¿Sabe quién acecha en su entorno de nube?



Un investigador de seguridad explica los peligros de la mala visibilidad en la nube y una nueva estrategia para evaluar la exposición de IAM en Google Cloud Platform.

La mayoría de las organizaciones no tienen una visibilidad completa de lo que los usuarios pueden hacer en su entorno de nube. No saben quién puede asumir otras identidades para escalar privilegios o qué permisos podrían lograr una falta de conocimiento que podría poner en riesgo la empresa.

Colin Estep, investigador de seguridad senior de Netskope, comenzó a investigar posibles agujeros de seguridad en Google Cloud Platform (GCP) hace aproximadamente un año. En ese tiempo, ha buscado aprender cómo más organizaciones pueden evaluar su exposición complete a la gestión de identidad y acceso (IAM) para poder responder la pregunta: ¿Sabe lo que todos sus usuarios pueden hacer en su entorno de nube?

«En basic, para cualquier plataforma en la nube eso es lo que me ha intrigado: hacer esta pregunta realmente básica para la que nadie tiene la respuesta», dice Estep. «La respuesta a eso es en gran parte, &#39No, no sé lo que pueden hacer todos los usuarios. No sé cuáles son sus capacidades completas&#39».

El problema normal de IAM en la nube se deriva de la naturaleza dinámica de los entornos en la nube, continúa. Los recursos en rápido movimiento cambian constantemente: las personas están trabajando en diferentes proyectos y dando vueltas, y están surgiendo nuevos servicios. La naturaleza en rápida evolución de la nube dificulta que las organizaciones se mantengan informadas sobre qué son estos nuevos servicios, cómo funcionan y cuáles son las implicaciones para los permisos para varios recursos en la nube.

«Es simplemente esta cosa monumental para manejar», explica Estep. «La identidad, en distinct, es realmente una de las áreas críticas porque … si no ha resuelto su solución de identidad, entonces podría exponer datos confidenciales, podría abusar o eliminar los recursos todo tipo de cosas podrían suceder en su entorno «.

Estep, que había trabajado anteriormente con Amazon World wide web Expert services (AWS), comenzó a trabajar con GCP debido a la mayor demanda de los clientes de Netskope. Encontró la plataforma de Google interesante y diferente en la forma en que estructura y otorga permisos a los empleados.

«Siento que Google tenía mucho más en mente un diseño … donde tienen una jerarquía dentro del entorno y puedes asignar permisos en esta jerarquía», explica. GCP tampoco tiene políticas de «denegación». Si bien intenta mantener las políticas de permisos más simples, Estep dice que las cosas pueden volverse complejas cuando los administradores tienen que juntar diferentes capas para descubrir qué está sucediendo.

Por eso, en parte, decidió centrar su investigación en Google Cloud, que también es el tema de su próxima charla sobre Black Hat Europe «.Minería de permisos en GCP. «

¿Qué es lo peor que podría suceder si un atacante obtiene demasiado acceso? «El cielo es el límite», dice Estep. Como parte de su investigación, desarrolló una herramienta de prueba de concepto (PoC) para que las empresas conozcan los permisos otorgados a los empleados en sus entornos. Cuando se utilizó la herramienta en entornos de producción, los resultados fueron peores de lo que esperaba encontrar.

Por ejemplo, descubrió casos en los que los propietarios del entorno no tenían concept de cuántos usuarios eran en realidad «administradores en la sombra», lo que significa que podían escalar privilegios hasta que tuvieran todas las capacidades sobre el entorno a nivel organizacional. GCP tiene la noción de una «organización», que es la parte más importante del entorno, explica Estep. Los empleados que tienen el nivel de administrador de la organización heredan las capacidades de administración en todos los niveles.

«Podrían entrar y cambiar el registro, podrían entrar y crear recursos, podrían eliminar cosas, acceder a todos los datos, agregar usuarios para ellos mismos», dice. «Probablemente podrían hacer todo menos eliminar todo el entorno».

Al saber quién tiene qué permisos, una empresa puede abordar el riesgo antes de que ocurra una violación de datos u otro incidente de seguridad.

Los servicios impulsan la complejidad, empeoran la visibilidad
Google está atento a este problema, señala Estep, quien dice que la compañía ha hecho un buen trabajo en la autenticación frente a la autorización. Sin embargo, existe un problema generalizado entre los proveedores de la nube de demasiados servicios que crean complejidad. En lugar de simplificar un proceso para los clientes, muchos crearán más servicios para abordar la complejidad de alguna manera.

Como ejemplo, describe controles adicionales de que los permisos estatales solo se pueden usar en ciertas circunstancias o en una parte específica de la organización. Sin embargo, debido a que estos controles pueden pertenecer a un servicio diferente, está fuera de los permisos normales. Esto presenta un problema para los administradores que consultan los permisos de los usuarios para ver a qué pueden acceder.

«Todavía no es el panorama completo porque ahora tengo estos controles externos que tienen algún efecto», explica Estep, señalando nuevamente que este problema no es exclusivo de GCP. «Y eso introduce más complejidad. En mi opinión, ahora es más un dolor de cabeza porque, como cliente, hay que tenerlo en cuenta y tal vez no sepas que existe».

Una solución se enfoca
GCP tiene muchas jerarquías y permisos. Para comprender su efecto completo, los administradores deben mirar todas las capas juntas, lo que es difícil de hacer en la consola, señala Estep. Su solución tiene como objetivo proporcionar una forma sencilla para que las empresas mapeen los permisos otorgados a los miembros, la estructura del entorno de GCP y las cuentas de servicio.

«Este proyecto period originalmente un PoC en el que quería ver si podía responder a la pregunta de &#39¿Sabes lo que pueden hacer todos tus usuarios?&#39», Dice. La primera versión, que se lanzará en BHEU, analiza a los usuarios y sus permisos para ver qué cuentas de servicio pueden ser suplantadas.

La solución united states un gráfico para trazar las entidades y las relaciones, de modo que los administradores puedan ver qué permisos están asignados a los usuarios de GCP. Una vez que obtiene los datos relevantes a través de llamadas a la API, el gráfico mapea la información que los administradores necesitan de una manera que sea digerible. Si bien inicialmente no quería usar un gráfico, dice que era la mejor manera de considerar las muchas capas diferentes juntas.

El enfoque de Estep para resolver el problema de la visibilidad es aún joven y aún no considera otros servicios, aunque es una capacidad que le gustaría integrar en el futuro.

«Primero reunamos los permisos en un solo lugar», dice. «Entonces podemos empezar a añadir más».

Kelly Sheridan es la editora de private de Darkish Studying, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original