AWS re:Inforce. Cuando la ciberseguridad no son sólo soluciones

AWS celebró la semana pasada en la ciudad norteamericana de Filadelfia su evento AWS re:Inforce centrado exclusivamente en la ciberseguridad. El mayor proveedor cloud del mundo abarca todos los aspectos que conforman los entornos cloud y la ciberseguridad es una de las patas más importantes sobre las que se sustenta su estrategia. Y en este apartado, la multinacional, más que vender sus soluciones, quiere hacer de “influencer” entre sus clientes para que abracen una cultura de la ciberseguridad. Al final, se trata de una estrategia simbiótica: los clientes están protegidos y esa protección permite aumentar la confianza en las soluciones y servicios de AWS.

La compañía cree que cualquier empresa debe implementar la seguridad desde el inicio, de la misma forma que se hace en AWS. Desde la compañía consideran que las empresas sí tienen una buena estrategia relacionada con la ciberseguridad, aunque todavía se puede mejorar. Tal y como expresó el CISO de AWS, Chris Betz, en un encuentro con la prensa especializada, entre los que se encontraba Byte TI, “muchas empresas tienen culturas de seguridad realmente sólidas, y sé que hay cosas en las que se puede seguir invirtiendo. La ciberseguridad, al igual que ocurre en AWS debe ser una de las máximas prioridades y ésta será más fuerte si se tiene una cultura de la ciberseguridad adecuada. Nosotros realizamos grandes inversiones en ciberseguridad, algo que se lleva por defecto en cualquier producto o servicio que desarrollados. La ciberseguridad es algo en lo que creo que todos debemos seguir invirtiendo en todas nuestras funciones”.

Durante la keynote principal del evento, Steve Schmidt, CSO de Amazon también incidió en la importancia de desarrollar una cultura de la coberseguridad: “La necesidad de una sólida cultura de la seguridad, que debe ser una tarea de todos. Es importante tener un modelo distribuido como clave para escalar en las herramientas y mecanismos necesarios”. Schmidt se centró, también en una de las tecnologías que prometen marcar el mercado de la ciberseguridad en los próximos meses como es el de la Inteligencia Artificial. El responsable de ciberseguridad del gigante del comercio electrónico ya anticipó hace unos años que el aprendizaje automático y la IA transformarían rápidamente la forma de trabajar de los profesionales de la seguridad. “En Amazon, hemos estado construyendo las soluciones de IA de seguridad durante muchos años. Esta tecnología nos ayuda a cubrir más terreno de seguridad con una mayor rapidez y eficacia. Seamos sinceros, ¿quién ha dicho alguna vez: «Tengo recursos de sobra y ya he terminado con la seguridad de todas las cosas? Simplemente es algo que no ocurre. En la nube, las cosas se mueven muy rápido y el cambio es constante. La IA nos ayuda a a adaptarnos a esa velocidad”.

La IA generativa supondrá un paso adelante más. En este sentido, Schmidt puso como ejemplo AI Security Scoping Matrix, un marco para ayudar a los clientes a definir los requisitos de seguridad de sus proyectos de IA. “La matriz proporciona visibilidad a aplicaciones de seguridad únicas para aplicaciones habilitadas para IA y destaca las áreas en las que, como desarrollador, debe pensar en relación con la gobernanza y la conformidad, la privacidad y los aspectos legales, la gestión de riesgos, los controles de seguridad y la resiliencia general, tanto si utiliza un servicio público de IA generativa como un modelo de autoformación o un punto intermedio”, afirmó.

Y ¿qué va a suponer la IA en esa cultura de la ciberseguridad? Para el CSO de Amazon el mayor reto de la ciberseguridad viene cuando una nueva tecnología se hace accesible para todos. “En ese momento, se produce un impacto en la cultura de la ciberseguridad. Y aquí viene un problema porque se desarrollan rápidamente profundos conocimientos sobre la seguridad de la IA, pero como la mayoría de las especializaciones, las organizaciones empiezan con un número limitado de personas que pueden resolver directamente estos retos. Y encontrar talentos en IA es difícil. Encontrar talentos en seguridad es difícil. Encontrar el talento en ambas especialidades es aún más difícil. Debido a esto, existe la tentación de poner puertas para asegurar que las pocas personas que tienen esa experiencia tengan los ojos puestos en todo el trabajo que está sucediendo”. La solución a esta problemática es, según puso de manifiesto implementar algún tipo de guardarraíles que ayuden a los equipos de seguridad a innovar de forma más rápida. “Con los guardarraíles adecuados, los investigadores y desarrolladores pueden explorar con seguridad todas las capacidades de los sistemas de IA generativa. Esta es la idea de un mercado en el que se puedan realizar pruebas rápidas, errar e innovar”, afirmó.

En este área de la inteligencia artificial, AWS presentó AWS Audit Manager con la que la multinacional renueva el marco de mejores prácticas de IA generativa proporcionando ahora visibilidad del uso de la IA generativa del cliente en Amazon SageMaker, además de Amazon Bedrock. El marco de AWS incluye 110 controles en áreas como gobernanza, seguridad de datos, privacidad, gestión de incidentes y planificación de la continuidad empresarial. En este sentido, Mark Terenzoni, Director de gestión de riesgos de AWS, cree que la IA, sobre todo, la generativa va a suponer un antes y un después. “Creo que es una gran oportunidad para que los equipos de seguridad nos ayuden a subir el listón y también obtener una gran cantidad de eficiencia y capacidad. Y lo digo porque lo estamos haciendo en la seguridad de AWS y vemos, por ejemplo, cómo nuestros equipos, están utilizando Bedrock de forma muy específica para acelerar el triaje y la investigación de problemas de seguridad”.

En AWS re:Inforce la compañía presentó AWS Audit Manager con la que la multinacional renueva el marco de mejores prácticas de IA generativa

Asimismo, ha presentado AWS CloudTrail Lake una nueva generación de consultas en lenguaje natural con IA generativa que permite que los departamentos de ciberseguridad puedan analizar más fácilmente sus eventos de actividad de AWS en CloudTrail Lake sin tener que escribir complejas consultas SQL. De esta forma se pueden hacer preguntas sobre la API de AWS y la actividad de los usuarios, como “¿Cuántos errores se registraron durante la semana pasada para cada servicio y cuál fue la causa de cada error?” o “¿Enséñame todos los usuarios que iniciaron sesión utilizando la consola ayer?” A partir de ahí, AWS CloudTrail generará una consulta SQL, que puede ejecutar tal cual o ajustar para satisfacer su caso de uso.

Los servicios como punta de lanza

Al final, el negocio de AWS se encuentra en los servicios. Se trata de la parte del negocio gracias a la cual los clientes pueden crear, implementar y operar sus cargas de trabajo en AWS. Ahí también se encuentra toda la organización de soporte de AWS, incluidos los servicios gestionados de AWS, que además es donde residen los gestores de cuentas técnicas. Hart Rossman, VP de servicios globales de ciberseguridad de AWS es el responsable de este área y de otra, quizá más importante aunque no aparezca en su cargo oficial como es el de la formación. En este papel, este directivo ayuda a las líneas de negocio a que el listón de la ciberseguridad no decaiga y que las soluciones de seguridad de cara al cliente son las mejores para nuestros clientes. En ese papel, la formación en ciberseguridad es un pilar fundamental dentro de la estrategia de la compañía, tanto a nivel interno como con los partners y clientes. Tal y como explicó durante el transcurso de una entrevista con Byte TI durante re:Inforce, “cada uno de nuestros cursos de formación lleva incorporada la seguridad. Pensamos en ella como un tema horizontal o perenne. Uno de nuestros objetivos es el de tratar de proporcionar de forma continua y permanente formación sobre seguridad y contenidos, ya sea a través de certificaciones individuales, como arquitecto de soluciones o científico de datos. Puede ser en el programa de búsqueda de la nube o a través de nuestros retos interactivos. Siempre hay un trasfondo de seguridad. Tenemos formación sobre seguridad y respuesta a incidentes en la nube. Tenemos una formación avanzada y una certificación como profesional de la seguridad. Y luego tenemos entornos de desafío dedicados donde no sólo se aprenden los servicios de AWS y sus mejores prácticas, sino que también se trata de la tecnología de nuestros socios, de tal forma que ofrecemos una gran oportunidad para adquirir experiencia en un entorno integrado”.

Uno de los problemas, que sobre todo afecta a las pequeñas empresas es que creen que toda la seguridad corre a cuenta del proveedor cloud. Aunque es una situación que tiende a reducirse, en AWS tienen claro que es un problema que tienen la obligación de aclarar a los clientes. Tal y como expresó Rossman, “nunca queremos encontrarnos en una situación en la que el cliente espere que hagamos algo que no hacemos. Nosotros siempre estamos buscando oportunidades para mostrar las mejores prácticas que hemos aprendido en AWS y exponerlas a los clientes a través de servicios y API fáciles de usar. Con ello se reduce la barrera para este tipo de empresas que no tienen suficiente personal o recursos, o que tal vez su enfoque y prioridades se encuentren en otra área. Queremos que estén seguros y protegidos con AWS, y queremos que tengan una forma sencilla de conseguirlo”.

Un ejemplo de esto que afirma Rossman son las mejorar que han introducido en IAM Access Analyzer que ahora ofrece recomendaciones procesables que guían a los clientes a solucionar el problema de los accesos no utilizados. “El objetivo final es que a esos clientes les resulte fácil conseguir la seguridad adecuada y al mismo tiempo, diferentes clientes se comprometan con la seguridad de diferentes maneras”, concluyó Rossman.

El problema de los accesos

La compañía, no sólo ha introducido mejoras en IAM Access Analyzer. También lo ha hecho en AWS Identity and Access Management (IAM). Las empresas tienen una problemática compleja con respecto a la gestión de indentidades y accesos, así que la multinacional del cloud ha incorporado en esta solución passkey como segundo factor de autenticación para proporcionar inicios de sesión más sencillos y seguros en todos los dispositivos del usuario. Basadas en los estándares FIDO, las passkeys utilizan criptografía de clave pública, que permite una autenticación sólida y resistente a la suplantación de identidad, más segura que las contraseñas. Ahora IAM le permite proteger el acceso a las cuentas de AWS mediante claves de paso para la autenticación multifactor (MFA) con soporte para autenticadores integrados, como Touch ID en los MacBooks de Apple y el reconocimiento facial Windows Hello en los PC. Las claves de acceso se pueden crear con una clave de seguridad de hardware o con el proveedor de claves de acceso que elijas utilizando tu huella dactilar, tu cara o el PIN de tu dispositivo, que se puede sincronizar con todos tus dispositivos para iniciar sesión en AWS. Esta capacidad amplía la funcionalidad de autenticación multifactor (MFA) existente para incluir claves de acceso como segundo factor. La compatibilidad con claves de acceso en IAM es una nueva característica que ayuda a mejorar la usabilidad y recuperabilidad de MFA. Puede utilizar una gama de métodos MFA de IAM compatibles, incluidas las claves de seguridad certificadas por FIDO para reforzar el acceso a sus cuentas de AWS.

La fortaleza del partner

Por muy buena tecnología que se tenga, no se llega a dominar el mercado cloud si no se apoya en los socios y partners. Así que Ryan Orsi, responsable del Centro de Excelencia de Socios de Servicios Avanzados y Fundamentos de la Nube de AWS, puede considerarse uno de los que debe jugar uno de los papeles primordiales en la multinacional. Su división está conectada a la fuerza de ventas AWS. Orsi observa que “en muchas de las conversaciones que los técnicos de esos partners mantienen directamente con nuestros clientes, se encuentran con diversos desafíos. Esos desafíos, cuando entran en las ocho categorías de las que soy responsable [seguridad e identidad, resiliencia, operaciones en la nube, Edge, informática avanzada, redes, informática de usuario final y DevOps], se canalizan a mi equipo. Los analizamos y buscamos temas, y encontramos retos tecnológicos, retos de procedimiento, incluso retos de nivel de comprensión. A partir de ahí, diseñamos lo que llamamos un caso de uso. Para la seguridad, en concreto, tenemos 128 casos de uso y estamos añadiendo múltiples cada semana”.

Se trata de ir por delante del ciberdelincuente. Orsi, asegura que la tradicional afirmación de que “el malo va siempre por delante” no siempre se cumple. En su opinión, “sólo es cuestión de hacer llegar las tácticas, técnicas y procedimientos de defensa al resto de los defensores con la suficiente rapidez. Esa es la clave”.

Esa rapidez es la que AWS pretende obtener con la nueva solución presentada en re:Inforce. Se trata de Amazon GuardDuty Malware Protection para Amazon S3. Se trata de una expansión de GuardDuty Malware Protection que permite escanear objetos recién subidos a los buckets de Amazon S3 en busca de malware potencial, virus y otras cargas sospechosas y tomar medidas para aislarlos antes de que se ingieran en los procesos posteriores.

Asimismo, la función de inserción de servicios de AWS Cloud WAN agiliza la integración de servicios de red como cortafuegos, sistemas de detección/prevención de intrusiones y otros dispositivos en su red global. A medida que la red crece, la sobrecarga de gestión no lo hace. La inserción de servicios AWS Cloud WAN soporta casos de uso y arquitecturas comunes, tanto si los clientes inspeccionan el tráfico Cloud WAN que fluye entre VPCs, entre regiones de AWS, desde sus instalaciones a una VPC, y desde sus VPCs o instalaciones a Internet.