Equipos cibernéticos
Extracto de una revista mensual sobre FinOps y SOC:
«Tu granja de 10 servidores cuesta 1000 € al mes cada uno solo para procesar registros, ¿es realmente necesario?
«Hay tres años de registros de red acumulados en los SSD. ¿Piensas utilizarlos algún día?»
El FinOps, en su misión de controlar y reducir los costes de infraestructura, a menudo entrará en conflicto con los equipos encargados de la ciberseguridad (SOC, gobernanza), que buscan proteger la empresa a cualquier precio. El objetivo de este artículo es presentar algunos de los puntos de fricción existentes, pero también mostrar lo que el enfoque FinOps puede aportar al enfoque de ciberseguridad. Los ejemplos se basarán principalmente en Azure, pero se aplican de la misma manera a AWS o GCP.
FinOps, en su misión de controlar y reducir los costes de infraestructura, a menudo entrará en conflicto con los equipos encargados de la ciberseguridad (SOC, gobernanza), que buscan proteger la empresa a cualquier precio.
El objetivo de este artículo es presentar algunos de los puntos de fricción existentes, pero también mostrar lo que el enfoque FinOps puede aportar al enfoque de ciberseguridad. Los ejemplos se basarán principalmente en Azure, pero se aplican de la misma manera a AWS o GCP.
Puntos de fricción
La activación de funciones
La mayoría de las empresas pedirán a sus equipos de ciberseguridad que elaboren guías de buenas prácticas para el uso de cada servicio de los proveedores de nube (hay que activar tal configuración, este parámetro está prohibido porque no cumple con la política de seguridad, etc.). A menudo, al considerarlas únicamente desde el punto de vista de la seguridad, estas guías activarán todas las funcionalidades posibles e imaginables, siempre y cuando aumenten la seguridad de la infraestructura. Por ejemplo, AWS QuickSight (servicio de BI) ofrece dos versiones, estándar y empresarial, que proporcionan prácticamente las mismas funcionalidades de negocio. La versión empresarial, por su parte, permite el acceso privado a nivel de red y mejora la integración con Active Directory, entre otras cosas. Como es de esperar, esta versión es más cara. Por lo tanto, la seguridad prohibirá la implementación de la versión estándar. Es lógico y coherente, pero en el análisis no se ha tenido en cuenta ni abordado la relación entre riesgo de seguridad y coste. ¿Justifica la mejora de seguridad que aporta la versión empresarial su sobrecoste?
Los registros
Los registros, que constituyen una herramienta fundamental para los equipos de seguridad, pueden ser el primer indicio de un ataque o el único rastro que deja un atacante. En Azure, encontramos diferentes tipos de registros que suelen estar integrados en Sentinel:
- Registro AAD (registro de conexiones de los usuarios)
- Registro de actividad de Azure (registro de actividades en el portal, la API o la CLI de Azure a nivel del plano de control)
- Registro de diagnóstico (específico para cada tipo de recurso, aunque a menudo se incluyen los registros de auditoría que pueden afectar al plano de datos)
- Registro de AD (envío de registros del AD local)
- Registros de las soluciones de M365 (Defender, Purview, O365…)
- Log Network Watcher (registra todo el tráfico de red en Azure)
La inclusión de los registros de AD en Sentinel permite tener un control sin igual sobre el Active Directory, pero también puede resultar abrumador el gran número de eventos. La infraestructura de AD es una de las más prolijas que existen. Es fundamental no capturar todos los registros o eventos, sino filtrar aquellos que correspondan a incidentes de seguridad: Azure Monitor Agent (sustituto del agente de análisis de registros) incluye esta funcionalidad; hay que utilizar DCR (reglas de recopilación de datos) para capturar solo los eventos relevantes (basándose en eventid conocidos como problemáticos [por ejemplo, 4766] o en un nivel de criticidad).
Cabe destacar la aparición del agente Defender for Identity, que no envía directamente los eventos, sino que reconoce comportamientos (como el «golden ticket») y los remite. Esto permitirá reducir los costes de almacenamiento, pero supone una licencia adicional.
Los registros de Network Watchers también pueden llegar a ser especialmente voluminosos si todas las funciones están activadas de forma permanente y en todas partes.
- Traffics Analytics facilita la lectura de sus registros
- La versión 2 de los registros contiene estadísticas de sesión sobre el tráfico (bytes y paquetes), por lo que ocupa más espacio.
