INTELIGENCIA ARTIFICIAL

Microsoft Defender for Cloud obtiene más capacidades multinube

El logotipo de Microsoft 365 Defender en su computadora.Imagen: monticello/Adobe Stock

Según la Encuesta sobre el estado de la nube de 2023 de Flexera, casi el 90 % de las empresas utilizan más de un proveedor de nube pública. Para los usuarios de la nube empresarial, la administración de cargas de trabajo de múltiples nubes es el segundo mayor desafío después de la administración de los costos de la nube. Microsoft Defender for Cloud está diseñado para ayudar con esto.

Las organizaciones ya pueden usar Microsoft Defender for Cloud para monitorear la configuración de seguridad en AWS, Google Cloud Platform y Azure. A partir del 15 de agosto de 2023, las empresas también podrán identificar riesgos de seguridad y rutas de ataque, escanear secretos y descubrir datos confidenciales almacenados en Google Cloud. Estas capacidades de gestión de la postura de seguridad en la nube, que anteriormente solo estaban disponibles en AWS y Azure, ahora estarán disponibles en las tres nubes principales. Microsoft Defender for Cloud incluso habilita automáticamente las mejores prácticas para varios estándares clave en AWS, Azure y ahora GCP.

Salta a:

Obtenga una línea de base con Microsoft Cloud Security Baseline

«Muchos de nuestros clientes no tienen una sola nube, eso es realmente raro», dijo a Tecnopedia Raviv Tamir, vicepresidente de estrategia SIEM y XDR en Microsoft. «La mayoría de los clientes eligen nubes múltiples porque quieren distribuir el riesgo. Pero el problema es aplicar políticas a través de (estas nubes) de manera consistente».

Para ayudar con esto, Microsoft convirtió su Azure Security Baseline en una herramienta multiplataforma y la renombró como Microsoft Cloud Security Baseline. Tamir explicó que el MCSB combinó las recomendaciones del Centro para la Seguridad de Internet, el Instituto Nacional de Estándares y Tecnología y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).

Debe leer el informe de seguridad

«Esta es una línea de base que intenta reconciliar estos tres estándares, cubre todas las partes técnicas y luego le dice: ¿Cómo se compara con Azure, cómo se compara con AWS? Con el nuevo conector GCP, también podemos alinearlo con GCP para que pueda obtener las tres nubes de hiperescala a la vez».

Si bien la cobertura comparativa de GCP está en versión preliminar pública, puede agregar su entorno de GCP a Microsoft Defender para la nube y obtener una supervisión de recursos gratuita al habilitar automáticamente estas prácticas recomendadas.

«Tenemos una línea de base central porque puede crear políticas, pero incluso traducir eso en estos controles es complicado porque ¿qué significa[para cada nube]? Así que estamos tratando de quitárselo de encima, estamos centralizando la creación de políticas». .»

Encuentre vulnerabilidades y prediga ataques utilizando una base de datos de gráficos

Microsoft ha argumentado durante mucho tiempo que los defensores piensan en su inventario de activos, mientras que los atacantes piensan en un gráfico de cómo se conectan los sistemas para que puedan pasar de las vulnerabilidades iniciales a servicios más valiosos.

Con el conector de GCP, Microsoft Defender for Cloud puede crear una base de datos gráfica de todo lo que hay en la nube en AWS, Azure y Google Cloud. Luego puede explorarlo para comprender qué datos tiene y dónde podría estar bajo ataque. Tamir llama a esto una «postura de seguridad consciente de los datos» que puede encontrar y proteger datos confidenciales.

Agregó: «Tomamos todos los datos que podemos obtener de un depósito de GCP y los alineamos con los activos en el gráfico. Todos sus activos, inventario, vulnerabilidades y configuraciones ahora están vinculados y conectados a los activos en el gráfico. «

Los datos se escanean en busca de datos confidenciales que no desea que se pierdan en una filtración de datos (por ejemplo, detalles de tarjetas de crédito, números de seguro social y cualquier tipo de información personalizada que haya definido en Microsoft Purview). «Estamos utilizando el etiquetado de datos desde el lado DLP (prevención de pérdida de datos), por lo que puede usar la misma estrategia para el etiquetado», explicó. «Cuando miramos estos datos, también escaneamos y etiquetamos todo lo que vemos. Nuevamente, esa es otra gran capa para agregar al gráfico».

