
En abril de 2018, el proveedor de plataformas de seguridad en la nube, ShieldX, describió seis categorías de amenazas de seguridad en la nube que cree que podrían ocurrir. La mayoría de las organizaciones tendrán dificultades para mitigar el riesgo de estas amenazas, debido a la brecha entre sus defensas y la naturaleza de las amenazas, señala Manuel Nedbal, CTO y vicepresidente senior de ShieldX. “Existe un desfase entre el factor de forma físico del centro de datos y el perímetro virtual. Los controles de seguridad tradicionales fueron construidos para proteger el factor de forma físico, lo que abre la puerta a las amenazas de seguridad”.
Estos controles deben cambiar a medida que las organizaciones realizan la transición a centros de datos virtualizados y en contenedores en nubes privadas y públicas. “La seguridad tiene que adaptarse a esas nuevas fronteras entre y dentro de las infraestructuras virtuales”, anota Nedbal. Añade que las herramientas de seguridad en la nube deben ser “muy pequeñas, muy dinámicas, colocadas donde y cuando sea necesario, y a la escala adecuada”.
1. Ataque entre nubes: Con un ataque multi-nube, un hacker puede, por ejemplo, acceder a los sistemas locales y a los sistemas de cloud privada a través de una nube pública. Las cargas de trabajo en una nube pública, que son asumidas por actores maliciosos, podrían llevar a extender el ataque a la nube privada.
El riesgo se minimiza si las defensas laterales correctas están en su lugar; pero al trasladarse a organizaciones de nubes públicas, a menudo pasan por alto el hecho de que el perímetro de seguridad se extiende hacia el nuevo entorno. Sin embargo, las nubes públicas no ofrecen los mismos controles de seguridad que las defensas locales y es difícil mover la seguridad tradicional. “La cantidad de ataques contra la nube está aumentando”, comenta Nedbal. Los hackers monitorean las nuevas instancias de nube. “Tan pronto como haya una carga de trabajo que exponga los servicios públicamente, será atacada y las defensas en las nubes públicas serán más débiles que los controles tradicionales en las instalaciones”. Además, si una organización tiene diferentes conjuntos de controles para sus sistemas en las instalaciones y en la nube, podría dejar huecos que los hackers explotarían.
2. Ataque entre centros de datos: Una vez que un hacker viola la ubicación de un centro de datos, el siguiente paso para ellos es propagarse lateralmente. La razón de que esto sea posible, es que las conexiones entre los puntos de entrega (PoDs, por sus siglas en inglés) en un centro de datos, se consideran zonas de confianza. Si un atacante compromete un PoD, puede propagarse a otros centros de datos conectados.
En una entrada de blog, Nedbal aconsejó enviar todo el tráfico a través de un sistema de defensa de varias capas, con un conjunto similar de controles de seguridad que se encuentran en el perímetro.
3. Ataques interusuario: En un entorno multiusuario, los hackers pueden explotar el tráfico de red entre los usuarios de la nube. Éstos pueden asumir que el proveedor ha asegurado sus activos en la nube, pero en realidad son responsables de implementar gran parte de las defensas. Una vez más, el envío de tráfico a través de un sistema de defensa de múltiples capas con los controles adecuados reducirá el riesgo de esta amenaza de nube, pero requiere la capacidad de colocar esos controles a la escala adecuada en el lugar y el momento necesarios.
4. Ataque de carga cruzada: Las cargas de trabajo y los contenedores virtualizados y basados en la nube pueden conectarse fácilmente con otros. Ponga en peligro una carga de trabajo y un atacante podrá acceder a otras, tanto si se produce en un escritorio virtual como en un servidor web virtual o en una base de datos. Es difícil defenderse contra ataques de cargas de trabajo cruzadas, especialmente si se ejecutan en el mismo ambiente. “Si simplemente se sellan todas las cargas de trabajo entre sí, entonces son seguras, pero no serán capaces de realizar la función para la que están diseñadas”, señala Nedbal. En una entrada de blog, aconsejó que las cargas de trabajo con requisitos de seguridad similares, deberían colocarse en una zona que tenga controles adecuados para supervisar el tráfico, además de la segmentación básica.
5. Ataques de orquestación: La orquestación en la nube permite realizar muchas tareas clave, como el aprovisionamiento, la implantación de servidores, la gestión del almacenamiento y la red, la gestión de identidades y privilegios, y la creación de cargas de trabajo. Los hackers suelen ejecutar ataques de orquestación para robar los inicios de sesión de las cuentas, o las claves de criptografía privadas. Con ellos, el atacante puede realizar tareas de orquestación para obtener esencialmente el control y el acceso. “Una vez dentro, [un atacante] puede crear cargas de trabajo adicionales para sus propios fines, como la criptografía minera, o eliminar cargas de trabajo”, indica Nedbal. Cuanto más privilegio pueden robar, más daño pueden hacer.
La manera de defenderse contra los ataques de orquestación, indica Nedbal, es a través del monitoreo del comportamiento de los administradores. “La amenaza de orquestación necesita un nuevo tipo de monitoreo de seguridad que no forme parte de los sistemas de seguridad de red tradicionales, y que busque patrones inusuales de comportamiento anómalo en las cuentas”, afirma.
6. Ataques sin servidor: Las aplicaciones serverless o sin servidor permiten a las organizaciones hacer girar rápidamente las funciones basadas en la nube, sin tener que construir o ampliar la infraestructura. Realizadas a través de las llamadas funciones como servicio (FaaS, por sus siglas en inglés), presentan nuevas oportunidades para los hackers y nuevos retos para los defensores de la red. Una nueva función podría tener acceso a activos sensibles como una base de datos. Si los privilegios para esa función están configurados incorrectamente, es posible que un atacante pueda realizar varias tareas a través de la función. Esto incluye el acceso a los datos o la creación de nuevas cuentas. Al igual que con los ataques de orquestación, la mejor manera de detectar un ataque sin servidor es monitoreando el comportamiento de la cuenta; pero para que sea efectivo, debe combinarse con la inspección del tráfico de la red.
¿Te gustó este artículo?
Podemos contactarnos pronto y de manera muy directa a través de las siguientes opciones: