Amenazas a la seguridad en la nube para 2021



La mayoría de estos problemas se pueden solucionar, pero muchos usuarios y administradores no se enteran hasta que es demasiado tarde.

La seguridad en la era de la nube es una prioridad, pero la nube ha proporcionado a los malos actores un mayor conjunto de objetivos que nunca, así como nuevas herramientas para realizar ataques. Esos ataques se basan en puntos de lanzamiento que van desde lo mundano, como credenciales olvidadas o comprometidas, hasta nuevos que utilizan herramientas de ciencia de datos como AWS Glue y Sage Maker y ataques sofisticados que utilizan herramientas poderosas como Kubernetes. Estos son algunos de los ataques emergentes que podemos esperar ver más a medida que avanzamos hacia 2021.

Ataques de persistencia
La arquitectura de la nube permite una flexibilidad full cuando se trata de crear nuevas instancias y ejecutar máquinas virtuales que pueden coincidir con cualquier entorno de components o software deseado. Pero esa flexibilidad, si no está debidamente asegurada, permite a los malhechores lanzar ataques y persistir en hacerlo mientras mantienen el command sobre el asalto inicial.

Los servicios en la nube como Amazon Net Companies facilitan a los desarrolladores la creación de un entorno de manera gradual o intermitente. AWS, por ejemplo, permite a los desarrolladores para ejecutar automáticamente un script con cada reinicio de una instancia de Amazon EC2 (conocido como datos de usuario), lo que significa que si los piratas informáticos lograron explotar una instancia utilizando un script de shell envenenado que podría haberse pasado a la instancia de la nube, podrán hacerlo continuamente y explotar persistentemente su conexión a un servidor.

Desde esa posición, los piratas informáticos podrían moverse lateralmente dentro del servidor, ya sea robando datos o adquiriendo privilegios que les permitirán explotar aún más los activos de la organización. Por supuesto, los administradores pueden cerrar esta opción y solicitar a los desarrolladores que inicien sesión cada vez que regresen al entorno, pero deben ser proactivos al respecto. En esencia, la flexibilidad de AWS es su debilidad aquí Junto con la gran cantidad de opciones de configuración, hay más oportunidades para configuraciones incorrectas del servicio, lo que brinda a los piratas informáticos más oportunidades para cometer errores.

Ataques de herramientas de ciencia de datos
Los portátiles han demostrado ser indispensables para los científicos de datos, ya que les permiten integrar y analizar datos rápidamente. Herramientas como AWS Sage Maker hacen que ese proceso sea aún más eficiente, lo que permite a los científicos de datos construir, entrenar e implementar modelos de aprendizaje automático. Pero debido a que estas son herramientas relativamente nuevas utilizadas por una cohorte que puede no ser tan consciente de la seguridad como debería, los malos actores pueden aprovecharlas. Herramientas como Sage Maker son, como otros productos de Amazon, muy flexibles, con muchas opciones.

La investigación muestra que los malos actores aprovecha algunas de estas opciones escalar sus privilegios, incluso otorgándose a sí mismos privilegios de administrador top-quality sin que el usuario se entere. Esta ruta de ataque podría permitir que un actor malintencionado abra la función de terminal en una instancia de la nube y exfiltre datos de credenciales, sin pasar por Amazon GuardDuty, que podrían usarse para obtener acceso a roles y derechos avanzados. Del mismo modo, los malos actores pueden aprovechar proyectos de código abierto como CloudGoat, utilizando AWS Glue, CodeBuild y S3, así como grupos y roles no utilizados para llevar a cabo la escalada de privilegios. También en este caso, los administradores y los científicos de datos deben estar familiarizados con la estructura de los sistemas con los que están trabajando para protegerse y cerrar las brechas que aprovechan los piratas informáticos.

Los bots podrían infectar los activos heredados de la nube
Los bots están en todas partes, incluida la nube una informe de la empresa de seguridad GlobalDots muestra que más del 80% de los «bots malos» (los que roban datos, extraen contenido, distribuyen spam, ejecutan ataques distribuidos de denegación de servicio, and so on.) operan desde centros de datos basados ​​en la nube. Si bien muchos bots exportan su veneno a otros sitios, utilizando los servidores en los que se instalaron para atacar a otros servidores y usuarios, pueden usarse con la misma facilidad para esclavizar una infraestructura en la nube para realizar tareas para sus propietarios. Entre las más populares de esas tareas se encuentra criptominería – en la medida en que sea uno de los mayores amenazas cibernéticas alrededor, según estudios.

Si perder recursos y activos no fuera suficiente, las nuevas variaciones de malware de criptominería ahora tienen la capacidad de robar credenciales de AWS, según los investigadores. El exploit está envuelto en malware de criptominería y busca el archivo AWS CLI sin cifrar, del cual el gusano extrae los datos de las credenciales. La solución es limitar el acceso a esos datos, pero los administradores deben hacerlo de forma activa.

Próximamente más compromisos de Kubernetes
El mismo equipo responsable de los robos de credenciales de AWS mencionados anteriormente, llamado TeamTNT, ha desarrollado métodos para abusar de la herramienta de visualización y monitoreo de código abierto Weave Scope, aprovechando un problema común de configuración incorrecta. Usando el acceso abierto predeterminado otorgado a través del puerto 4040, los piratas informáticos instalan Weave Scope, usándolo como una puerta trasera para monitorear sistemas, utilizar recursos, instalar aplicaciones, abrir, iniciar o detener shells en contenedores, básicamente lo que quieran.

En este momento, los piratas informáticos utilizan principalmente estos métodos para instalar malware de criptominería, pero no hay nada que les impida esclavizar los sistemas en la nube para otros fines. Y los vectores de ataque siguen cambiando y creciendo. A medida que Kubernetes continúa evolucionando y agregando nuevas funciones y capacidades, puede estar seguro de que los malos actores lo siguen de cerca, probando cada nuevo aspecto del sistema y buscando ventajas: agujeros y configuraciones erróneas que es poco possible que los usuarios llenen porque no saben cómo hacerlo, no los entienden o ni siquiera son conscientes de ellos.

Defensa preventiva
Los ataques a la nube crecen naturalmente a medida que más empresas abren más instalaciones en la nube. Con el gasto en nube pública de las empresas que se espera más del doble Para 2023, sobre las asignaciones de 2019, podemos esperar ver más de estos, y otros, tipos de ataques, ya que los piratas informáticos buscan continuamente aprovechar los «eslabones más débiles» que pueden encontrar.

La pena es que la mayoría de estos problemas, y otros que aún no han aparecido, se pueden solucionar, pero muchos usuarios y administradores no se enteran hasta que es demasiado tarde. En ese momento, se convierten en «víctimas», con sus historias escritas en weblogs de las empresas de seguridad que intentan resolver el problema, después del ataque. El truco consiste en descubrir y solucionar estos problemas antes de que se conviertan en un problema, descubriendo el «agujero» o la configuración incorrecta que les da a los piratas informáticos la apertura que necesitan. A medida que aumenta el uso de la nube en 2021, el conocimiento de los problemas de configuración y las formas de resolverlos debe crecer en conjunto.

O Azarzar es el cofundador y director de tecnología de Lightspin, y lidera el desarrollo, la investigación de seguridad y las operaciones de ingeniería de la empresa. Como creador de productos de seguridad innovadores, es un líder intelectual en el área de investigación y desarrollo de productos defensivos y ofensivos. … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique