Los ataques a la nube se expanden exponencialmente a medida que las organizaciones de todo el mundo comparten, almacenan y gestionan cada vez más datos. Esta expansión a menudo se produce de formas desconocidas, que no se tienen en cuenta o que están protegidas de formas incorrectas. Para los responsables de las amenazas, cada carga de trabajo en la nube representa una oportunidad y, sin una gestión correcta, las organizaciones se exponen a riesgos de diferentes clases.
Si bien los informes anteriores se centraban en una sola amenaza (por ejemplo, la gestión del acceso a la identidad, los ataques a la cadena de suministro y la seguridad de los contenedores), este Unit 42 Cloud Threat Report Volume 7 se centra en un problema mayor y más amplio: los actores de las amenazas se han convertido en expertos a la hora de explotar anomalías comunes y cotidianas en la nube. Entre esos problemas se encuentran errores de configuración, credenciales débiles, falta de autenticación, vulnerabilidades sin parches y paquetes maliciosos de software de código abierto (OSS).
El informe incluye un análisis de dos casos reales de respuestas a incidentes de filtraciones en la nube registrados en 2022. Tras identificar y eliminar el anonimato de las víctimas, se ilustra cómo los agresores se aprovecharon de los datos confidenciales filtrados en la dark web a raíz de la interrupción de la actividad empresarial causada por el ransomware.
A continuación se presenta un resumen de los aspectos más relevantes de la investigación y las recomendaciones del Unit 42 Cloud Threat Report, Volume 7: Navigating the Expanding Attack Surface:
De media, los equipos de seguridad tardan 145 horas (aproximadamente 6 días) en resolver una alerta de seguridad. El 60% de las organizaciones tarda más de cuatro días en solucionar problemas de seguridad.
En los entornos cloud de la mayoría de las organizaciones, el 80% de las alertas se activan por solo el 5% de las normas de seguridad. En otras palabras, cada organización tiene un pequeño conjunto de comportamientos de riesgo que se observan repetidamente en sus cargas de trabajo en la nube, como políticas de firewalls sin restricciones, bases de datos expuestas y autenticación multifactor (MFA) no aplicada. Dar prioridad a la corrección de estos problemas puede maximizar el rendimiento de las inversiones en seguridad.
El 63% de las bases de código en producción tienen vulnerabilidades sin parchear clasificadas como altas o críticas (CVSS >= 7,0).
El 76% de las organizaciones no aplican MFA (Multifactor Authentication) para usuarios de consola, mientras que el 58% de las organizaciones no aplican MFA para usuarios raíz/administradores.
Controles comunes en la nube
El informe, basado en datos a gran escala recopilados en 2022, examina filtraciones reales que afectaron a empresas medianas y grandes, detalla los problemas observados en miles de entornos multicloud y analiza el impacto de las vulnerabilidades de OSS en la nube. En concreto, se analizaron las cargas de trabajo en 210.000 cuentas en la nube de 1.300 organizaciones diferentes. Dado que muchas organizaciones tienen ahora múltiples despliegues en la nube, las brechas en la seguridad están recibiendo más atención por parte de los actores de amenazas.
Gráfico 1: El intervalo de tiempo, en días, que tardan las organizaciones en resolver las alertas de seguridad. Un 40% de las organizaciones resuelve las alertas de seguridad en un plazo de cuatro días.
Si bien los errores de los usuarios, como las configuraciones inseguras, continúan siendo la principal preocupación, los investigadores de Unit 42 también observaron problemas derivados de las plantillas y configuraciones predeterminadas que proporcionan los proveedores de servicios en la nube (CSP). Estos ajustes y características son cómodos y facilitan la adopción de nuevas tecnologías, pero no sitúan a los usuarios en el estado inicial más seguro.
- El 76% de las empresas no aplican la MFA a los usuarios de consolas.
- Se detectaron datos confidenciales en el 63% de los buckets de almacenamiento expuestos públicamente.
- Impactos y riesgos del software de código abierto (OSS) en la nube
El software de código abierto ha sido uno de los motores de la revolución de la nube. Sin embargo, el mayor uso de OSS en la nube también aumenta la complejidad, incrementando la probabilidad de software depreciado o abandonado, contenido malicioso y ciclos de parcheo más lentos. Esto responsabiliza a los usuarios finales de examinar el OSS antes de integrarlo en las aplicaciones. La tarea es especialmente difícil cuando las organizaciones tienen que gestionar docenas de proyectos que dependen de miles de OSS.
Gráfico 2: El número de vulnerabilidades en los proyectos del CNCF clasificados por idiomas. Recomendaciones: Dificultar la tarea de los actores de la amenaza
Las organizaciones deben esperar que la superficie de ataque de las aplicaciones nativas de la nube continúe creciendo a medida que los actores de amenazas encuentren vías más creativas para atacar infraestructuras de nube mal configuradas, API y la propia cadena de suministro de software.
Para protegerse de estas amenazas, el informe proporciona orientaciones prácticas para solventar las deficiencias en la seguridad de la nube, como por ejemplo: ”debe existir un proceso automatizado de copia de seguridad para cualquier carga de trabajo en la nube que pudiera interrumpir las operaciones empresariales si se cayera. Las copias de seguridad se deben almacenar en ubicaciones protegidas y aisladas del entorno de producción a través de múltiples ubicaciones geográficas para evitar un único punto de fallo. Todas las organizaciones tienen que tener un plan de continuidad de negocio y recuperación de desastres (BC/DR) que incorpore el proceso de recuperación de copias de seguridad”.
Por otra parte, se prevé que el sector abandone las soluciones de seguridad puntuales y se decante por las plataformas de protección de aplicaciones nativas de la nube (CNAPP), las cuales ofrecen una gama completa de funciones a lo largo del ciclo de vida de desarrollo de las aplicaciones. Gartner confirma esta previsión y señala que se producirá un repunte significativo en la adopción de las CNAPP, habiendo informado de un aumento del 70 % en las consultas de los clientes en relación con las CNAPP entre 2021 y 2022.
Como el informe señala claramente, la única manera de defendernos contra el alcance y la gravedad de las amenazas de seguridad actuales es estar constantemente un paso por delante de los atacantes que las cometen.