- La retención (que puede ser infinita)
En entornos de gran tamaño, es muy fácil acumular terabytes de datos que pueden permanecer inactivos durante mucho tiempo y estar infrautilizados. Traffic Analytics es una herramienta extremadamente potente que permite responder fácilmente a las siguientes preguntas:
- ¿Qué hosts sufren más bloqueos? (estadísticas de tráfico autorizado/bloqueado)
- ¿Dónde es adecuado el ancho de banda de nuestras conexiones (SKU)?
El equipo de FinOps puede y debe cuestionar la configuración de los equipos de seguridad para lograr una configuración adecuada y rentable para la organización (el tiempo de retención puede ser menor en entornos que no sean de producción o críticos…).
El riesgo de una solución de seguridad de tipo «open-bar» (que activa todas las funciones) es que, al cabo de un tiempo, la empresa ya no quiera pagar la factura y desactive de forma abrupta herramientas muy importantes para la seguridad de la organización.
Simbiosis entre los equipos de FinOps y de ciberseguridad
La reducción de la superficie de ataque
Una de las primeras tareas de los equipos de FinOps será localizar y eliminar los recursos que no se utilizan pero que el proveedor de servicios en la nube factura. Se trata de posibles puntos de entrada (direcciones IP públicas que no se han liberado y siguen asociadas a una máquina virtual de desarrollo conectada a la red de la empresa) o de puntos de tránsito para movimientos laterales (aplicaciones de funciones) que se eliminan.
Los equipos de seguridad podrán detectar estos recursos (por ejemplo, porque ya no se mantienen actualizados), pero muy a menudo les cuesta que los equipos de operaciones de negocio les hagan caso («nunca se sabe, quizá aún pueda servir»). El equipo de FinOps, al dirigirse directamente al negocio con argumentos precisos y basados en hechos («este recurso supone tirar por la ventana 500 € al mes»),provoca una reacción de los equipos de negocio que se asegurarán de eliminarlo lo antes posible, a diferencia de un hipotético riesgo de seguridad que no les motivará necesariamente a actuar.
IMAGEN ESQUEMA AZUL
Otra tarea será la implementación de automatismos para el apagado y encendido de los recursos durante la noche, los fines de semana y los días festivos (con un ahorro medio del 60-70 % en comparación con un recurso siempre disponible) para los entornos de desarrollo y pruebas…
Esto permite reducir el tiempo de vulnerabilidad de estos recursos y facilitar el trabajo de los equipos de ciberseguridad, al limitar los incidentes y registros durante los periodos fuera del horario laboral, en los que suele haber menos personal de seguridad para gestionarlos.
Reducir los posibles objetivos de robo de datos
Otra de las tareas consistirá en reducir los costes de almacenamiento (entre el 20 % y el 40 % de la factura del cloud), ya sea solicitando la eliminación de los datos (que estén duplicados, hayan superado el plazo de conservación o ya no sean pertinentes) o trasladándolos a un almacenamiento menos potente pero más económico (muy eficaz para los datos a los que se accede con poca frecuencia). Los proveedores de servicios en la nube ofrecen automatizaciones para gestionar el ciclo de vida de los datos, lo que puede ayudar a sus equipos de cumplimiento normativo a respetar los plazos de retención: documentos legales, PII…
| Guion | Popular | Frío | Archivo |
|---|---|---|---|
| Solo almacenamiento | 20.42 | 11.16 | 1.91 |
| Lectura | 681.86 | 738.02 | 55648.04 |
| Escritura | 633.05 | 1153.37 | 1247.96 |
Cambiar de nivel de almacenamiento puede resultar eficaz, pero siempre y cuando se controle bien el consumo de datos. Pasar a un sistema de archivo puede reducir tu factura a una décima parte o multiplicarla por 2000, dependiendo de tu uso.
Azure Backup es la solución de copia de seguridad para recursos de tipo máquina virtual. En su funcionamiento, si se ha realizado una copia de seguridad de una máquina virtual una vez, nunca borrará su última instantánea y la conservará para siempre, incluso si la máquina virtual se ha eliminado. Esto puede suponer un riesgo de seguridad (datos conservados más allá de su periodo de retención, restauración por parte de un administrador malintencionado, etc.). Afortunadamente, Azure cobra por el almacenamiento de las copias de seguridad y el equipo de FinOps implementará un proceso de purga automático para garantizar que solo se conserven las instantáneas pertinentes, limitando así el riesgo de fuga de datos.
Estas medidas de FinOps permiten a los equipos de ciberseguridad proteger únicamente los recursos pertinentes y limitar su número.
