Los atacantes cibernéticos apuntan cada vez más a Cloud IAM como un eslabón débil



Los ciberdelincuentes siempre buscan puntos ciegos en la gestión de acceso, ya sean malas configuraciones, malas prácticas de acreditación, errores de seguridad sin parchear u otras puertas ocultas al castillo corporativo. Ahora, a medida que las organizaciones continúan con su deriva modernizadora hacia la nube, los malos actores están aprovechando una oportunidad emergente: fallas de acceso y configuraciones incorrectas en la forma en que las organizaciones usan las capas de administración de acceso e identidad (IAM) de los proveedores de la nube.

En una charla el miércoles 10 de agosto en Black Hat Usa titulada «Yo soy el que llama«, Igal Gofman, jefe de investigación de Ermetic, ofrecerá una visión de esta frontera de riesgo emergente. «Los defensores deben comprender que el nuevo perímetro no es la capa de pink como lo period antes. Ahora es realmente IAM, es la capa de gestión la que gobierna todo”, le dice a Darkish Reading.

Complejidad, Identidades de Máquinas = Inseguridad

El escollo más común en el que se encuentran los equipos de seguridad al implementar IAM en la nube es no reconocer la gran complejidad del entorno, señala. Eso incluye comprender la cantidad creciente de permisos y accesos que han creado las aplicaciones de computer software como servicio (SaaS).

«Los adversarios continúan poniendo sus manos en tokens o credenciales, ya sea mediante phishing o algún otro enfoque», explica Gofman. «En un momento, esos no le dieron mucho al atacante más allá de lo que estaba en una máquina community. Pero ahora, esos tokens de seguridad tienen mucho más acceso, porque todos en los últimos años se trasladaron a la nube y tienen más acceso a recursos de la nube».

El tema de la complejidad es particularmente picante cuando se trata de entidades mecánicas que, a diferencia de los humanos, siempre están funcionando. En el contexto de la nube, se utilizan para acceder a las API de la nube mediante claves de API habilitar aplicaciones sin servidor automatizar roles de seguridad (es decir, agentes de servicios de acceso a la nube o CASB) integrar aplicaciones y perfiles de SaaS entre sí mediante cuentas de servicio y más.

Dado que la empresa promedio ahora united states of america cientos de aplicaciones y bases de datos basadas en la nube, esta masa de identidades de máquinas presenta una purple altamente compleja de permisos y accesos entrelazados que sustentan las infraestructuras de las organizaciones, que es difícil de obtener visibilidad y, por lo tanto, difícil de administrar. dice Gofman. Es por eso que los adversarios buscan explotar cada vez más estas identidades.

“Estamos viendo un aumento en el uso de identidades no humanas, que tienen acceso a diferentes recursos y diferentes servicios internamente”, señala. «Estos son servicios que hablan con otros servicios. Tienen permisos y, por lo standard, un acceso más amplio que el de los humanos. Los proveedores de la nube están presionando a sus usuarios para que los usen porque, en un nivel básico, los consideran más seguros, pero existen algunas técnicas de explotación que puede usarse para comprometer entornos usando esas identidades no humanas».

Las entidades de máquinas con permisos de administración son particularmente atractivas para que las usen los adversarios, agrega.

«Este es uno de los principales vectores a los que apuntan los ciberdelincuentes, especialmente en Azure», explica. «Si no tiene una comprensión profunda de cómo administrarlos dentro del IAM, está ofreciendo un agujero de seguridad».

Cómo impulsar la seguridad de IAM en la nube

Desde un punto de vista defensivo, Gofman planea discutir las muchas opciones que tienen las organizaciones para resolver el problema de implementar IAM efectivo en la nube. Por un lado, las organizaciones deben hacer uso de las capacidades de registro de los proveedores de la nube para crear una visión integral de quién y qué existe en el entorno.

«Estas herramientas en realidad no se usan mucho, pero son buenas opciones para comprender mejor lo que sucede en su entorno», explica. «También puede usar el registro para reducir la superficie de ataque, porque puede ver exactamente qué usan los usuarios y qué permisos tienen. Los administradores también pueden comparar las políticas establecidas con lo que realmente se united states of america dentro de una infraestructura determinada».

También planea desglosar y comparar los diferentes servicios de IAM de los tres principales proveedores de nube pública (Amazon Net Expert services, Google Cloud Platform y Microsoft Azure) y sus enfoques de seguridad, todos los cuales son ligeramente diferentes. La gestión de identidades y accesos multinube es un problema adicional para las corporaciones que usan diferentes nubes de diferentes proveedores, y Gofman señala que comprender las sutiles diferencias entre las herramientas que ofrecen puede contribuir en gran medida a reforzar las defensas.

Las organizaciones también pueden usar una variedad de herramientas de código abierto de terceros para obtener una mejor visibilidad en toda la infraestructura, señala, y agrega que él y su copresentador Noam Dahan, líder de investigación en Ermetic, planean hacer una demostración de una opción.

«Cloud IAM es muy importante», dice Gofman. «Vamos a hablar sobre los peligros, las herramientas que se pueden usar y la importancia de comprender mejor qué permisos se usan y qué permisos no se usan, y cómo y dónde los administradores pueden identificar los puntos ciegos».



Enlace a la noticia initial