CCSK- 06 Securing Cloud Security Operations en Español

by | Jul 11, 2020 | Blog, Cloud

Como escoger un cloud provider?

(La verdad esto solo divide a los chicos de los grandes porque todos los grandes deben cumplir)

  1. El trabajo se puede compartamentalizar
  2. Tiene security policies definidas
  3. Sus auditorias son públicas
  4. Contrato bien definido
  5. BC/DC policies definidas
  6. Configuration y patch management
  7. Robusta y documentada API
  8. Y en general si priorizan la seguridad.

Cuando revisas las auditorias te tienes que fijar en:

  1. El Scope y el timeframe
  2. Que lo que vas a usar este cubierto
  3. Quien esta auditando (si es bueno o no)

Incident Response en la nube

  1. Cambian los riesgos, especialmente las probabilidades (un DoS es casi imposible pero el management plane lo tienes que revisar ahora)
  2. Lo que le afecte a tu provider te va a afectar a ti
  3. Tus prioridades y las del cloud provider son diferentes (por ejemplo si te usan para atacar a otros, simplemente te bloquearan en lo que descubren que paso ja)

IR lifecycle 

Preparation

  1. Checar el data lifecycle
  2. Entender los SLA y los contratos (quien es responsable de que)
    1. A quien contactar con out-of-band authentication
    2. Que hacer en caso de incidente
  3. Cloud jump kit (que hacer en caso de incidente y lo más automático posible)
  4. Architect para faster detection, investigation y remediation (Inmutable, infrastructure as a code siempre ayudan)
  5. Prueba el plan y todo lo demás. No debes probar a la hora de un incidente, debes probar antes! 

Detection y Analysis

  1. Todo depende del acceso a la información (donde estan tus logs y asegurarte que los hayas configurado)
  2. Tu visibilidad es limitada ( no vas a poder sacar el hard drive de una maquina para analizar)

Containment, eradication y recovery

  1. Siempre empieza la investigación en el management plane
  2. El cloud provider le dará prioridad “a todos” sobre ti en osea en caso de que te esten usando para atacar, primero te bloquearan y luego preguntarán que paso.
  3. Tu eres responsable de todo el proceso no el cloud provider
  4. Puedes simplemente clonar todo y volver a empezar en caso de emergencias
  5. Idealmente el provider debe tener la capacidad de ayudarte (te va a cobrar un chingo) pero la capacidad debe estar ahí.

Post-Morten

  1. Es el que más se parece a la infraestructura clásica, pero hay que prestarle más atención al management plane y a tu relación y comunicación con el cloud provider

SECaaS

Security as a service: Producto o servicio de seguridad que se maneja desde la nube y cubre las características de NIST. (The NIST definition lists five essential characteristics of cloud computing: on-demand self-service, broad network access, resource pooling, rapid elasticity or expansion, and measured service.)

Ejemplos:

  1. IAM services (como federation identity brokers, MFA, )
  2. CASB (cloud access security broker)
  3. Web security gateway (web  filtering)
  4.  Email security (phishing, spam, malware)
  5. Security assessments (vuln scans, cloud platform configuration)
  6. WAF
  7. Encryption y key management
  8.  SIEM (Security information and event management)
  9. BC/DR