Los proveedores de colocación tradicionales están bien versados ​​en seguridad física. Las normas para construir un edificio resistente y restringir el acceso tanto al edificio como a los racks individuales de los clientes están bien establecidas.

Pero a medida que las instalaciones se vuelven más inteligentes y los operadores evolucionan para convertirse en proveedores de nube híbrida o privada, el panorama de la seguridad cambia.

A medida que cambian esos riesgos de ciberseguridad, la relación y las responsabilidades en torno a la seguridad entre el operador y el cliente también deben cambiar.

Más TI, más riesgo para los proveedores de colocación. A medida que la seguridad se vuelve más una preocupación para las organizaciones de todas las formas y tamaños, los proveedores de colocación se encuentran en la posición poco envidiable de necesitar no solo administrar la seguridad física de una cartera de centros de datos junto con su propio núcleo de TI. organización, sino también asegurar una creciente selección de software y servicios que se ofrecen a los clientes.

Muchas empresas pueden tener un gran mandato en términos de lo que necesita protección, pero pocos CISO y líderes de seguridad estarán vinculados a tantos clientes en términos de requisitos de tiempo de actividad y SLA como los CISO colo.

En septiembre de 2020, Equinix sufrió un ataque de ransomware que no afectó a los clientes. Pero otros proveedores de hosting y colo no han tenido tanta suerte en los últimos años. Un ataque de ransomware en CyrusOne en 2019 afectó a varios clientes, en su mayoría atendidos por el centro de datos de Nueva York de la empresa.

El mismo año, la empresa de alojamiento en la nube de QuickBooks, iNSYNQ, también se vio afectada por un ataque de ransomware MegaCortex en julio. La compañía dijo que fue un “ataque de ransomware cuidadosamente planeado” en uno de sus principales centros de datos, que afectó a más del 50 por ciento de su base de clientes. El malware ingresó a su red a través de un correo electrónico de phishing y se propagó rápidamente a través de su red, incluidas algunas copias de seguridad.

En 2019, la empresa de alojamiento A2 Hosting también cayó durante más de dos semanas después de que un ataque de ransomware cifró algunos de sus servidores de alojamiento de Windows y servidores privados virtuales. Una conexión RDP comprometida infectó el centro de datos de A2 en Singapur antes de extenderse a sus instalaciones de EE.

Fue un mal año para los ataques de ransomware en los proveedores de alojamiento, también vio al proveedor de alojamiento ASP.NET SmarterASP.NET, así como al proveedor de alojamiento en la nube Datasolution.net. A fines de 2020, Managed.com sufrió un ataque que compró los sitios de los clientes fuera de línea.

El proveedor de servicios con sede en Montreal, Web Hosting Canada, sufrió una interrupción prolongada en agosto de 2021 que atribuyó a la actividad no autorizada de un proveedor de servicios externo no revelado.

“Ninguna organización desde la perspectiva de una CSO está ahí para eliminar todos los riesgos”, explica Michael Montoya, CSO, Equinix. “Pero nuestro papel es ayudar a equilibrar el riesgo para la empresa; entender nuestro riesgo y mitigar ese riesgo tanto como sea posible”.

“Desde la perspectiva del centro de datos y la perspectiva del producto, impulsamos la seguridad a través de la protección de los elementos físicos de nuestros HVAC, nuestras PDU, nuestros dispositivos UPS, toda nuestra distribución de energía, control de acceso a nuestras instalaciones IBX”, agrega.

“Luego, tenemos que proteger nuestros principales activos de TI críticos que ejecutan nuestros sistemas financieros y la infraestructura comercial central, y tenemos que identificar a nuestros proveedores clave y asegurarnos de que nuestros datos estén protegidos dentro de esos proveedores”.

IoT y OT: cada vez más integrados, cada vez más dirigidos

La amplia colección de sistemas de control industrial, a menudo agrupados como lo que se conoce como tecnología operativa (OT), son de operación relativamente simple, pero clave para garantizar que los sistemas como HVAC funcionen normalmente. Sin embargo, su simplicidad a menudo puede ser una ventaja para los atacantes.

OT a menudo se ve por separado de los sistemas de TI tradicionales, lo que significa que puede carecer de los mismos controles, mantenimiento y seguridad que el hardware y las aplicaciones más estándar a pesar de estar en la misma red. Esto significa que pueden ser objetivos fáciles de comprometer si están conectados a Internet y vulnerables a ataques si están conectados a una red de TI comprometida.

“Los piratas informáticos que atacan los sistemas administrativos, como la automatización de edificios y los sistemas de administración de edificios, son comunes”, dice William Schultz, vicepresidente de tecnología de Netrality Data Centers. “Los piratas informáticos utilizarán los sistemas de monitoreo como una puerta trasera para acceder a la red más amplia con el fin de eludir la seguridad de la capa frontal. Estos sistemas administrativos generalmente no están tan bien protegidos”.

En los últimos años se ha visto un aumento de los ataques basados ​​en OT a gran escala. Una encuesta de 2020 de ejecutivos de OT realizada por Fortinet encontró que solo el ocho por ciento de los encuestados no había visto intrusiones en los 12 meses anteriores, sin embargo, el 65 por ciento había visto tres o más incidentes. Otra encuesta de Honeywell señaló que las tres cuartas partes de los gerentes de las instalaciones estaban preocupados por la seguridad de los sistemas OT y mejorar la postura de seguridad era una prioridad durante los próximos 12 a 18 meses.

Montoya señala que hay alrededor de 13 grupos de actores de amenazas que están creando activamente herramientas y tecnología responsables de los ataques relacionados con OT. “Desafortunadamente, en la industria ha habido esta percepción con los entornos de OT de que tiene espacios de aire”, dice. “Ha habido, en mi opinión, una sensación de seguridad muy falsa que ha puesto a los entornos de OT años por detrás de la seguridad de TI.

“Pero si observa las últimas infracciones que acaban de ocurrir con Colonial Pipeline en los Estados Unidos, con el gran proveedor de carne GBS o con Florida Water System recientemente, muchas organizaciones finalmente se están despertando con algunas de estas infracciones más visibles.

“Ese ha sido un gran enfoque para nosotros durante años; hemos hecho un gran esfuerzo para hacer el nivel correcto de segmentación en un lado físico, así como para controlar el acceso a esos sistemas e instalaciones, y luego nos aseguramos de que esté muy bien vinculado a nuestro lago de datos, de modo que si vemos alguna anomalía, podemos triangular eso con algunos de nuestros activos de TI que pueden tocar y cómo entendemos más si hay un entorno de amenazas dentro del espacio de nuestras instalaciones”.

Al mismo tiempo, a medida que más dispositivos de Internet de las cosas (IoT) ingresan a los centros de datos, se abre un nuevo campo de juego para que los atacantes potenciales los comprometan.

La administración de esos sistemas de IoT industrial (IioT) comienza a parecerse cada vez más a la administración de una pila de TI tradicional, lo que requiere un monitoreo de seguridad constante, ciclos regulares de aplicación de parches, controles de acceso restringido y la capacidad de responder rápidamente a cualquier actividad inusual.

“Los dispositivos IoT, como las cámaras CCTV y los sistemas HVAC, suelen ser el punto de entrada objetivo debido a la seguridad vulnerable dentro de los sistemas implementados”, explica Michael Carr, director de desarrollo estratégico de la empresa de TI británica Six Degrees. “Esto a menudo conduce al acceso al entorno de redes corporativas”.

La separación de IoT y los sistemas de construcción de los entornos centrales de TI y del cliente, sin importar qué tipo de servicios pueda proporcionar un operador, es clave, al igual que la supervisión sólida y la gestión de acceso. También se deben adoptar procesos regulares de administración de parches y pruebas de penetración.

“En nuestros centros de datos, toda la infraestructura de soporte está física y lógicamente separada de los entornos de los clientes”, dice Carr. “Los controles de seguridad física, incluidos los sistemas de acceso a puertas, CCTV y HVAC, operan en redes separadas dentro de las instalaciones y todas las redes de control segmentadas y los sistemas se monitorean a través de la recopilación de eventos en una plataforma SIEM analizada las 24 horas del día, los 7 días de la semana por nuestra instalación SOC”.

Nuevos servicios significan nuevos desafíos de seguridad para los proveedores de colo

A medida que los cols evolucionan en sus ofertas, el enfoque de ciberseguridad también debe cambiar. El desarrollo de software requiere una consideración constante en torno a la seguridad, pero aún más cuando las aplicaciones y los servicios que se desarrollan se consumen externamente.

Los proveedores de Colo deben asegurarse de que están adoptando los últimos consejos y metodologías en torno al desarrollo seguro de aplicaciones, como OWASP top ten o el marco de desarrollo de software seguro de NIST, para garantizar que ofrecen productos resistentes.

“A medida que avanzamos más hacia el elemento de software, nos hemos centrado mucho en garantizar que tenemos los controles de seguridad correctos en torno a nuestro servicio de estructura o metal de software, comenzando con la forma en que hacemos el desarrollo general de nuestras soluciones de estructura”, dice Montoya.

“Estamos ejecutando una canalización de CI/CD automatizada muy estricta; Trabajamos muy de cerca con nuestra organización de productos para controlar esa instrumentación y asegurarnos de que tenemos visibilidad a través de esa tubería para que antes de que llegue a la producción podamos aprobar y garantizar que se hagan todas las puertas de seguridad correctas.

“Desde el modelado de amenazas, hasta la compilación, el escaneo real del código, así como cualquier cosa en producción que necesitemos administrar una vez que ingresa a nuestras instalaciones de producción”.

Convertirse en nubes significa nuevas responsabilidades de seguridad

Las principales vulnerabilidades en las pilas de nube de los proveedores de IaaS son raras, mientras que las empresas se exponen accidentalmente debido a errores de configuración casi a diario.

La información sobre fugas de cubos AWS S3 expuestos ha sido un paso en falso de configuración común durante varios años, pero AWS siempre reafirmará que su plataforma es segura. Tales compromisos de la nube generalmente tienen su origen en errores humanos; algo con lo que los proveedores de la nube a menudo ofrecen un servicio para ayudar, pero nunca se culparían.

Los proveedores de la nube han pasado años informando a los clientes sobre el modelo de responsabilidad compartida de seguridad en la nube y la noción de que protegerán el hardware y el software subyacente, pero todo lo relacionado con la configuración, el acceso y el monitoreo de datos y aplicaciones permanece firmemente en manos de los clientes.

Donde los roles y responsabilidades tradicionales del operador de colo y el cliente se han entendido bien durante mucho tiempo, esas viejas líneas se han vuelto borrosas a medida que más proveedores de colo ofrecen servicios en la nube. Y hasta el momento no existe un modelo equivalente de responsabilidad compartida para las nuevas empresas de color nublado para quién posee qué riesgos.

Montoya de Equinix reconoce que no existe tal modelo de responsabilidad compartida para el nuevo mundo de la colocación basada en servicios y en la nube, y que la industria en su conjunto probablemente deba mejorar en la educación tanto de los clientes como de los operadores sobre quién asume qué riesgos.

El aspecto que podría tener ese modelo de responsabilidad compartida entre colo y clientes en el futuro mundo híbrido aún está en debate, pero por ahora la responsabilidad de hacer su tarea todavía recae en gran medida en el cliente.

Como resultado, Montoya dice que Equinix hace muchos análisis sobre quién estaría interesado en sus clientes, ya sea interrumpiendo una instalación o poniendo en peligro una red e intentando pivotar en el entorno de un cliente (que, como era de esperar, dice que sería "increíblemente difícil de hacer').

Sin embargo, señala que las empresas que alojan contenido problemático en la infraestructura de Equinix están más arriba en ese registro de riesgo que un actor que salta de su jaula a su entorno de interconexión.

“Nuestras preocupaciones con los clientes son menos sobre si pueden cambiar a uno de nuestros servicios físicos y probablemente más sobre quiénes son nuestros clientes y si nos traen otras preocupaciones, como los eventos de enero en los EE. UU.”

Bass está de acuerdo en que los clientes pueden atraer un mayor interés de los ojos no deseados, y dice que Flexential tiene una cantidad de clientes de los que no habla para evitar convertirse en un objetivo potencial para los actores sofisticados.

Por ahora, sin embargo, el estándar de la industria de colos que protegen el edificio y dejan el hardware del cliente en paz permanece en su lugar, lo que obliga a los operadores a permanecer atentos pero no intervencionistas.

Flexential ofrece servicios de respuesta a incidentes, pero solo puede ayudar si el cliente lo solicita. Al igual que otras firmas de color, debe asegurarse de que los incidentes de los clientes no estén en peligro de desangrarse mientras permanece en gran medida sin intervención. Señala que a menudo son las empresas más pequeñas de 'mamá y papá' las que terminan teniendo problemas de seguridad.

“Queremos asegurarnos de que entendemos exactamente lo que sucede en los bordes de todos los entornos de los clientes para que podamos ver si tienen algún tipo de incidente o problema de seguridad. Queremos asegurarnos de que eso no sea salir y acudir a otra persona”.

“Pero por otro lado, es su entorno. No vamos a entrar y hacer cambios sin ellos y trabajar con ellos en esos temas”.

La seguridad de la cadena de suministro recibe un nuevo enfoque. Varias empresas con las que habló DCD señalaron que la reciente brecha de seguridad de SolarWinds, donde los atacantes comprometieron el software de administración y monitoreo de TI Orion de la empresa para obtener un acceso altamente privilegiado a las redes de sus clientes, ha generado un creciente interés y enfoque en el suministro

Los clientes empresariales ahora quieren asegurarse de que las cadenas de suministro de su propia cadena de suministro sean seguras. Las auditorías de esos clientes sobre controles, cumplimiento y seguridad están creciendo en número y detalle, lo que lleva a sus proveedores a pedir lo mismo a los proveedores de colo.

Como resultado, simplemente cumplir con cualquier requisito o estándar de cumplimiento dado, ya sea NIST, ISO, Cyber ​​Essentials, SOC, HIPAA, PCI o cualquier otro, ya no es suficiente.

Montoya señala que no solo está aumentando significativamente el número de solicitudes de auditoría, sino que también ha aumentado la intensidad de esas auditorías. Mientras que en años anteriores los clientes estarían satisfechos con una copia del certificado de cumplimiento deseado, ahora están cada vez más informados y crean sus propias auditorías con controles personalizados.

“A muchos clientes ahora les gusta crear su propia vista de control y aumentar la inspección de los controles”, dice. “Donde antes podrían haber tenido 20 controles adicionales, de repente vemos en algunas de estas auditorías que están realizando 100 controles personalizados adicionales para su revisión”.

Al mismo tiempo, los proveedores de colo deben analizar más de cerca sus propias cadenas de suministro. Cada proveedor empleado, ya sea para ayudar a la empresa a operar su propio negocio o brindar un servicio a los clientes, crea un riesgo potencial tanto para el colo como para sus clientes.

La violación de datos de Target en 2014 a través de un proveedor de HVAC comprometido sigue siendo uno de los ejemplos más notorios de violación de la cadena de suministro, y uno que es muy relevante para una industria de centros de datos que depende del aire acondicionado. Pero los riesgos pueden provenir de casi cualquier proveedor.

“Realmente debe comprender la cadena de suministro en la que confía para brindar sus servicios, ya sea que esos servicios sean para proteger sus datos principales, proteger su negocio principal o sus productos, o proteger a sus clientes”, explica Montoya.

“Hemos implementado un proceso de auditoría de terceros, así como lo que llamamos garantía continua, que nos ayuda a tomar a nuestros proveedores clave y evaluarlos por su riesgo cibernético en tiempo real”.

La realidad es que el panorama colo está cambiando rápidamente sin dejar de ser el mismo; algunas empresas siempre querrán algunos servicios de alojamiento estándar, y los proveedores aún necesitarán proteger su TI central y sus edificios, solo con la complejidad adicional del multi-cloud.

Algunos clientes solo querrán que seas el propietario de sus racks, mientras que otros querrán mucho más. Depende de los proveedores de colo estar listos para ofrecer lo que los clientes necesitan.