Eres una mala configuración lejos de una nube …



No asuma que los ciberataques son de lo único que debe preocuparse. Las configuraciones erróneas también deberían ser una de las principales causas de preocupación.

No todas las instancias de exposición de datos en la nube son producto de intenciones maliciosas de actores internos o externos. En su «Informe de investigaciones de violación de datos de 2019«(DBIR), por ejemplo, Verizon Business demostró que los errores constituyeron una de las principales causas de las violaciones de datos que examinó. Los investigadores de Verizon atribuyeron el 21% de esos incidentes a configuraciones erróneas, que ahora son una de las formas más comunes por las cuales los delincuentes digitales puede establecerse en su entorno de infraestructura como servicio (IaaS).

Echemos un vistazo a cómo se ven las configuraciones erróneas en la nube, por qué representan un riesgo de seguridad y cómo puede evitarlas.

¿Qué es una configuración incorrecta en la nube?
Se create una configuración incorrecta en la nube cuando no ha configurado un sistema, activo o herramienta relacionado con la nube correctamente. Esta configuración incorrecta a su vez puede poner en peligro la seguridad de sus datos basados ​​en la nube, dependiendo del sistema, activo o herramienta afectados.

McAfee proporcionó una lista de tales configuraciones incorrectas que afectan a Amazon Internet Providers (AWS) en su «Cloud Indigenous: Informe de adopción y riesgo de la infraestructura como servicio (IaaS)«:

● El cifrado de datos EBS no está activado.

● Hay acceso saliente sin restricciones

● El acceso a los recursos no se aprovisiona mediante roles de IAM.

● El puerto del grupo de seguridad EC2 está mal configurado.

● Recursos en la nube expuestos públicamente.

● El acceso entrante del grupo de seguridad EC2 está mal configurado.

● Se descubre AMI sin cifrar.

● Se descubren grupos de seguridad no utilizados.

● Los registros de flujo de VPC están deshabilitados.

● La autenticación multifactor no está habilitada para los usuarios de IAM.

● El cifrado del depósito S3 no está activado.

Como puede ver, las configuraciones erróneas son producto del mistake humano. Esto significa que puede remediar las configuraciones erróneas estableciendo las configuraciones de sus sistemas y herramientas en un estado más estable y seguro.

Desafortunadamente, es más fácil decirlo que hacerlo. Este es especialmente el caso si no cree que es responsable de corregir las configuraciones incorrectas en sus entornos de nube. Como señalé en un anterior entrada en el website, podría inclinarse a pensar que sus proveedores de servicios en la nube cubren automáticamente todas sus necesidades de seguridad. En realidad, usted es responsable de proteger los datos de sus clientes en la nube pública, proteger sus aplicaciones y proteger sus sistemas operativos.

Como resultado, no es sorprendente que el 99% de las configuraciones incorrectas pasaron desapercibidas para los encuestados de McAfee que usaban IaaS. Estaban al tanto de unos 37 incidentes relacionados con configuraciones incorrectas por mes. Pero debido a que no estaban buscando estos problemas o no tenían herramientas capaces de auditar configuraciones, no se dieron cuenta de que en realidad estaban experimentando cerca de 3,500 incidentes cada mes.

Tal falta de conciencia se tradujo en una respuesta inadecuada. De hecho, casi una cuarta parte de los participantes de la encuesta de McAfee dijeron que les llevó más de un día corregir una configuración incorrecta de IaaS. Esto le dio a los adversarios muchas veces para abusar de la configuración incorrecta con fines maliciosos.

Por qué es importante corregir las configuraciones incorrectas
Todo esto nos lleva a una pregunta importante: ¿Por qué es importante que arregles una configuración incorrecta? ¿Qué puede hacer un actor malicioso con una configuración incorrecta?

Las configuraciones erróneas en sí mismas son una de las formas más comunes por las cuales los delincuentes digitales se afianzan en su entorno de IaaS. A menudo lo hacen aprovechando credenciales comprometidas o débiles como usuario legítimo. Otras veces, explotan una vulnerabilidad en el program que se implementa en su entorno.

A partir de ahí, los delincuentes digitales amplían su alcance más allá del nodo de aterrizaje para apuntar a otras partes de su entorno. Por ejemplo, aprovechan los privilegios dentro del nodo comprometido para acceder a otros nodos de forma remota, sondear aplicaciones y bases de datos protegidas de manera inadecuada, o simplemente abusar de los débiles controles de red. Luego pueden extraer sus datos mientras permanecen bajo el radar copiando datos a un nodo anónimo en la World wide web o creando una puerta de enlace de almacenamiento para acceder a los datos desde una ubicación remota.

Aquí hay algunos ejemplos que ilustran cómo los actores maliciosos aprovecharon las configuraciones erróneas en la nube de las organizaciones para robar su información confidencial:

Funds uno: Paige Thompson, una residente de Seattle de 33 años y ex ingeniera de computer software de AWS, explotó un firewall de aplicación world-wide-web mal configurado para acceder a un servidor propiedad y operado por Capital One. Ese servidor contenía 140,000 números del Seguro Social, 1 millón de números del Seguro Social canadiense, 80,000 números de cuentas bancarias y un número no revelado de información particular de los clientes. Thompson luego intentó compartir el acceso a la información con otros en línea, por CNN.

Imperva: De acuerdo a Poste de amenaza, Imperva creó una instancia de cómputo interna que estaba mal configurada y accesible públicamente. Esa instancia contenía una clave API de AWS, un recurso que permitía a los atacantes acceder a una instantánea de la foundation de datos y filtrar la información de algunos de sus clientes.

CenturyLink: Los investigadores de seguridad encontraron una foundation de datos de MongoDB de terceros que se dejó sin protección en la internet, informaron SCMagazine. Al observar más de cerca, los investigadores descubrieron que la foundation de datos contenía 2.8 millones de registros de datos de CenturyLink pertenecientes a varios cientos de miles de clientes de la compañía de tecnología.

Minimizando las configuraciones erróneas en la nube
Según la encuesta de McAfee, puede minimizar la aparición de configuraciones erróneas en la nube al capacitar a sus equipos de seguridad para que comprendan la infraestructura de la nube al mismo nivel que sus contrapartes de DevOps. También ayuda a construir la auditoría de configuración de IaaS en su proceso de CI / CD, preferiblemente en la fase de verificación del código.

Invierta en herramientas de seguridad nativas de la nube que le permitan monitorear sus redes para detectar actividades sospechosas, como un actor malicioso que abusa de un conjunto de credenciales comprometidas, que se mueve lateralmente a través del entorno de la nube o que intenta filtrar información. (Nota del editor: la compañía del autor es una de las muchas que ofrecen tales herramientas). La clave es obtener la visibilidad necesaria de sus entornos, todo sin empantanarlo con falsos positivos.

Contenido relacionado:

Suresh Kasinathan tiene más de 20 años de experiencia en diseño, desarrollo, integración y despliegue de productos de vanguardia en las áreas de nube pública, almacenamiento, virtualización y productos de redes. En su rol precise como Principal Cloud Security … Ver biografía completa

Más strategies





Enlace a la noticia first