La nube es insegura por exceso de permisividad

La transición en curso hacia las plataformas en la nube supone que se almacenen más datos confidenciales en la nube, lo que hace que sea más tentador para los adversarios atacar a través de ella. Cuando se trata de proteger la nube, la identidad es la primera línea de defensa. Sin  embargo, si se obvian las políticas adecuadas de Administración de Acceso e Identidad (IAM), una organización puede pagar cualquier cantidad de herramientas de seguridad, pero la seguridad integral nunca será posible.

Con esta importante reflexión por delante Unit 42, el equipo de investigación de amenazas de Palo Alto Networks, acaba de hacer público el informe "Amenazas en la nube", en el que queda constancia de que casi todas las identidades en la nube son excesivamente permisivas, y algunas de ellas conceden permisos que nunca se utilizan, que el 53% permite el uso de contraseñas débiles, el 44% posibilita la reutilización de contraseñas y el 62% tiene recursos en la nube de acceso público.

En este informe, el equipo de investigadores de Unit 42 ha analizado más de 680.000 identidades en más de 18.000 cuentas en la nube y más de 200 organizaciones diferentes, para conocer sus configuraciones y patrones de uso. Casi todas las organizaciones que analizaron carecen de los controles de política de gestión de IAM adecuados para permanecer seguras.

Según los especialistas de Palo Alto Networks, a lo largo de la pandemia, hubo expansiones significativas de las cargas de trabajo en la nube en general. Las organizaciones aumentaron su uso, con un aumento drástico en la cantidad de organizaciones que alojan más de la mitad de sus cargas de trabajo en la nube. Y en su opinión, a medida que más organizaciones trasladan cargas de trabajo a la nube y desarrollan aplicaciones de forma nativa, la identidad debe seguir siendo un enfoque clave al crear una estrategia de seguridad.

Las políticas de IAM mal configuradas abren la puerta a lo que Unit 42 define como un nuevo tipo de amenaza: Cloud Threat Actors. “Definimos a un actor de amenazas en la nube como un individuo o grupo que representa una amenaza para las organizaciones a través del acceso directo y sostenido a los recursos, servicios o metadatos integrados de la plataforma en la nube" aclaran en su informe.

Los actores de amenazas

Además, en paralelo a las contundentes conclusiones, Unit 42 ha desarrollado un “Índice de Actores de Amenazas en la Nube” en el que se destacan los principales actores que atacan la nube, así como los actores de las agencias nacionales que han sido conocidos por utilizarla para realizar ataques. Como referencia, se ha recopilado una lista de los principales actores de amenazas en la nube, clasificados por importancia.

El contenido muestra amplios detalles sobre estos actores de amenazas en la nube y sus tácticas. Sin ir más lejos, los 5 principales actores de amenazas señalados por la consultora especialista son:

• TeamTNT: el grupo más conocido y sofisticado que ataca credenciales
• WatchDog: se considera un grupo de amenaza oportunista que tiene como objetivo instancias y aplicaciones en la nube expuestas
• Kinsing: grupo de amenazas en la nube de carácter financiero y oportunista con un gran potencial para la recopilación de credenciales en la nube
• Rocke: especializado en operaciones de ransomware y cryptojacking dentro de los entornos de la nube
• 8220: Monero mining group, elevaron supuestamente sus operaciones de explotación minera mediante la utilización de Log4j en diciembre de 2021.

En cuanto a los principales “Actores del Estado-nación” que utilizan y apuntan a las infraestructuras en la nube, según Unit 42 son:

• APT 28 (Fancy Bear)
• APT 29 (Cozy Bear)
• APT 41 (Gadolinium).

Para los expertos de Unit 42, la configuración adecuada de IAM puede bloquear el acceso no deseado, proporcionar visibilidad de las actividades en la nube y reducir el impacto cuando ocurren incidentes de seguridad. En particular, recomiendan que las organizaciones se defiendan contra las amenazas que se dirigen a la nube de las siguientes maneras:

• Integración de la suite Cloud Native Application Protection Platform (CNAPP).
• Reforzar los permisos de IAM.
• Aumentar la automatización de la seguridad.

En el  informe hecho público se brindan detalles sobre cada una de estas recomendaciones, incluida una guía de mejores prácticas de ocho pasos para fortalecer los permisos de IAM.