Así que acaba de instalar el último software antivirus y abrió su nuevo y brillante firewall. Ahora su organización está completamente segura, ¿verdad?
La realidad es que todos los productos de seguridad del mundo nunca podrán proteger completamente su centro de datos o su negocio de las amenazas de seguridad. Debido a la asimetría entre los atacantes y las empresas, la ciberseguridad es un problema que nunca se resolverá y nunca desaparecerá. La clave es reconocer que el camino hacia la infraestructura de salud no tiene principio ni fin.
Entonces, ¿cómo es una buena estrategia de seguridad de red? Si bien Canonical no es un proveedor de ciberseguridad, protegemos a innumerables organizaciones en todo el mundo de posibles atacantes. Como primer eslabón de la cadena de suministro de software, aquí desempeñamos un papel vital.
En este artículo, queremos explicar cómo las diferentes consideraciones de seguridad ayudan a dar forma a la forma en que diseñamos productos y qué considerar al desarrollar una estrategia de ciberseguridad para código abierto.
La prevención es la mejor cura…
Como teorizó el filósofo holandés Desiderius Erasmus en 1500, es más barato y más eficaz centrarse en la prevención que en la cura. La pandemia de COVID-19 nos ha enseñado esto. Este principio también se aplica a la ciberseguridad.
Los equipos de operaciones de seguridad a menudo no cuentan con suficiente personal ni recursos, por lo que es fundamental que se concentren en apagar incendios en lugar de mirar las señales de humo para saber dónde están. La mejor manera de lograr esto es construir sistemas que sean saludables, resistentes y libres de vulnerabilidades. En realidad, sin embargo, hacer cumplir una estrategia consistente de refuerzo y parches de seguridad es una de las cosas más difíciles de hacer para los equipos de TI, especialmente los más pequeños.
En Canonical, creemos que los parches de seguridad y el fortalecimiento no deben limitarse a equipos de TI experimentados y bien financiados. Es por eso que lanzamos Ubuntu Pro para democratizar el acceso al soporte de seguridad. Ubuntu Pro proporciona 10 años de actualizaciones de seguridad, parches de kernel en vivo y herramientas de automatización de refuerzo para todos los paquetes en los repositorios de Ubuntu Universe.
El enfoque en la prevención se extiende mucho más allá del sistema operativo: Canonical Kubernetes y microk8s El perfil de refuerzo del Centro para la seguridad de Internet (CIS) se implementa de forma predeterminada. También estamos trabajando en ROCK, que son las imágenes de contenedores endurecidos más pequeños con el área de ataque superficial más baja posible.
Eventualmente aprendimos que las paredes altas y los fosos profundos no son garantía de que un castillo siempre estará a salvo. Sin embargo, en un mundo en el que la mayoría de las empresas dejan sus puertas abiertas de par en par y las dejan sin protección, una estrategia consistente de refuerzo y parches de seguridad contribuirá en gran medida a evitar que los actores de amenazas comunes y poco sofisticados ingresen fácilmente a sus sistemas.
… ¡pero la detección, la respuesta y la recuperación también son importantes!
¿Qué pasa cuando entra un atacante? Sabemos que incluso los controles más sofisticados eventualmente fallarán, por lo que cuando esto sucede, es importante asegurarse de que la amenaza esté contenida y que las operaciones se reanuden lo más rápido posible.
Tratamos de ayudarlo a enfrentar sus desafíos de detección y respuesta asociándonos con los principales proveedores de seguridad y creando operador de software Automatice las operaciones comunes en las aplicaciones de código abierto más populares.
Desde plataformas de gestión de vulnerabilidades como Tenable Nessus hasta sistemas de detección de malware como Microsoft Defender y herramientas de seguridad de infraestructura como Aqua Security, Canonical tiene un largo historial de trabajo con los principales proveedores de ciberseguridad para garantizar que comprendan la seguridad del funcionamiento interno de nuestros sistemas (siendo así buenos para distinguir comportamiento inesperado) y conocen todos los parches y exploits disponibles.
La reconstrucción de la infraestructura suele ser el mayor desafío después de una violación de datos. El conocimiento operativo a menudo se concentra en manos de unas pocas personas clave, y la gran cantidad de pasos manuales involucrados significa procesos largos y resultados inconsistentes.y gigante y operador encantador Los administradores pueden recuperar el control de su entorno. Charms no solo facilita la redistribución de sistemas complejos, sino que también facilita la administración de todas las operaciones del día 2, como copias de seguridad, escalado y recuperación. Codificar el conocimiento operativo en el software también significa que menos administradores necesitan acceder al entorno, lo que reduce efectivamente la superficie de ataque y mejora la seguridad.
Recuerde, la seguridad falla en la integración
1 + 1 siempre es igual a 2 en matemáticas, pero cuando se trata de ciberseguridad, no siempre es así. La combinación de 2 productos individualmente seguros no garantiza que el sistema resultante también sea seguro. Asimismo, si un producto tiene una vulnerabilidad, no significa automáticamente que el sistema combinado se verá comprometido.
Las organizaciones y los profesionales de la ciberseguridad a menudo se sienten culpables al hablar sobre las características de seguridad de sus productos como si existieran de forma aislada o como si estuvieran implementadas en entornos limpios y sin desarrollar. Sin embargo, la realidad es muy diferente: toda la infraestructura nueva debe coexistir e integrarse con muchos otros sistemas, incluidos los sistemas heredados y obsoletos. El único enfoque viable es la defensa en profundidad.
En Canonical, esta necesidad es primordial: tenemos una oferta integrada verticalmente que cubre todo, desde el sistema operativo que implementa en bare metal hasta las imágenes de contenedores y la automatización de aplicaciones. giganteAl realizar pruebas de seguridad y confiabilidad, nos aseguramos de que nuestros productos no solo funcionen bien por sí solos, sino que también funcionen mejor cuando se implementan con otros productos.
También nos dimos cuenta de que no era realista para ninguna empresa ejecutar toda su infraestructura en productos de Canonical. Es por eso que pensamos en la pila de infraestructura como una gran torre Jenga. Si quita un bloque de la parte superior, pueden caer otros bloques. Sin embargo, si intentas quitar uno de la parte inferior, las posibilidades de que toda la torre se derrumbe se multiplican. Todo está conectado, razón por la cual invertimos mucho en restricciones en las capas de infraestructura, contenedor y sistema operativo para limitar la posibilidad de que los problemas se propaguen a múltiples capas de la pila.
¿Quiere aprender más sobre la seguridad de código abierto?
Si desea obtener más información sobre este tema, únase a nosotros para un seminario web en vivo el 1 de diciembre (el seminario web estará disponible a pedido después de esa fecha). Para obtener más información sobre las funciones de seguridad de los productos de Canonical o cómo pueden ayudarlo a implementar su estrategia de seguridad de red, comuníquese con nosotros.
