¿Infraestructura? Quién la necesita. Las organizaciones modernas están reduciendo el software local tradicional y la infraestructura relacionada a favor de las ofertas de software como servicio (SaaS). El SaaS ofrece opciones atractivas y, a menudo, esenciales para reducir los gastos de capital, los gastos generales de funcionamiento y el tiempo de instalación, todo lo cual se traduce en una mayor agilidad empresarial. 

Pero el aumento de la agilidad no está exento de riesgos. Con la intención de mantener los proyectos en movimiento, muchas unidades de negocio internas adquirirán nuevas aplicaciones SaaS sin la orientación o aprobación de los equipos de TI o seguridad adecuados. Las organizaciones multiSaaS a menudo se dejan administrar, proteger e informar sobre cada servicio SaaS por separado, lo que aumenta aún más el riesgo con políticas de seguridad inconsistentes. 

Si su empresa está implementando cada vez más aplicaciones SaaS, esté atento a estos siete riesgos principales de seguridad para comprender dónde debe aplicarse la seguridad SaaS adecuada.

El correo electrónico sigue siendo el vector de amenazas más común: más del 90 % de los ciberataques exitosos comienzan con un correo electrónico de suplantación de identidad o phishing. Los ciberdelincuentes utilizan el correo electrónico de suplantación de identidad para engañar a las víctimas y hacer que entreguen cargas útiles utilizando archivos adjuntos o URL malintencionados, recopilar credenciales a través de páginas falsas de inicio de sesión o cometer fraude mediante suplantación de identidad. Pero los modernos ataques de phishing también están aumentando su sofisticación y suelen ser muy selectivos. 

Además, el phishing ha evolucionado hacia ataques basados en la nube a medida que las organizaciones continúan acelerando la adopción del correo electrónico SaaS (por ejemplo, Office 365 o G Suite) y otras aplicaciones de productividad. Las aplicaciones en la nube presentan la siguiente frontera para el phishing, ya que los usuarios necesitan autenticarse para acceder a sus cuentas y la autenticación se basa en protocolos estándares del sector, como OAuth. 

Por ejemplo, los ciberdelincuentes dirigieron a O365 ataques de phishing altamente sofisticados, como baseStriker, ZeroFont y PhishPoint, para eludir los controles de seguridad de Microsoft. Muchas pasarelas de correo electrónico seguras, como Mimecast, tampoco pudieron detener estos correos electrónicos de phishing. 

En otro caso, Gmail de Google sufrió un ataque masivo de phishing en 2017 con un correo electrónico de aspecto auténtico que pedía permiso y abría el acceso a sus cuentas de correo electrónico y documentos. El ataque aprovechó el protocolo OAuth de Google. 

Las apropiaciones de cuentas abren la puerta. 

Los ataques de apropiación de cuentas (ATO) involucran a agentes de amenazas que comprometen las credenciales corporativas de un empleado, ya sea lanzando una campaña de phishing con credenciales contra una organización o comprando credenciales en la Web Oscura debido a filtraciones de datos de terceros. Posteriormente, la entidad amenazante puede utilizar las credenciales robadas para obtener acceso adicional o aumentar los privilegios. Es posible que una cuenta comprometida permanezca mucho tiempo sin ser descubierta o que nunca sea desvelada. 

El robo de datos sigue siendo rentable independientemente de dónde se almacene. 

El riesgo de violación de datos es una de las principales preocupaciones de las organizaciones que se trasladan a la nube. La autorización de aplicaciones SaaS implica trasladar y almacenar datos fuera del centro de datos corporativo, donde el departamento de TI de la organización no tiene control ni visibilidad, pero sigue siendo responsable de la seguridad de los datos. Los datos almacenados en las aplicaciones SaaS podrían ser datos de clientes, información financiera, información de identificación personal (PII) y propiedad intelectual (IP). Por lo general, los ciberdelincuentes inician un ataque selectivo o aprovechan las malas prácticas de seguridad y vulnerabilidades de las aplicaciones para extraer datos. 

4. La pérdida de control puede dar lugar a un acceso no autorizado. 

Otro riesgo de trasladarse a la nube es que el departamento de TI ya no tiene control absoluto sobre qué usuario tiene acceso a qué datos y el nivel de acceso. Los empleados pueden eliminar accidentalmente datos, con la consiguiente la pérdida de datos, o exponer datos confidenciales a usuarios no autorizados que den lugar a fugas de datos. 

La incógnita del nuevo malware y las amenazas de día cero. 

Las aplicaciones SaaS, especialmente los servicios de almacenamiento y uso compartido de archivos (por ejemplo, Dropbox, Box, OneDrive, etc.), se han convertido en un vector de amenaza estratégico para propagar ransomware y malware de día cero. Según Bitglass, el 44 % de las organizaciones analizadas tenían algún tipo de malware en al menos una de sus aplicaciones en la nube. Los ataques que se producen en entornos SaaS son difíciles de identificar y detener, ya que pueden llevarse a cabo sin que los usuarios se den cuenta. Una ventaja del uso de las aplicaciones SaaS es que los archivos y los datos se sincronizan automáticamente en todos los dispositivos. Esto también puede ser un canal para que el malware se propague. El atacante solo tendría que subir un archivo PDF o de Office malicioso a las aplicaciones SaaS de intercambio o almacenamiento de archivos; las funciones de sincronización harían el resto.v the files and data automatically sync across devices. This can also be a channel for malware to propagate. The attacker would only have to upload a malicious PDF or Office file to the file-sharing or storage SaaS apps; the syncing features would do the rest. 

Cumplimiento y auditoría. 

Los mandatos gubernamentales, como el RGPD, y las reglamentaciones de sectores como la de atención médica (HIPAA), comercio minorista (PCI DSS) y finanzas (SOX) exigen herramientas de auditoría e informes para demostrar el cumplimiento normativo de la nube, además de los requisitos de protección de datos. Las organizaciones deben asegurarse de que los datos confidenciales estén seguros, implementar capacidades para registrar las actividades de los usuarios y habilitar pistas de auditoría en todas las aplicaciones autorizadas. 

Las amenazas internas. 

Cuando se trata de seguridad, los empleados suelen ser el eslabón más débil. Las amenazas internas no siempre se producen con intenciones maliciosas. La negligencia de los usuarios puede dar lugar a un ataque interno accidental, lo cual sigue siendo un riesgo importante para organizaciones de todos los tamaños. Este riesgo no se limita a contraseñas débiles, credenciales compartidas o portátiles extraviados o robados. Incluye los datos almacenados en la nube, donde pueden compartirse con fuentes externas y a los que a menudo se accede desde cualquier dispositivo o ubicación. 

El lado más oscuro de las amenazas internas conlleva intenciones maliciosas. Las personas con información privilegiada, como el personal y los administradores de organizaciones y proveedores de servicios de la nube o CSP, que abusan de su acceso autorizado a las redes, sistemas y datos de una organización o CSP pueden causar daños intencionados o extraer información 

Cómo asegurar las aplicaciones SaaS 

La rápida adopción del correo electrónico y las aplicaciones SaaS, junto con los continuos avances tecnológicos, ha dado lugar a múltiples opciones para garantizar tanto el correo electrónico como los datos SaaS. 

Centrados en la gran empresa, los proveedores de seguridad introdujeron Cloud Access Security Brokers (CASB) como una solución que proporciona visibilidad, control de acceso y protección de datos a través de servicios de computación en la nube utilizando una pasarela, proxy o API. 

Si bien los CASB tradicionales ofrecen capacidades sólidas para la gran empresa, esto no siempre resulta práctico para todas las organizaciones. Además de ser costosos, con implementaciones a menudo complejas, pocos CASB proporcionan seguridad de correo electrónico basado en SaaS como Office 365 Mail y Gmail, por lo que las organizaciones deben implementar y administrar controles de seguridad independientes. 

La adopción ampliada del correo electrónico y las aplicaciones SaaS en todas las organizaciones ha creado la necesidad de una solución de seguridad SaaS asequible y fácil de usar. Afortunadamente, existen algunos métodos que pueden ayudar a detener o eliminar nuevos riesgos causados por las aplicaciones SaaS.

Una ventaja del uso de las aplicaciones SaaS es que los archivos y los datos se sincronizan automáticamente en todos los dispositivos. Esto también puede ser un canal para que el malware se propague. El atacante solo tendría que subir un archivo PDF o de Office malicioso a las aplicaciones SaaS de intercambio o almacenamiento de archivos; las funciones de sincronización harían el resto.v the files and data automatically sync across devices. This can also be a channel for malware to propagate. The attacker would only have to upload a malicious PDF or Office file to the file-sharing or storage SaaS apps; the syncing features would do the rest. 

Cumplimiento y auditoría. 

Los mandatos gubernamentales, como el RGPD, y las reglamentaciones de sectores como la de atención médica (HIPAA), comercio minorista (PCI DSS) y finanzas (SOX) exigen herramientas de auditoría e informes para demostrar el cumplimiento normativo de la nube, además de los requisitos de protección de datos. Las organizaciones deben asegurarse de que los datos confidenciales estén seguros, implementar capacidades para registrar las actividades de los usuarios y habilitar pistas de auditoría en todas las aplicaciones autorizadas. 

Las amenazas internas. 

Cuando se trata de seguridad, los empleados suelen ser el eslabón más débil. Las amenazas internas no siempre se producen con intenciones maliciosas. La negligencia de los usuarios puede dar lugar a un ataque interno accidental, lo cual sigue siendo un riesgo importante para organizaciones de todos los tamaños. Este riesgo no se limita a contraseñas débiles, credenciales compartidas o portátiles extraviados o robados. Incluye los datos almacenados en la nube, donde pueden compartirse con fuentes externas y a los que a menudo se accede desde cualquier dispositivo o ubicación. 

El lado más oscuro de las amenazas internas conlleva intenciones maliciosas. Las personas con información privilegiada, como el personal y los administradores de organizaciones y proveedores de servicios de la nube o CSP, que abusan de su acceso autorizado a las redes, sistemas y datos de una organización o CSP pueden causar daños intencionados o extraer información 

Cómo asegurar las aplicaciones SaaS 

La rápida adopción del correo electrónico y las aplicaciones SaaS, junto con los continuos avances tecnológicos, ha dado lugar a múltiples opciones para garantizar tanto el correo electrónico como los datos SaaS. 

Centrados en la gran empresa, los proveedores de seguridad introdujeron Cloud Access Security Brokers (CASB) como una solución que proporciona visibilidad, control de acceso y protección de datos a través de servicios de computación en la nube utilizando una pasarela, proxy o API. 

Si bien los CASB tradicionales ofrecen capacidades sólidas para la gran empresa, esto no siempre resulta práctico para todas las organizaciones. Además de ser costosos, con implementaciones a menudo complejas, pocos CASB proporcionan seguridad de correo electrónico basado en SaaS como Office 365 Mail y Gmail, por lo que las organizaciones deben implementar y administrar controles de seguridad independientes. 

La adopción ampliada del correo electrónico y las aplicaciones SaaS en todas las organizaciones ha creado la necesidad de una solución de seguridad SaaS asequible y fácil de usar. Afortunadamente, existen algunos métodos que pueden ayudar a detener o eliminar nuevos riesgos causados por las aplicaciones SaaS. 

Shannon Emmons.
Senior Product Manager, SonicWall Inc.
Septiembre 2019