Su servidor en la nube y el contenedor de administración de vulnerabilidades de Defender (si corresponde) (Figura A) también busca secretos que no debe almacenar en la nube (es decir, credenciales como claves privadas SSH, claves de acceso y cadenas de conexión SQL) y vulnerabilidades conocidas. Esto no afecta el rendimiento de estas cargas de trabajo. «Para completar ese gráfico, también realizamos un escaneo sin agentes porque necesitamos analizar todos los registros y todos los datos entrantes para enriquecer el gráfico», explicó Tamir.

Figura A

La información del gráfico de seguridad muestra que tiene un contenedor críticamente vulnerable que ejecuta un pod de Kubernetes al que se puede acceder desde Internet.La información del gráfico de seguridad muestra que tiene un contenedor críticamente vulnerable que ejecuta un pod de Kubernetes al que se puede acceder desde Internet.Imagen: Microsoft

Agregó: «Todo va a una base de datos, y puede consultar esa base de datos. Le brindamos una buena vista interconectada de todo lo que tiene».

Reunir información dispar como esta puede ayudarlo a evaluar el alcance del problema. Si hay una vulnerabilidad en una máquina virtual que puede acceder a servicios como Azure Key Vault, debe priorizar la reparación de esa vulnerabilidad. Del mismo modo, si la vulnerabilidad se encuentra en un sistema que no tiene acceso a las credenciales pero tiene datos confidenciales, también debería preocuparse por ello.

Análisis de ruta de ataque

Explorar el gráfico como defensor le permite ver todos sus recursos como un atacante, pero no todos saben qué buscar, por lo que Microsoft está creando herramientas para ayudar a los equipos de seguridad a priorizar lo que debe corregirse, el primero es el análisis de la ruta de ataque (Figura B).

Figura B

El análisis de la ruta de ataque indicó que un atacante podría obtener acceso a una máquina virtual expuesta a Internet debido a su vulnerabilidad de alta gravedad y a través de muchos otros sistemas para llegar al depósito.El análisis de la ruta de ataque indicó que un atacante podría obtener acceso a una máquina virtual expuesta a Internet debido a su vulnerabilidad de alta gravedad y a través de muchos otros sistemas para llegar al depósito.Imagen: Microsoft

«Sin ningún tipo de sondeo, solo en función de todos los datos que hemos acumulado en el gráfico, esto le indica el conjunto de posibles ataques y luego le mostramos cuál es el impacto de este ataque porque tiene un conjunto vulnerable de máquinas virtuales que usted puede acceder al almacenamiento de claves, etc. «Podemos decirle cuál es el resultado potencial, lo que puede ayudarlo a concentrarse en cosas más importantes», señaló Tamir. «En el futuro, esta será la base para que podamos juzgar dónde ocurrirá el ataque, y no solo dónde está el ataque ahora. «

Proteja el almacenamiento en la nube con un nuevo análisis de malware

No solo desea evitar que los atacantes ingresen a su almacenamiento en la nube, sino que también desea evitar que introduzcan malware en su almacenamiento.

Tradicionalmente, el almacenamiento en reposo no se escanea en busca de malware porque se supone que el malware no puede ejecutarse mientras está en el depósito; si termina en un punto final donde puede ejecutarse, las defensas allí lo atraparán. Tamir advierte que Microsoft Defender for Cloud puede proteger todo tipo de dispositivos, pero no es suficiente para mantenerlo a salvo.

Un cliente permite que sus usuarios carguen información para que los agentes de soporte la vean para ayudarlos. “El agente mira la información de inmediato, por lo que pasa muy poco tiempo en el cubo antes de que realmente se use, y los autores de malware lo usan como una forma de distribuir su malware”, señaló Tamir.En este caso, se trata de software de ransomware. «

El gobierno de datos en otras organizaciones tiene reglas de cumplimiento como NIST y SWIFT, lo que significa que tienen que escanear todos los datos, pero no en tiempo real. «Han estado haciendo un escaneo perezoso, han tenido que construir todo tipo de su propia infraestructura y extraer los datos como una máquina virtual, escanearlos e intentar volver a colocarlos. Podemos hacer eso por ellos», Tamir dijo. : Podemos hacerlo más rápido, podemos hacerlo sin comprometer el rendimiento y, de hecho, podemos hacerlo en la carga».

El nuevo análisis de malware en Defender for Storage solo está disponible para Azure Blob Storage y estará disponible como complemento opcional de Defender for Storage a partir del 1 de septiembre por 0,15 USD por GB de datos escaneados.

«No se trata solo de escaneo de archivos, hashing, IOC[indicadores de compromiso]; en realidad estamos haciendo un escaneo polimórfico”, dijo Tamir. Si bien el escaneo de malware está automatizado y se entrega como un servicio en lugar de una infraestructura que tiene que administrar, pero puede seguir eligiendo lo que sucede cuando se detecta malware. Agregó: «Puedes decidir si solo quieres que te digamos que esto es malo, o si quieres que actuemos de verdad, o si quieres actuar en otro lugar».

Qué sigue para Microsoft Defender para la nube

guardia de almacenamiento

El próximo paso para el análisis de malware en Defender for Storage será analizar los archivos con mayor frecuencia, no solo cuando se cargan, en busca de malware identificado posteriormente. «Estamos encontrando más cadenas de malware polimórfico todos los días”, dijo Tamir. La escala del almacenamiento en la nube hace que esto sea un desafío. «Estos son cubos realmente enormes;[si]los escanea regularmente, nunca podrá leerlos todos, por lo que necesitamos encontrar una forma inteligente de escanearlos, ya sea en el acceso o en otros disparadores».

Cómo pueden ayudar la inteligencia artificial y la automatización

Hay incluso más oportunidades para proteger a los clientes utilizando la información de los gráficos creados por Defender for Cloud, lo que facilita evitar errores al proteger sus ajustes de configuración y seguridad, y más.

«En general, dentro de los (productos) de Microsoft, tenemos muchos lugares donde necesitamos tener políticas, pero no hay suficiente coordinación entre ellos», señaló Tamir. «Si configuro políticas de DLP, quiero que se establezcan de forma centralizada en un solo lugar, tal vez Microsoft Purview. Luego, quiero que se transfiera a todos mis activos y cada punto de cumplimiento que tenga debería ceder a esa política, no es que tenga para crear estas políticas solo».

Sugirió que no solo esperaría menos trabajo para aplicar estas políticas, sino que, en lugar de verificar y aplicar manualmente la línea de base de seguridad correcta, la automatización y la inteligencia artificial podrían hacer más del trabajo de establecer las políticas correctas en primer lugar.

Tamir agregó: «Con la nube, las personas comenzaron de la manera correcta, dijeron que no nos ocupáramos de la brecha posterior, sino que estableciésemos la configuración correcta desde el principio, ¡y luego descubrimos que el problema de configuración era igual de grande!»

“Todos hablan sobre el concepto completo de cambiar a la izquierda; todavía tenemos muchos pasos manuales, mucho razonamiento para la gente”, dijo Tamir. «Creo que una revolución debe dividirse en dos partes. Una, las cosas que están controladas por la automatización deben ser más que las cosas que están controladas por humanos; la automatización es muy importante aquí porque la densidad de la información es imposible». integrar Inteligencia humana añadida a la automatización. “Creo que este será un muy buen desafío para cosas como la IA generativa porque pueden razonar sobre cosas complejas porque se ven iguales, pero no son necesariamente iguales”, dijo Tamir.

Tamir concluye: «Cuando la gente me pregunta, ¿puedo tomar conjuntos superpuestos de cumplimientos y decirme qué tienen en común todos estos cumplimientos y qué debo hacer para hacerlo? El problema se presta bien a herramientas como la inteligencia artificial generativa .»

LEER  Análisis del 'genoma': aumente las ventas encontrando a los clientes más rentables

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba