosotros, el chico en el cubículo a su derecha, la mujer bajando del autobús, el joven preparándose para universidad.
Ninguna industria queda fuera de la lista que crece. Desde gobiernos a proveedores de servicios, desde manufactura a política, desde las finanzas al entretenimiento, todas las industrias tienen una participación en el concurso “Quién puede perder más datos debido a malas prácticas de seguridad”. Es un concurso que nadie debería querer ganar, o incluso participar, en primer lugar.
Estamos firmemente arraigados en la economía digital. Los bits y bytes que la alimentan no sólo representan dólares o yenes o libras, representan a las personas. Las personas que realmente se ven afectadas por estas brechas de una manera que nunca podremos saber, porque no se reportan.
¿Cómo solucionamos este problema?
Nadie está sugiriendo que volvamos a los retrasos prolongados en la implementación de sistemas (una queja común entre desarrolladores). Tal vez, como industria, deberíamos comenzar a hablar de DevSecOps como disciplina para infundir buenas prácticas de seguridad en el desarrollo. Todos los equipos claramente deben ser incluidos en la conversación. Solo informes de seguridad limitados están disponibles en implementaciones en la nube predeterminadas: no hay equipos confiables de ingeniería de redes o ingeniería de sistemas para solicitar una lista de subredes y ACL, y no hay grupos y permisos de Active Directory. En la mayoría de las nubes públicas, las organizaciones necesitan comprar herramientas de auditoría de seguridad de la nube de terceros para producir los informes que el equipo de seguridad normalmente habría obtenido de sus homólogos internos.
Sí, la seguridad es difícil. Sí, la seguridad a veces ralentiza las cosas. Pero ignorar intencionalmente o degradar la seguridad porque es más conveniente o acelera el proceso es simplemente inaceptable y posiblemente muy poco ético. Las personas reales pueden ser impactadas y no solo financieramente. Eso es gente real, no sólo las encarnaciones digitales que confían a las empresas a diario.
Es hora de dejar de referirse a estas exposiciones como resultado de una mala configuración y comenzar a llamarlas lo que son: inseguridad intencional y deliberada. Más importante aún, los profesionales de InfoSec necesitan expresar estas prácticas deficientes con más firmeza. Tal vez con un recordatorio de que las prácticas de seguridad deficientes afectan a las personas y no sólo a los procesos que se utilizan para evitar o eludir.