Ya ha completado su solicitud de propuestas (AO) o solicitud de información (RFI/RFP) y ha seleccionado una lista de candidatos preseleccionados con dos proveedores/integradores. Estos le ofrecen la solución durante un mes, con un equipo de preventa y un gestor técnico de cuentas a su disposición para la implementación y las pruebas. Algunos proveedores ya no hablan de POC («prueba de concepto»), sino de POV («prueba de valor»).
¿Cómo sacarle el máximo partido y tomar la mejor decisión (o, al menos, una de la que no te arrepientas demasiado)?
La incorporación
- Los editores te proporcionarán los documentos con los requisitos previos; ¡léelos y no lo dejes para cinco minutos antes del primer taller!
- Involucre a sus administradores de la nube, especialmente a aquellos que tienen derechos a nivel de tenant (Azure) o de organización (AWS, GCP); me he encontrado con varios casos de talleres que resultan improductivos porque no hay nadie de la organización con los derechos necesarios presente para integrar la herramienta (a pesar de que así se indica en la documentación).
- Terraform suele ser el método preferido por los proveedores, pero el administrador a nivel de tenant u organización a menudo no tiene acceso a él o no se siente cómodo utilizándolo. Es mejor optar por la configuración manual, especialmente en Azure, donde a menudo esto equivale a crear una aplicación y asignarle permisos.
- Las soluciones de CNAPP no interfieren entre sí en la mayoría de las funciones (la parte de CWPP, con su agente que hay que instalar, es la excepción); intégrelas en los mismos entornos para poder comparar las capacidades de detección de cada proveedor en entornos equivalentes
El caso del CWPP
Si también está probando la CWPP (Cloud Workload Protection Platform: lo que se ejecuta en las máquinas virtuales o contenedores) y, por lo tanto, la instalación del agente:
- Compara los métodos de instalación masiva (no solo la implementación individual) y cómo asegurarte de que cubres todas las máquinas virtuales y contenedores de un tenant u organización
- No lo hagas solo en entornos de prueba; es necesario comprobar que no afecta al rendimiento con equipos en condiciones reales.
- Probar la implementación de un cryptominer (por ejemplo, xmrig) para comprobar su detección y su notificación en la interfaz de la solución, así como las posibles respuestas
- Comprobar el comportamiento al eliminar máquinas o agentes (agentes fuera de línea que deben eliminarse manualmente y que afectan a las estadísticas…)
¿Qué comparar?
- A menudo, lo primero que se analiza es el inventario, pero este criterio no es muy determinante, ya que todas las soluciones serias lo superan con creces
- Aunque a menudo contará con la ayuda de un técnico de asistencia de la empresa desarrolladora, es importante que se familiarice con la interfaz por su cuenta y que valore la facilidad de uso e intuición de la solución. Es posible que la utilicen muchas personas diferentes y no tendrá tiempo para formar a todas ellas.
- Compara los riesgos detectados entre las distintas soluciones. Exporlos a Excel, clasifícalos por nivel de criticidad y realiza tu propio análisis para confirmar el nivel (recuerda siempre aquella solución que califica como crítico un escenario que ni siquiera debería aparecer en la información...).
Las integraciones
Lamentablemente, a menudo resulta demasiado complejo probar exhaustivamente la integración entre la solución y los demás componentes de su entorno durante la prueba de concepto (lleva mucho tiempo, es necesario involucrar a equipos de otros departamentos, etc.). A menudo habrá que conformarse con la lista de socios disponibles…
- Intenta, de todos modos, comprobar la compatibilidad con tu SIEM/SOC. No he tenido ninguna sorpresa desagradable con las soluciones estándar del mercado, pero comprueba la calidad de los siguientes aspectos:
- Control sobre lo que se envía (no es necesario enviar todas las alertas al SOC)
- El objetivo es que el SOC no reciba solo una alerta, sino algo más de información que le ayude a gestionarla
- La implementación de un CNAPP no es, ni mucho menos, una cuestión meramente técnica. La parte relacionada con los procesos y la matriz RACI de los distintos equipos es fundamental. Planifica tus integraciones de modo que sean pertinentes, ya desde la fase de prueba de concepto (POC).
CDR
La parte de Cloud Detection and Response es relativamente reciente. Los aspectos a tener en cuenta son:
- Comprenda bien el proceso de integración y los costes adicionales en recursos de la nube que deberá asumir (especialmente en lo que respecta a los flujos de registros).
- La naturaleza de los registros integrados y su relevancia para su organización; centrarse prioritariamente en los registros de auditoría
- Deje que su SOC/CERT pruebe la interfaz; no suelen estar acostumbrados a los entornos en la nube. Compruebe que aceptan el producto y que son capaces de reconstruir fácilmente una cadena de eventos con el contexto pertinente.
Coste
Además del presupuesto, es fundamental comprender los criterios de facturación: por volumen de trabajo (qué es el volumen de trabajo), crédito por funcionalidad, usuario activo o nivel de funcionalidad...
Cada proveedor tiene su propio método, que suele ser bastante complejo, pero debes ser capaz de calcular el coste que supone la incorporación de un nuevo proyecto a tu nube. La mayoría de las soluciones ofrecen una pantalla para consultar el consumo. Comprueba los datos antes y después de la integración de la cuenta para detectar las diferencias.
Conclusión
El mercado de la seguridad en la nube está en pleno auge, con un crecimiento anual del 20-30 % previsto para los próximos cinco años. El sector de CNAPP, con una veintena de proveedores, se racionalizará (adquisiciones/fusiones) y se combinará con otros productos (DDR, CADR). Más allá del producto, es importante elegir al socio que sea capaz de evolucionar al mismo ritmo que la nube y mantener su infraestructura segura.