IMÁGENES DE COPIA DE SEGURIDAD DE INSTANCIAS
Panel de control de Azure Backup Center: el sobrecoste puede alcanzar rápidamente varios miles de euros al mes
Reducir los recursos disponibles en un sistema comprometido
Otra tarea consistirá en asegurarse de que los recursos, especialmente los de tipo computacional (máquinas virtuales, servicios de aplicaciones, ASE), tengan el tamaño justo y suficiente para realizar sus tareas con un rendimiento aceptable. En caso de que el sistema se vea afectado por un ransomware, esto permite disponer de menos potencia de cálculo para ralentizar el cifrado de tus datos.
Detener elementos de producción fuera del horario laboral puede ser arriesgado (Microsoft no garantiza el reinicio inmediato del recurso; véase el inicio delprimer confinamiento, cuando la demanda de recursos en la nube era tal que Microsoft no podía satisfacer las solicitudes de arranque). Otra solución puede consistir en redimensionarlos sobre la marcha (en el caso de los recursos PaaS) mediante una aplicación de funciones.
Identificar a los propietarios de los recursos
Otra de las funciones de FinOps será garantizar que cada recurso tenga un responsable a quien se le pueda facturar el coste de dicho recurso, especialmente mediante etiquetas. Esto facilitará el trabajo de los equipos de ciberseguridad, que podrán identificar rápidamente a una persona de contacto en caso de que se produzca un incidente en un recurso.
Conclusión
Gestión basada en los costes
Según la norma ISO/IEC 27001, la seguridad informática consiste en garantizar que los recursos físicos o de software de una organización se utilicen únicamente para los fines previstos.
La seguridad informática consiste también en garantizar que el coste que debe asumir el atacante para llevar a cabo con éxito su ataque sea mayor que la ganancia que podría obtener. Lo que destinemos a nuestra defensa no debe costar más que lo que debemos proteger.
Se pasa de un enfoque basado en los riesgos a uno basado en los costes. El entorno de nube pública permite obtener una estimación de la facturación de forma inmediata, o tras un periodo de prueba de cada una de las configuraciones. Los RSSI han podido aprobar los presupuestos con mayor facilidad en los últimos años, ya que los consejos de dirección dan prioridad a la amenaza cibernética. Una tendencia que puede no durar, por lo que los RSSI tendrán que demostrar que gastan el dinero de forma sensata.
La mayoría de los proyectos de cumplimiento del RGPD se han aprobado fácilmente gracias a la amenaza de una multa del 4 % de la facturación. ¡Hay que conseguir presentar los proyectos de ciberseguridad con el mismo tipo de argumento para que se incluyan en el presupuesto!
Trabajar con los equipos de ciberseguridad
Cabe destacar que nos enfrentamos a una nueva oportunidad para los atacantes: la modificación de la configuración de los recursos en la nube con el fin de aumentar la factura y perjudicar a la empresa. Las herramientas de control de configuraciones, una gestión rigurosa de la gestión de identidades y accesos (IAM) y la supervisión de las operaciones son más actuales que nunca…
Los procesos automatizados implementados por los equipos de operaciones financieras (parada/arranque, purga, etc.) son vitales y pueden constituir objetivos prioritarios para un atacante que desee desestabilizar el funcionamiento de la empresa (cientos de desarrolladores pueden perder una mañana si sus equipos de trabajo no se han iniciado). Deben ser revisados por los equipos de ciberseguridad y supervisados como tales.
Las etiquetas serán muy importantes para los operadores de operaciones (finops), ya que contendrán información sobre los propietarios, la unidad de negocio, el tipo de entorno y el rango de funcionamiento (para la automatización del apagado y el arranque). Se debe prestar especial atención a la gestión de los permisos para modificar estas etiquetas. (A diferencia de AWS, Azure aún no permite conceder permisos sobre un solo tipo de etiqueta). La estrategia de etiquetado (qué etiqueta utilizar, quién las modifica) debe ser debatida y aprobada por todas las partes interesadas de la empresa.
Hay que encontrar el equilibrio
Cabe señalar que, al debate sobre la relación entre coste y seguridad, se suma ahora la resiliencia con la ingeniería de fiabilidad de los sitios (SRE); las organizaciones deben proporcionar a sus equipos operativos una guía o marco de uso para los distintos servicios de los proveedores de nube que abarque estos tres aspectos (y actualizarla periódicamente).
La capacidad de los equipos de FinOps para cuestionar de forma pertinente los costes de los equipos de ciberseguridad será fundamental para garantizar el apoyo de la dirección a las iniciativas de ciberseguridad a largo plazo. El DevSecOps debe evolucionar hacia su forma definitiva: el DevSecFinOps
Matthieu GAILLARD-MIDOL
Responsable de la práctica de DevSecOps, Squad
