re:Inforce 2024 | Cultura, inversión y tecnología, las bases de AWS en seguridad

En el re:Inforce 2024 en Filadelfia, AWS presentó novedades que incluyen soluciones que permitirán atender los nuevos retos a los que se enfrentan las empresas de todo el mundo.

Filadelfia, Estados Unidos.- “Construir y mantener una cultura requiere constante inversión en enfoque. Una cultura de seguridad no es construida de la noche a la mañana, puede perderse sin reforzamiento e inversión consistentes. Requiere esfuerzos intencionados y dedicados para crecer, evolucionar y mantener una cultura enfocada en la seguridad como nuestra principal prioridad”, declaró Chris Betz, director de información y seguridad (CISO) de Amazon Web Services (AWS) durante su presentación inicial.

Durante el evento dedicado a seguridad de AWS, re:Inforce 2024, Betz destacó que uno de los principales diferenciadores de Amazon se basa en su foco para generar una cultura en la organización dedicada a mantener la seguridad, lo que ha permitido generar fortalezas como procesos para rendición de cuentas entre empleados, resolución rápida de los incidentes al escalar con velocidad las alertas al responsable adecuado, y un sentido de propiedad entre los empleados para asumir responsabilidades de seguridad.

Lo anterior se complementa también mediante guías y procesos, además del concepto de una cultura descentralizada, en el que la seguridad no está únicamente a cargo de directivos o especialistas de seguridad, sino que se involucra a todos los niveles y empleados de la empresa. Para ello, Amazon también ofrece capacitación constante en seguridad, acorde a la posición de cada empleado.

Relacionado: La ciberseguridad no es un software, es una cultura: Siemens

“Tener las mejores intenciones no es suficiente, la cultura es la raíz de todo. La cultura es la que permite generar nuevos hábitos en la organización para mejorar la seguridad, es la cultura que diseña sistemas con seguridad, y es la que nos empodera para enseñar a individuos”, reiteró Betz.

Steve Schmidt, director de seguridad de Amazon (CSO), coincidió en que la cultura de la empresa y un modelo distribuido son herramientas claves y necesarias. Consideró también que aunque existen guías fundamentales de seguridad basados en nuevas tecnologías, estas no han sido tan ampliamente adaptadas como se esperaría y resultan en múltiples incidentes. Por ejemplo, el uso de autenticación multifactorial.

Por otro lado, reconoció el reto que significa la rápida evolución de la Inteligencia Artificial (IA) Generativa para las tareas de seguridad, por lo que Amazon adoptó un marco que le permitiría a la organización adaptar su cultura de seguridad. Si bien advirtió que ya es difícil encontrar talento para seguridad o IA, es aún más difícil encontrarlo en la intersección de ambos.

dplnews Steve Schmidt amazon mc12624
Steve Schmidt, CSO de Amazon. Foto: DPL News

Para atender los retos alrededor de IA, Schmidt relató la experiencia de Amazon que estableció un equipo dedicado a la seguridad de IA, con vallas de seguridad bien definidas que ayuden al resto de la compañía a innovar rápidamente en un ambiente seguro. “Este equipo no es un guardián, son el camino a la producción. Este equipo trabaja tanto en conectar a la gente y recursos a través de la compañía, como estableciendo los casos de uso y herramientas para ayudar a los desarrolladores”, explicó.

AWS: nueva tecnología y soluciones

Chris Betz se refirió también a las fortalezas integradas en su tecnología, como la seguridad por diseño incluida en su más reciente chip Graviton4, que encripta todas las interfaces físicas y añade profundidad de defensa contra posibles ataques, así como la eliminación de Simultaneous Multi-threading, lo que permite mejorar el aislamiento entre vCPUs, reduciendo la contención y mejorando el rendimiento del sistema. Graviton 4 fue presentado oficialmente durante el re:Invent en Las Vegas de 2023.

Entre las novedades presentadas por la compañía durante el re:Inforce, se incluyen soluciones que permitirán atender los nuevos retos a los que se enfrentan las empresas de todo el mundo, tales como la administración de acceso e identidad, ambientes híbridos, segmentación de redes complejas, y la expansión de la movilidad de los trabajadores. Irónicamente, según palabras de Betz, la mejor manera de construir confianza es a través de la adopción de arquitecturas Zero Trust.

