Cumplimiento de SaaS a través del marco de ciberseguridad del NIST

El marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. es una de las pautas más importantes del mundo para proteger las redes. Se puede aplicar a cualquier cantidad de aplicaciones, incluido SaaS.

Uno de los desafíos que enfrentan quienes tienen la tarea de proteger las aplicaciones SaaS son las diferentes configuraciones que se encuentran en cada aplicación. Hace que sea difícil desarrollar una política de configuración que se aplique a una aplicación de recursos humanos que gestiona empleados, una aplicación de marketing que gestiona contenidos y una aplicación de I+D que gestiona versiones de software, todo ello en consonancia con los estándares de cumplimiento del NIST.

Sin embargo, existen varias configuraciones que se pueden aplicar a casi todas las aplicaciones de la pila SaaS. En este artículo, exploraremos algunas configuraciones universales, explicaremos por qué son importantes y lo guiaremos para configurarlas de una manera que mejore la postura de seguridad de sus aplicaciones SaaS.

Comience con administradores

El control de acceso basado en roles (RBAC) es clave para el cumplimiento del NIST y debe aplicarse a todas las aplicaciones SaaS. Hay dos tipos de permisos dentro de una aplicación SaaS. El acceso funcional cubre cosas como crear cuentas y navegar por la aplicación. Los permisos de acceso a datos, por otro lado, rigen qué usuarios pueden recuperar y modificar datos. La cuenta de administrador (o la cuenta de superadministrador en algunas aplicaciones) es la más confidencial dentro de la aplicación, ya que tiene acceso completo a ambos tipos de permisos.

Para los actores de amenazas, violar una cuenta de administrador es como ganar la lotería. Tienen acceso a todo. Las organizaciones deben hacer todo lo que esté a su alcance para mantener el control sobre estas cuentas. Este control se gestiona a través de configuraciones y mejores prácticas.

Implementar redundancia limitada

Es importante tener un mínimo de dos administradores para cada aplicación. Esta redundancia dificulta que un administrador actúe solo en contra de los mejores intereses de la organización, ya que los administradores pueden monitorearse entre sí para detectar cualquier signo de infracción.

Sin embargo, cada administrador aumenta la superficie de ataque de la aplicación. Las organizaciones deben lograr un equilibrio entre tener suficientes administradores para dar servicio adecuado a la aplicación y al mismo tiempo limitar la exposición. Una revisión automatizada de la cantidad de administradores debería activar alertas cuando la cantidad de administradores esté fuera del rango preferido.

Eliminar administradores externos

Los administradores externos introducen una nueva capa de incertidumbre en la seguridad de SaaS. Debido a que se encuentran fuera de la organización, el equipo de seguridad no puede controlar las políticas de contraseñas ni las herramientas de autenticación que utilizan.

Por ejemplo, si un actor de amenazas intenta iniciar sesión en su aplicación y hace clic en Olvidé mi contraseña, no hay forma de saber si el actor de amenazas puede violar la cuenta de correo electrónico del administrador externo. Esa falta de supervisión de los usuarios externos podría provocar una violación profunda de su aplicación SaaS, razón por la cual NIST desaconseja tener administradores externos. Dependiendo de la aplicación, bloquee a los administradores externos para que no obtengan privilegios de administrador o identifique a los usuarios externos con derechos de administrador y elimine esos privilegios.

Para las empresas que contratan una empresa de TI externa o subcontratan a MSSP, esas personas no deben considerarse externas. Sin embargo, deben continuar monitoreando si otros usuarios externos reciben permisos de administrador.

Requerir MFA de administrador

Para cumplir con los estándares NIST, se debe exigir que todas las cuentas de usuarios administradores accedan a la aplicación mediante autenticación multifactor (MFA), como una contraseña de un solo uso (OTP). MFA requiere que los usuarios presenten un mínimo de dos formas de identificación antes de autenticar al usuario. Un actor de amenazas necesitaría comprometer dos sistemas de autenticación, lo que aumentaría el nivel de dificultad del compromiso y reduciría el riesgo para la cuenta. Asegúrese de configurar MFA para administradores según sea necesario (también recomendamos MFA para todos los usuarios, pero es imprescindible para los administradores).

Descargue esta lista de verificación y aprenda cómo alinear la seguridad de su SaaS con NIST

Prevenir fugas de datos

Las fugas de datos de SaaS plantean riesgos importantes para las organizaciones y sus usuarios, comprometiendo potencialmente la información confidencial almacenada en aplicaciones basadas en la nube. Las aplicaciones SaaS se comercializan como herramientas de colaboración. Sin embargo, las configuraciones que permiten a los usuarios trabajar juntos también pueden comprometer archivos y datos. El NIST, por su parte, aboga por monitorear los permisos de cada recurso.

Un calendario visible puede exponer a los empleados a ataques de phishing diseñados socialmente, mientras que los repositorios compartidos pueden hacer que el código fuente interno de una empresa se comparta públicamente. Los correos electrónicos, los archivos y los foros contienen datos confidenciales a los que el público no debería acceder. Si bien las siguientes configuraciones suelen tener un nombre diferente en cada aplicación, casi cualquier aplicación que almacene contenido tendrá este tipo de control.

Dejar de compartir en público

La diferencia entre Compartir con todos y Compartir con un usuario es profunda. Cuando los elementos se comparten con todos, cualquiera que tenga un enlace puede acceder a los materiales. Compartir con un usuario, por el contrario, agrega un mecanismo de autenticación adicional, ya que el usuario debe iniciar sesión antes de acceder al material.

Para reducir el contenido expuesto, los administradores de aplicaciones deben desactivar el uso compartido a través de URL públicas («Cualquiera que tenga el enlace»). Además, algunas aplicaciones permiten a los usuarios revocar el acceso a URL que ya han sido creadas. Cuando esté disponible, las organizaciones deben asegurarse de activar esa configuración.

Establecer invitaciones para que caduquen

Muchas aplicaciones permiten a los usuarios autorizados invitar a usuarios externos a la aplicación. Sin embargo, la mayoría de las aplicaciones no implementan una fecha de vencimiento de la invitación. En esas circunstancias, las invitaciones enviadas años antes pueden brindar acceso a un actor de amenazas que acaba de violar la cuenta de correo electrónico de un usuario externo. Habilitar una fecha de vencimiento automática en las invitaciones elimina ese tipo de riesgo.

Vale la pena señalar que en algunas aplicaciones, los cambios de configuración son retroactivos, mientras que otras solo tendrán efecto en el futuro.

Alinee su seguridad SaaS con los estándares NIST: descargue la guía completa

Fortalecimiento de contraseñas para reforzar la seguridad de las aplicaciones

Las contraseñas son la primera línea de defensa contra el acceso no autorizado. NIST aboga por una política de contraseñas sólida y bien administrada, que es esencial para proteger los datos confidenciales de los usuarios, la información comercial confidencial y los activos propietarios almacenados dentro de la infraestructura basada en la nube. La singularidad, la complejidad y la actualización periódica de las contraseñas son aspectos críticos de una postura de seguridad sólida.

Las contraseñas sirven como elemento fundamental en un enfoque de seguridad por capas, complementando otras medidas de seguridad como la autenticación multifactor (MFA) y el cifrado. Las contraseñas comprometidas pueden ser una puerta de entrada para que actores malintencionados aprovechen las vulnerabilidades en el entorno SaaS. La gestión eficaz de las contraseñas mejora la resiliencia general de los sistemas SaaS, contribuyendo a un ecosistema digital más seguro y confiable tanto para las empresas como para sus usuarios.

Prevenir ataques de pulverización de contraseñas

En un ataque de spray, los actores de amenazas ingresan un nombre de usuario y términos de contraseña comunes, con la esperanza de tener suerte y acceder a la aplicación. Requerir MFA es la forma recomendada de prevenir ataques de pulverización de contraseñas. Para aquellos que no insisten en que los empleados utilicen MFA como parte del proceso de autenticación, muchas aplicaciones permiten a las organizaciones prohibir el uso de palabras como contraseñas. Esta lista de palabras incluiría términos como contraseña1, letmein, 12345 y los nombres de los equipos deportivos locales. Además, incluiría términos como el nombre del usuario, productos de la empresa, socios y otros términos comerciales.

Acceder a las configuraciones y agregar una lista personalizada de palabras prohibidas puede reducir significativamente el riesgo de un ataque de pulverización de contraseña exitoso.

Complejidad de la contraseña

La mayoría de las aplicaciones SaaS permiten a la organización personalizar la complejidad de las contraseñas. Estos van desde permitir cualquier contraseña hasta requerir caracteres alfanuméricos, letras mayúsculas y minúsculas, símbolos o una longitud de contraseña. Actualice los requisitos de contraseña en la aplicación para que coincidan con la política de su organización.

Si su organización no tiene una política de contraseñas, considere seguir las pautas del NIST:

No realice cambios de contraseña obligatorios, ya que los usuarios tienden a elegir contraseñas fáciles de recordar.
Utilice contraseñas largas en lugar de complejas. Las combinaciones de números, caracteres especiales y caracteres en minúsculas/mayúsculas suelen seguir un formato como este: Contraseña1!. Estos son fáciles de usar con fuerza bruta. Una contraseña larga como MyFavoriteDessertIsPecanPie es fácil de recordar, pero con 27 caracteres, es difícil usar fuerza bruta.
Limite los intentos de contraseña a no más de 10.
Compare las contraseñas con las publicadas y otras palabras fáciles de adivinar con una lista de palabras prohibidas.

Las configuraciones realmente importan

Aproximadamente el 25 % de todos los incidentes de seguridad relacionados con la nube comienzan con una configuración mal configurada. Además de las mencionadas aquí relacionadas con el acceso, las contraseñas y las fugas de datos, que son bastante universales, se utilizan configuraciones para la administración de claves, seguridad móvil, resiliencia operativa, protección contra phishing, protección contra SPAM y más. Las configuraciones incorrectas en cualquiera de esas áreas pueden conducir directamente a infracciones.

Puede parecer poco probable que los actores de amenazas dediquen su tiempo a buscar errores de configuración que puedan explotar. Sin embargo, eso es exactamente lo que hizo el grupo patrocinado por el estado ruso Midnight Blizzard cuando violó Microsoft este año. Si pueden ocurrir errores de configuración en Microsoft, vale la pena revisarlos para asegurarse de que todas sus aplicaciones estén seguras.

Vea cómo puede aplicar los estándares NIST a su pila SaaS

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

El Parlamento Europeo adopta la Ley de IA

Georgina Verbaan es criticada tras extraña aparición en televisión: ‘¡Qué payaso!’

Colaboraciones del diseñador de destino Isaac Mizrahi Ensayo de Anna Sui

¡Mira EN VIVO el partido Borussia Dortmund – PSV Eindhoven! (Comentario en vivo del partido Borussia Dortmund – PSV Eindhoven) Liga de Campeones de la UEFA