Los riesgos de ciberseguridad son una prioridad para cualquier organización. A medida que avanzamos hacia la seguridad invisible, no dejamos de crear soluciones diseñadas para que las administraciones públicas y las empresas estén más seguras en Google. Hemos creado una nube de confianza y una serie de productos SaaS que trasladan nuestra funcionalidad de seguridad a los entornos locales y a otras nubes. Hoy, coincidiendo con la Cumbre de Seguridad de Google Cloud que se celebra cada año, queremos explicar cómo ayudamos a nuestros clientes y a administraciones públicas de todo el mundo a dar respuesta a sus retos de seguridad más urgentes: asegurar su cadena de suministro de software, acelerar la adopción de arquitecturas de confianza cero, mejorar la gobernanza de la nube y transformar la analítica y las operaciones de seguridad.

Seguridad en la cadena de suministro de software

El esfuerzo que ha sido preciso realizar a escala global para corregir vulnerabilidades como Log4j y Spring4shell, junto con un aumento interanual del 650% en los ciberataques dirigidos a proveedores de código abierto, han puesto en primer plano la necesidad —crítica— de reforzar la seguridad del software de código abierto. Los gobiernos y los reguladores han tomado buena nota de ello y han actuado, empezando por la Orden Ejecutiva 14028 de la Casa Blanca sobre Mejora de la ciberseguridad de la nación, a la que siguieron rápidamente otros gobiernos y organismos de todo el mundo, con nuevos requisitos y normas específicamente dedicados al ciclo de vida del desarrollo de software y la cadena de suministro de software.

Google sigue siendo una de las organizaciones que más utiliza, contribuye y mantiene el código abierto. Como es lógico, estamos enormemente involucrados en iniciativas como Open Source Security Foundation (OpenSSF), OSV y OSS-Fuzz, entre muchas otras que ayudan a crear un ecosistema más seguro para el software de código abierto. La semana pasada, Google participó junto con OpenSSF, Linux Foundation y otros líderes del sector en una reunión en busca de avances en las iniciativas de seguridad del software de código abierto, en el contexto de la Cumbre de la Casa Blanca sobre Seguridad del código abierto. 

Google Cloud está lanzando el nuevo servicio Assured Open Source Software, que supone un paso más en nuestro compromiso de reforzar la cadena de suministro del software de código abierto. Con Assured OSS, los usuarios de software de código abierto de los sectores público y privado podrán adoptar fácilmente los mismos paquetes de OSS que utiliza Google en sus propios flujos de trabajo de desarrollo. Los paquetes cubiertos por el servicio Assured OSS:

• se escanean, se analizan y se someten a pruebas de fuzzing con regularidad para detectar vulnerabilidades, 
• disponen de metadatos enriquecidos que incorporan datos de análisis de contenedores/objetos,
• se construyen con Cloud Build e incluyen evidencias verificables del cumplimiento de SLSA,
• contienen una firma verificable de Google,
• se distribuyen desde un registro de artefactos garantizado y protegido por Google.

Como resultado, Assured OSS reduce la necesidad de las organizaciones de desarrollar, mantener y operar un proceso complejo para gestionar de forma segura sus dependencias de código abierto.

Adopción de arquitecturas de confianza cero

La urgencia por adoptar arquitecturas de confianza cero no ha hecho más que aumentar como resultado de iniciativas como la Estrategia federal para que el Gobierno de Estados Unidos avance hacia una arquitectura de confianza cero o los Principios de diseño de confianza cero del Centro Nacional de Ciberseguridad (NCSC) del Reino Unido. Estos desarrollos recogen muchos de los elementos fundamentales del modelo de confianza cero BeyondCorp en el que Google lleva trabajando más de una década.

Para acceder a un modelo de confianza cero, ya ofrecíamos nuestra solución BeyondCorp Enterprise. Hoy presentamos BeyondCorp Enterprise Essentials, una nueva solución pensada para ayudar a las organizaciones a dar de manera rápida y sencilla los primeros pasos hacia la implantación de un modelo de confianza cero. Esta solución ofrece controles de acceso sensibles al contexto para aplicaciones SaaS o para otras aplicaciones que se conecten a través de SAML, así como funciones de protección de datos y frente a amenazas (prevención de pérdida de datos, protección contra malware y phishing, filtrado de URL), todo ello integrado en el navegador Chrome. En definitiva, es una forma sencilla y eficaz de proteger al equipo humano, sobre todo en entornos muy extendidos (subcontratistas, etc.) o con usuarios que trabajan con sus dispositivos personales. Los administradores pueden incluso utilizar los paneles de control de Chrome para supervisar actividades inseguras de los usuarios en dispositivos no gestionados.

Otra novedad interesante es que tanto el conector de aplicaciones como el conector de clientes de BeyondCorp Enterprise estarán disponibles de forma generalizada en el tercer trimestre de 2022, lo que dará a los clientes aún más opciones para proteger sus entornos específicos. El conector de aplicaciones simplifica las conexiones a aplicaciones en otras nubes como Azure o AWS, sin necesidad de abrir cortafuegos o configurar conexiones VPN de sitio a sitio. El conector de clientes proporciona un acceso de confianza cero a aplicaciones de clientes complejas no http alojadas localmente.

Gobernanza de la nube

En Google Cloud, operamos según un modelo de "destino compartido", en el que tenemos una participación activa en el posicionamiento de seguridad de nuestros clientes. Una de las claves para ello es la ingeniería de seguridad en nuestra plataforma principal, junto con los controles de seguridad que pueden configurar los clientes de acuerdo con su perfil de riesgo. Ahora bien, los clientes no tienen por qué decidir por sí mismos qué controles implantar o cómo conseguir un punto de partida sólido. Por eso, tenemos el placer de anunciar nuestra nueva solución Security Foundation, como una forma de ayudar a las empresas a adoptar más fácilmente las capacidades de seguridad de Google Cloud.

Esta solución está alineada con las orientaciones del Equipo de acción de ciberseguridad de Google Cloud y está codificada en nuestro Plano de bases de seguridad. Proporciona los controles que nuestros clientes necesitan para proteger sus datos, para la seguridad de la red y para monitorizar la seguridad, y muchas más cosas que ayudan a que las implantaciones sean seguras desde el primer día, con una mejor eficacia de costes.

Otras novedades para los clientes de Google Cloud:

• Estamos añadiendo nuevas funciones personalizadas de detección a Security Command Center, nuestra plataforma de seguridad y gestión de riesgos. Los módulos personalizados de Security Health Analytics permiten añadir reglas de detección propias y realizar comprobaciones de la configuración según necesidades específicas. Un ejemplo: hasta ahora, si no se cambiaba después de 90 días la clave de encriptado de un servicio Cloud Key Management (Cloud KMS), Security Health Analytics generaba hallazgos de detección de forma predeterminada. Ahora es posible añadir un módulo personalizado que genera esos hallazgos si la clave de encriptado no se cambia durante un periodo de tiempo definido por las políticas internas del cliente (digamos, 30 días). Por su parte, también ofrece módulos de detección configurables que te permiten definir los parámetros de los eventos que activan los hallazgos. Por ejemplo, de forma predeterminada, Event Threat Detection presenta hallazgos de amenazas a partir de la evidencia de conexiones a una lista de direcciones IP maliciosas conocidas que mantiene Google. Desde ahora, puedes configurar un módulo con una lista de direcciones IP sospechosas elaborada por tu organización. Si existen eventos que indican una conexión a cualquiera de esas direcciones IP, se notifica una amenaza en SCC.
• Seguimos ampliando Assured Workloads, un producto que permite ejecutar cargas de trabajo reguladas de forma segura y a escala en la infraestructura de Google Cloud. En la misma línea, hemos puesto a punto una serie de nuevos servicios dirigidos a clientes estadounidenses de los sectores público y a empresas privadas que prestan servicio a la administración. Estos servicios han obtenido autorizaciones FedRAMP Moderate y FedRAMP High. La lista se ampliará a lo largo del año y abre la puerta a que nuestros clientes regulados se beneficien de los mismos servicios en la nube a hiperescala de los que ya disfrutan nuestros clientes comerciales.
• Estamos añadiendo soporte SAML a la federación de identidades de carga de trabajo; con ello, los clientes que utilizan un proveedor de identidades basado en SAML podrán reducir el uso de claves de cuentas de servicio de larga duración.

Transformación de las operaciones de seguridad

Nuestra suite de operaciones de seguridad funciona igual que nuestros clientes: en la nube, en su empresa, con cualquier tipo de fuente y a cualquier escala, para que les resulte más sencillo reforzar sus capacidades de detección, investigación y respuesta ante amenazas.

Google Cloud ha lanzado recientemente Autonomic Security Operations (ASO) para el sector público estadounidense, un marco de soluciones para modernizar la gestión de amenazas, alineado con los objetivos y requisitos de la orden ejecutiva 14028 y del informe M-21-31 de la Oficina de Administración y Presupuesto. ASO utiliza el paquete de operaciones de seguridad de Google Cloud y hace posible que las organizaciones gestionen de forma integral la telemetría cibernética y que cumplan los requisitos de nivel de registro de eventos conforme a las recomendaciones de la Casa Blanca. En pocas palabras, transforma la escala y la velocidad de la detección y respuesta a las amenazas.

ASO puede facilitar a los organismos públicos la detección y la respuesta continuas, y puede favorecer la productividad de los equipos de seguridad, reducir los tiempos de detección y respuesta y seguir el ritmo de desarrollo de los atacantes, e incluso ir un paso por delante. Para más información sobre lo que puede hacer Google Cloud para ayudar a las agencias federales a cumplir muchos de los nuevos requisitos de seguridad de la Casa Blanca, incluida la orden ejecutiva que ya hemos mencionado y los informes de la Oficina de Administración y Presupuesto, visita la página web de Google Cloud dedicada a la ciberseguridad de las agencias federales.

La nueva detección sensible al contexto de Google Chronicle, proporciona información de apoyo (como telemetría, contexto, relaciones y vulnerabilidades) procedente de fuentes autorizadas (como CMDB, IAM y DLP) de forma inmediata, bajo la forma de un evento de detección "único". Los clientes pueden utilizar esta contextualización para mejorar la detección, priorizar las alertas existentes en un momento dado y llevar a cabo investigaciones más rápidas.

La última versión de Siemplify SOAR puede ayudar a los equipos de seguridad a ir más allá del centro de operaciones de seguridad tradicional, ya que proporciona los bloques de construcción para construir operaciones de seguridad modernas "en cualquier lugar". Nuestras nuevas funciones permiten una colaboración mejor y más transparente entre los proveedores de servicios y los clientes finales, garantizando que cada función se presente con los datos pertinentes para garantizar una respuesta rápida. Igualmente, ayudan a simplificar la automatización.

El lanzamiento de Apigee Advanced API Security para escrutinio público aborda dos elementos críticos de la seguridad de las API: las API mal configuradas y la detección de bots malignos. Las organizaciones pueden utilizar Advanced API Security para adaptar los proxies de las API a sus normas de seguridad, evitando así configuraciones erróneas que puedan dar lugar a vulnerabilidades. También puede alertar a los usuarios sobre errores de configuración o mal uso de la API, y aportar recomendaciones para mejorar el posicionamiento de seguridad de la API de la organización. Por último, Advanced API Security envía notificaciones a los administradores, alertando sobre la actividad sospechosa de clientes, bloqueando o etiquetando las llamadas maliciosas subsiguientes a la API. De este modo, a los equipos de seguridad les resulta más sencillo identificar y aplicar los cambios necesarios en las políticas.

Si deseas más información sobre estos anuncios, puedes asistir a la Cumbre de Seguridad de Google Cloud, que se celebra hoy, 17 de mayo de 2022, o consultar información a demanda más adelante. Queremos ayudar a que tu organización, tu equipo humano y tus clientes estén más seguros con Google, en la nube más fiable del sector o dondequiera que residan tus activos críticos.