El primer anuncio se trata de AWS Private CA Connector, que facilitará a las empresas la aplicación de un protocolo de enrolamiento para integrar dispositivos móviles de forma segura y a escala. Esto es relevante cuando se tienen múltiples empleados que buscan utilizar sus propios dispositivos para acceder a los sistemas de la empresa.

En cuanto a sistemas de autenticación de personal, AWS anunció antes este año el lanzamiento de autenticación multifactorial, a lo que ahora se suma la posibilidad de usar Passkeys como un segundo factor de autenticación. Esta solución permitiría a los usuarios utilizar sus propias aplicaciones de autenticación para generar códigos de un único uso.

Adicionalmente, ahora los clientes de AWS podrán acceder a IAM Access Analyzer, que básicamente permitirá a las empresas analizar y establecer permisos de accesos, incluyendo eliminar los que no hayan sido utilizados.

Respecto a sus servicios de almacenamiento S3, AWS reveló actualizaciones para Amazon GuardDuty Malware Protection, que permite detectar cargas de archivos maliciosos en determinados buckets de S3. La nueva funcionalidad ahora puede evaluar continuamente los nuevos objetos cargados en los buckets S3 en busca de malware y tomar medidas para aislar o eliminar cualquier malware encontrado.

La compañía, además, ya ha comenzado a introducir nuevas capacidades de IA Generativa a sus soluciones y productos. En este caso, para facilitar el análisis de eventos de actividad en AWS, introdujo la generación de consultas en lenguaje natural con IA Generativa en AWS CloudTrail Lake, actualmente en vista previa.

También lee: El nuevo reto de Cisco: proteger y aprovechar datos para la IA

Esta nueva capacidad permitirá hacer preguntas en un lenguaje sencillo sobre la API de AWS y la actividad de los usuarios, por ejemplo: “¿Cuántos errores se registraron durante la semana pasada para cada servicio y cuál fue la causa de cada error?” o “Muéstrame todos los usuarios que iniciaron sesión mediante la consola ayer”, con lo que AWS CloudTrail generará una consulta SQL.

Entre otras características que han sido utilizadas para mejorar la seguridad de los datos en AWS, se incluye el lenguaje de programación Rust, para facilitar el desarrollo de software para infraestructura de forma segura. El lenguaje ahora puede acceder a la librería AWS Libcrypto, que ofrece soporte para FIPS (estándares federales de procesamiento de la información), además de soporte experimental para criptografía post-cuántica.

Durante su presentación, Betz señaló que actualmente uno de sus principales clientes es Telefónica O2, operador de telecomunicaciones que eligió AWS para la instalación de su red 5G Core. El uso de AWS le ha permitido al operador contar con una red de mayor seguridad, pero que al mismo tiempo le da flexibilidad, escalabilidad y mejor desempeño.

Razonamiento automático

AWS ha ampliado su investigación alrededor del razonamiento automático o automated reasoning, un área de las ciencias de la computación para la creación de programas que permitan a las computadoras seguir un camino de razonamiento y responder preguntas de una manera sencilla sobre el estado de ciertos sistemas y soluciones. El uso de esta técnica permitiría rápidamente encontrar vulnerabilidades en los sistemas de seguridad y acelerar los procesos de pruebas.

Según Betz, la compañía ha ampliado el uso de razonamiento automático para realizar pruebas de seguridad alrededor de algunos sistemas, como verificar protocolos de encriptación, lógica de autorización, y consistencia de sistemas de almacenamiento, además de otros mecanismos como firewalls, detección y prácticas de codificación.

Sin embargo, la compañía también admite que es un área compleja en donde la comunidad de expertos es sumamente pequeña, por lo que ha implementado esfuerzos para atraer talento y financiar investigación.

En particular, AWS ha usado el razonamiento automático para herramientas de control de acceso, que se realizan a través del lenguaje de programación abierto Cedar. Betz destacó que ya hay al menos seis startups que han usado Cedar para desarrollar sus propias aplicaciones.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies