El reporte de seguridad del primer semestre 2021 destaca la importancia de la seguridad en la nube a medida que los ataques aumentan en frecuencia y complejidad.
Durante la primera mitad del presente año, la seguridad cibernética se ubicó en el ojo del huracán, rodeada por ciberdelincuentes a la espera de la más mínima grieta de seguridad para devastar activos valiosos de las empresas. Dando paso a riesgos y amenazas desde todos los ángulos, involucrando técnicas actualizadas y una mayor motivación para afectar a ciertas industrias específicamente. Estos problemas de seguridad incluyen ataques de ransomware modernos de alto perfil, campañas activas, vulnerabilidades críticas, estafas relacionadas con Covid-19 y otras amenazas, sin mencionar el desarrollo de amenazas en la nube y el Internet de las cosas (IoT).
De acuerdo con los resultados presentados por Trend Micro en el reporte de seguridad del primer semestre de 2021, la infraestructura en la nube está siendo el blanco perfecto para desarrollar diferentes ataques. Las organizaciones declaran que los principales riesgos de infraestructura están en la seguridad en la nube, por ende se debe pensar en cómo protegerla. A continuación, se muestra una descripción general de lo que se está viendo en los ataques a dicha infraestructura.
Amenazas que afectan los entornos en la nube
En el informe del primer semestre, se destaca un grupo de APT (amenaza persistente avanzada) llamado TeamTNT el cual fijó su objetivo en la nube hace bastante tiempo. Dicho grupo ha centrado la mayor parte de sus esfuerzos en plantar un malware de minería criptográfica en servidores en la nube con el fin de extraer criptomonedas de Monero, igualmente se ha visto utilizar bots DDoS IRC, robar credenciales de cuentas en la nube y exfiltrar datos.
Con relación a la exfiltración de datos, los actores de APT utilizaron el almacenamiento de archivos basado en la nube para exfiltrar sus datos robados. Por ejemplo, se descubrió que los operadores Conti utilizan la herramienta de sincronización Rclone para cargar archivos al servicio de almacenamiento Mega Cloud. De manera similar, el uso de herramientas legítimas conocidas ya hace parte de los ataques, los operadores de DarkSide utilizaron al cliente Mega para filtrar archivos al almacenamiento en la nube, 7-Zip para archivar y la aplicación PuTTY para transferencias de archivos de red. Por lo que ahora, muchas organizaciones necesitan buscar formas de monitorear el uso de herramientas legítimas dentro de sus redes para identificar cualquier uso malicioso.
Arquitectura de seguridad en la nube
Al desarrollar su estrategia y arquitectura de seguridad en la nube, es importante tener siempre presentes los fines, en este caso, ¿cuáles son las motivaciones y los objetivos finales de un atacante?
La mayoría de los ataques a la nube se ubican en alguna de las siguientes áreas iniciales: descubrimiento de cuentas, compromiso de aplicaciones, descubrimiento de bases de datos y exposición de claves API.
Dependiendo de lo que esté haciendo como parte de su infraestructura en la nube, usted debería ser capaz de identificar si alguno o todos estos objetivos podrían ser puntos de ataque, y a partir de esa valoración, puede trabajar en retrospectiva con el fin de desarrollar una estrategia correcta para proteger esas áreas de acceso inicial.
Un desafío al que se enfrentan muchas organizaciones es que la nube no es simple, y muchas de las tecnologías que la componen son nuevas, al igual que sus funciones las cuales se implementan todo el tiempo. Comprender cómo funcionan y, lo que es más importante, cómo protegerlos puede resultar muy difícil.
Utilizar un enfoque de plataforma de seguridad puede ayudarlo a construir su nube para que sea más segura, pero educar a sus arquitectos y administradores también ayudará. Un área clave es el fortalecimiento de las credenciales de su cuenta en la nube, ya que estos serán atacados regularmente por actores malintencionados. El uso de la autenticación multifactor para acceder a todas las cuentas puede minimizar enormemente este riesgo.
Finalmente, las empresas deben considerar todas las facetas de su postura de seguridad, no solo para sobrevivir a las nuevas arquitecturas de trabajo híbrido y remoto implementadas con rapidez a causa de la pandemia, sino también como una estrategia con miras a prosperar más allá de ella.