ClickCease Mantenga los servicios en la nube conformes con FedRAMP y evite cuantiosas multas - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Mantenga los servicios en nube conformes con FedRAMP y evite cuantiosas multas

10 de noviembre de 2020 - Equipo de RRPP de TuxCare

Mantenga los servicios en nube conformes con FedRAMP y evite cuantiosas multasEn la actualidad, los delincuentes siguen atacando a las organizaciones gubernamentales. Junto con el aumento de la tecnología de ataque, los ataques dirigidos contra objetivos gubernamentales casi se duplicó en 2019 con respecto a 2017. En particular, se han producido aumentos significativos tanto en las actividades de reconocimiento como en los ataques a aplicaciones específicas. A ello ha contribuido el aumento de los servicios prestados por Internet para ayudar a los ciudadanos a obtener asistencia regional o local. Por desgracia, esas mismas aplicaciones habilitadas para Internet han proporcionado oportunidades adicionales a los atacantes y han dado lugar a grandes filtraciones de datos que han afectado a organismos federales y estatales de Estados Unidos.

 

Contenido:

  1. Aplicaciones heredadas sin parches en el sector público
  2. ¿Qué es FedRAMP?
  3. FedRAMP es crucial para los proveedores de nube que prestan apoyo a las agencias federales
  4. Uso de KernelCare para cumplir las normas FedRAMP
  5. Conclusión

 

Aplicaciones heredadas sin parches en el sector público

Aplicaciones heredadas sin parches en el sector público

Junto con los ataques a las aplicaciones, las administraciones locales han experimentado un impacto significativo de los ataques de denegación de servicio (DoS) y ransomware. Estos ataques pueden ser difíciles de ocultar a los clientes, y las oficinas gubernamentales más pequeñas rara vez tienen los recursos disponibles para hacer frente a interrupciones significativas.

 

Para ayudar a los gobiernos a hacer frente a las numerosas amenazas de origen estatal dirigidas contra ellos, la nube ofrece tecnología para ejecutar servicios fiables y escalables con los controles de acceso y las herramientas de supervisión necesarios para el cumplimiento de la normativa. Las herramientas están a disposición de las agencias gubernamentales (y otros clientes empresariales), pero suelen utilizarse de forma inadecuada o configurarse incorrectamente. Estos errores se consideran errores humanos, pero los errores humanos son responsables de algunas de las mayores violaciones de datos hasta la fecha. 

 

Los servicios de alojamiento en la nube que cumplen la normativa tienen una responsabilidad compartida, lo que significa que el proveedor de la nube te proporciona todas las herramientas necesarias para proteger tus datos, pero es tu responsabilidad configurar estos servicios adecuadamente. Como puedes imaginar, los administradores que no estén familiarizados con el funcionamiento de las herramientas en la nube podrían cometer fácilmente un error crítico en las configuraciones de seguridad. Un reciente informe de 2020 informe mostraba que 30.000 millones de registros quedaron expuestos en los últimos dos años debido a errores de configuración de la nube.

 

No sólo los errores de configuración son un problema para los administradores de la nube, sino que el software obsoleto es habitual en los sistemas gubernamentales. Es notorio que los gobiernos tienen aplicaciones heredadas que se ejecutan in situ. Muchos proveedores de servicios en la nube (por ejemplo, Google Cloud Platform) ofrecen servicios de migración de aplicaciones heredadas para mejorar la capacidad informática de software obsoleto, pero muchos organismos siguen utilizando tecnología local obsoleta que cuesta miles de millones de dólares a los contribuyentes. A informe de la Oficina de Rendición de Cuentas del Gobierno de EE.UU. (GAO) descubrió que algunas agencias gubernamentales utilizan tecnología de hace décadas (por ejemplo, disqueteras). Aún más preocupante es que la GAO descubrió que 12 agencias gubernamentales utilizaban sistemas operativos sin soporte. El software obsoleto y sin soporte ya no recibe parches de seguridad, lo que lo convierte en un blanco perfecto para los ciberdelincuentes.

 

Un ejemplo ejemplo de lo que puede ocurrir con un software sin parches es el software de pago Click2Gov utilizado como portal de pago de autoservicio alojado localmente por varias agencias gubernamentales estadounidenses. En 2017 se descubrió que el software era vulnerable y se desplegaron parches, pero los hackers lograron comprometer a varias agencias gubernamentales atacando versiones no parcheadas del software Click2Gov. A raíz de ello, residentes de varios condados estadounidenses fueron víctimas de fraude de identidad al venderse su información en mercados de la darknet.

 

 

¿Qué es FedRAMP?

¿Qué es FedRAMP?

El Programa Federal de Gestión de Riesgos (FedRAMP, por sus siglas en inglés) se creó para responder a la preocupación de que las agencias gubernamentales utilizaban recursos en la nube, pero los controles inadecuados dejaban los datos públicos expuestos a los atacantes. En primer lugar, establece que sólo los proveedores de servicios en la nube con aprobación FedRAMP pueden trabajar con agencias gubernamentales. La aprobación requiere una larga lista de controles de seguridad y características de privacidad de datos para proteger la información de identificación personal (IIP).

 

Un proveedor en nube con centros de datos que no cumplan las normas FedRAMP no puede alojar datos del gobierno federal y, por tanto, podría estar perdiendo ingresos. Otros problemas de cumplimiento también podrían interferir con otros clientes, como la sanidad (HIPAA) o el comercio electrónico (PCI-DSS), pero los controles de seguridad de FedRAMP se solapan con muchas de las otras normas de cumplimiento importantes para los proveedores de alojamiento en la nube.

 

 

FedRAMP es crucial para los proveedores de nube que prestan apoyo a las agencias federales

FedRAMP es crucial para los proveedores de nube que prestan apoyo a las agencias federales

 

FedRAMP es un proceso riguroso y requiere estrictas protecciones de ciberseguridad para permanecer autorizado como proveedor aprobado. Los proveedores debenollow NIST SP 800-53 que es un marco de ciberseguridad que define la forma en que los proveedores diseñan y mantienen la infraestructura. Sin los controles y protecciones de seguridad adecuados, las agencias gubernamentales no pueden utilizar el proveedor, lo que podría ser devastador para una organización que da soporte a varias agencias federales.

 

Un requisito general de FedRAMP es que el proveedor de la nube debe disponer de protecciones razonables para salvaguardar los datos. El software sin parches -especialmente los sistemas operativos de servidor- no proporciona un entorno seguro a los clientes. Las vulnerabilidades encontradas en el software no parcheado podrían aprovecharse para exponer información personal, lo que podría dar lugar a fuertes multas para el proveedor de la nube y potencialmente resultar en una pérdida de ingresos y clientes.

 

 

Uso de KernelCare para cumplir las normas FedRAMP

Uso de KernelCare para cumplir las normas FedRAMP

Cumplir la normativa exige actualizar cualquier software vulnerable, o podría enfrentarse a multas. La corrección de fallos de FedRAMP (SI-2) requiere que las organizaciones "identifiquen, informen y corrijan los defectos del sistema". La protección contra código malicioso (SI-3) también es un requisito por el que las organizaciones deben "emplear mecanismos de protección contra códigos maliciosos en los puntos de entrada y salida del sistema de información para detectar y erradicar códigos maliciosos". Ambos requisitos pueden cubrirse empleando escáneres de vulnerabilidades y soluciones de parcheado.

 

Al escanear los servidores, los administradores pueden cumplir los requisitos de FedRAMP, pero la aplicación de parches suele ser un problema. La aplicación de parches requiere pruebas y reinicios, lo que se traduce en tiempo de inactividad. KernelCare se integra en cualquier solución de escaneado, parchea los servidores con software vulnerable y no requiere reiniciar una vez completado el parcheado. Es una solución de parcheo completa que cubre los requisitos SI-2 y SI-3 de FedRAMP. 

 

FedRAMP no es la única norma que deben cumplir los proveedores de servicios en la nube. Por ejemplo, el cumplimiento de SOC 2 es fundamental para los centros de datos que alojan aplicaciones y datos de clientes. Sarbanes-Oxley, PCI-DSS, HIPAA y otras normas de cumplimiento exigen que las organizaciones incluyan medidas de ciberseguridad que protejan los datos de forma proactiva o se enfrenten a cuantiosas multas. Con KernelCare, estos centros de datos cumplen cualquier norma reguladora que supervise la seguridad de los datos.

 

 
Conclusión

Los proveedores de servicios en la nube no pueden permitirse un desliz y perder el cumplimiento. No sólo es un descuido costoso, sino que también significa la pérdida de cualquier cliente gubernamental y de cualquier otro que deba utilizar alojamiento con una infraestructura de cumplimiento respaldada. Con KernelCare, las organizaciones empresariales, los centros de datos y los proveedores de servicios en la nube pueden asegurarse de que siguen protocolos que reducen los riesgos de amenazas y gestionan el software sin parches sin necesidad de reinicios ni tiempos de inactividad.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín