Estudio encuentra servicios de almacenamiento en la nube mal configurados en el 93% de las implementaciones en la nube analizadas


Un estudio de Accurics dijo que las brechas en la nube probablemente aumentarán en velocidad y escala a medida que más empresas se trasladen a la nube.

Nube.

Getty Photographs / iStockphoto

Algunos de los mayores incumplimientos de 2019 se remontan a problemas relacionados con la nube, y la cantidad de ataques solo aumentará ahora que más organizaciones se están volviendo digitales, según la compañía de seguridad en la nube Accurics.

En su edición de verano 2020 del informe «Accurics State of DevSecOps», los investigadores de la compañía explican los problemas de seguridad más comunes que ven y describen algunas formas en que las empresas pueden abordarlos.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

El estudio encontró que los servicios de almacenamiento en la nube mal configurados eran cada vez más comunes en el 93% de las implementaciones en la nube que fueron analizados Muchos de los despliegues que los investigadores examinaron tenían al menos una exposición de red en la que un grupo de seguridad quedó completamente abierto. Estos dos problemas por sí solos han llevado a casi 200 violaciones que han dado acceso a los atacantes a 30 mil millones de registros en los últimos dos años, según el informe.

«Si bien la adopción de infraestructura nativa en la nube, como contenedores, sin servidor y mallas de servicio, está impulsando la innovación, las configuraciones erróneas se están volviendo comunes y crean una seria exposición al riesgo para las organizaciones», dijo el cofundador y director de tecnología de Accurics, Om Moolchandani.

«A medida que la infraestructura de la nube se vuelve cada vez más programable, creemos que la defensa más efectiva es codificar la seguridad en las líneas de desarrollo y hacerla cumplir durante todo el ciclo de vida de la infraestructura. La receptividad de la comunidad de desarrolladores para asumir más responsabilidad de seguridad ha sido alentadora y un paso adelante la dirección correcta.»

VER: Principales proveedores de la nube en 2020: AWS, Microsoft Azure y Google Cloud, híbridos, reproductores SaaS (TechRepublic)

Los investigadores de Accurics descubrieron que muchas de las infracciones más dañinas del mundo podrían originarse en claves privadas codificadas, que se encontraron en el 72% de las implementaciones. Sus hallazgos indican que una de cada dos implementaciones tenía credenciales desprotegidas almacenadas en archivos de configuración de contenedor, y estas claves y credenciales podrían dar a los atacantes acceso a recursos de nube sensibles.

En los últimos dos años ha habido docenas de infracciones relacionadas con la nube. El estudio cita infracciones en empresas como Imperva, Cash uno y CenturyLink así como al menos ocho aplicaciones de citas, exponiendo más de 845 GB de información. Otros casos más recientes, como marca de health and fitness V Shred y Aplicación de pago india Bharat Interface for Cash expuso cientos de gigabytes de información financiera a los atacantes.

El estudio desglosa los problemas de seguridad en la nube más comunes en tres categorías. Uno involucraba claves codificadas, que a veces tienen altos privilegios que, cuando se violan, pueden exponer todos los recursos asociados con ellas.

El segundo se relaciona con las políticas excesivamente permisivas de Gestión de Identidad y Acceso (IAM), que pueden parecer necesarias en ciertas situaciones, pero terminaron causando consecuencias no deseadas.

«Si bien podría haber razones legítimas para los privilegios elevados de un recurso en la nube en unique, la mayoría de las organizaciones no evaluaron el impacto aguas abajo de los privilegios elevados en otros recursos que estaban utilizando las políticas», dijo el informe.

«En el 89% de las implementaciones analizadas, las políticas estaban siendo utilizadas por uno o más recursos que son altamente sensibles para remediar el problema, los privilegios no deberían aumentarse o una política de IAM separada debe aplicarse a esos recursos».

El tercer problema más común se originó en exposiciones a la pink como resultado de reglas de enrutamiento mal configuradas.

El informe encontró que los recursos confidenciales como las bases de datos estaban alojados en subredes privadas que estaban expuestas a Online debido a las rutas que se crearon entre las subredes públicas y privadas para permitir la comunicación.

«En el 100% de las implementaciones analizadas, existía una ruta que exponía la subred privada a Online. Esto es particularmente difícil para las organizaciones detectar con simples controles basados ​​en políticas que solo detectan si una subred está expuesta a Net pero no evalúan si la subred contiene recursos altamente sensibles, como bases de datos «, agregó el estudio.

VER: Calendario editorial High quality de TechRepublic: políticas de TI, listas de verificación, kits de herramientas e investigación para descargar (TechRepublic Premium)

Los tres problemas crearon sus propios «caminos de ruptura» que jugaron un papel en los ataques a CenturyLink, Imperva y Capital A person. La violación de CenturyLink llevó a la exposición de 2.8 millones de registros de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono, domicilios y números de cuenta de CenturyLink.

Una configuración incorrecta de la pink en la nube expuso una foundation de datos MongoDB, permitiendo que una cuenta no administrativa con políticas de IAM excesivamente permisivas acceda a ella. La base de datos tampoco estaba encriptada, lo que facilita aún más a los atacantes obtener información confidencial, y el estudio señala que la compañía pasó 10 meses antes incluso de darse cuenta de que la violación había sucedido.

En agosto de 2019, Imperva pasó por algo equivalent cuando una configuración incorrecta de la crimson dio a los piratas informáticos acceso a correos electrónicos, contraseñas hash y saladas, y algunas claves API y claves TLS de algunos clientes.

«Un análisis de la violación reveló que se creó un entorno de nube de prueba y se configuró incorrectamente un recurso informático que lo expuso a Net (configuración incorrecta de la red). Esa instancia informática contenía una clave API codificada que fue descubierta por los atacantes y utilizada para acceder a la foundation de datos «, dijo el estudio. «Las claves API y TLS no fueron codificadas (violación de las mejores prácticas) lo que finalmente puso en riesgo a los clientes de Imperva. Esta violación también pasó desapercibida durante aproximadamente 10 meses».

El estudio también profundiza en la violación masiva de Funds One en julio de 2019 que fue noticia en todo el mundo. Más de 100 millones de personas en los Estados Unidos y otros seis millones de personas en Canadá se vieron afectadas por la exposición de datos, que incluyó 140,000 Números de Seguridad Social, 80,000 números de cuentas bancarias en consumidores estadounidenses y un millón de Números de Seguro Social canadienses.

Según los investigadores de Accurics, una investigación del FBI reveló más tarde que los ciberdelincuentes podían obtener acceso a las claves de acceso de AWS que estaban asociadas con un rol de IAM con permisos excesivos. Al igual que CenturyLink, los datos no se cifraron, lo que lo hace aún más fácil para el atacante.

«La adopción de la infraestructura nativa de la nube, como servidores sin servidor, contenedores y malla de servicios, permite a las organizaciones entregar nuevas innovaciones al mercado. Desafortunadamente, más de 30 mil millones de registros han sido expuestos como resultado de configuraciones incorrectas de la infraestructura de la nube en los últimos dos años, y el la velocidad de las brechas en la nube continúa aumentando «, dijo Moolchandani en el informe.

«Ahora es más importante que nunca comprender las prácticas de configuración de infraestructura en la nube que están creando exposiciones».

Ver también



Enlace a la noticia primary