[25/09/2020] Con regularidad, las noticias reportan sobre ataques a servidores mal configurados en la nube y los datos filtrados que los delincuentes obtienen de ellos. Los errores ocurren porque todos somos humanos. Podríamos configurar un servidor en la nube con credenciales débiles -o sin ellas-, y olvidarnos de ajustarlas cuando el servidor se ponga en producción. O no mantenemos el software actualizado cuando se descubren vulnerabilidades, o involucramos a TI con el fin de auditar la aplicación de producción terminada para garantizar que sea lo más segura posible.
La situación es demasiado común. Los estudios de Accurics encontraron una serie de errores de configuración básica en diversas prácticas en la nube. Como ejemplo, el estudio anterior encontró que existen errores de configuración de los servicios de almacenamiento en un impresionante 93% de sus encuestados.
Estos son diez de los errores más comunes:
1. Contenedores de almacenamiento no asegurados
En una semana determinada, los investigadores de seguridad descubren cachés de datos en servidores de nube abiertos. Pueden contener todo tipo de información confidencial sobre los clientes. Por ejemplo, tanto Avon como Ancestry.com tenían contenedores abiertos que fueron descubiertos a principios de este verano [septentrional]. Las cosas se han puesto tan mal que incluso el reseller de seguridad, SSL247, había dejado sus archivos en un contenedor AWS S3 abierto.
Chris Vickery de UpGuard se ha hecho un nombre con este tipo de descubrimientos. El blog de UpGuard tiene una larga lista de ellos. Los contenedores de almacenamiento abiertos se dan porque, a veces, los desarrolladores tienden a ser descuidados al crear y los pierden de vista. Debido a que el almacenamiento en la nube es tan barato y fácil de crear, estos contenedores han proliferado a lo largo de los años.
Soluciones: Compruebe periódicamente su propio dominio utilizando una de las herramientas de descubrimiento más populares, como Shodan.io o BinaryEdge.io. Revise este artículo con herramientas para asegurar los contenedores, o use las herramientas nativas de Docker y el uso de soluciones nativas de la nube de Amazon, como Inspector, GuardDuty y CloudWatch. Finalmente, segmente sus servidores en la nube con herramientas como AWS Virtual Private Clouds o Azure Virtual Networks.
2. Falta de protección de las aplicaciones
Los firewalls de red no le ayudan cuando se trata de monitorear y proteger sus servidores web. Los ataques a aplicaciones web se duplicaron con creces según el informe de robo de datos de Verizon 2020. La página web promedio ejecuta docenas de herramientas de software, y sus aplicaciones pueden tejerse a partir de una colección compleja de diferentes productos que acceden a docenas de servidores y servicios. WordPress es particularmente vulnerable, ya que este ejemplo encontró cerca de un millón de sitios en riesgo.
Soluciones: Si tiene un blog de WordPress, compre una de las herramientas mencionadas aquí. Esa publicación también tiene técnicas para reducir su exposición, las cuales pueden generalizarse para otras páginas web. Para servidores de aplicaciones generales, considere usar un firewall de aplicaciones web. Además, si está ejecutando Azure u Office 365, considere la vista previa pública de Defender Application Guard de Microsoft, que puede ayudarle a detectar amenazas y evitar que el malware se propague por su infraestructura.
3. Confiar en SMS MFA para proteger una cuenta, o no tener MFA en absoluto
La mayoría de nosotros sabemos que el uso de mensajes de texto SMS, como factor de autenticación adicional, se ve fácilmente comprometido. Una situación mucho más común es la falta de autenticación multifactorial (MFA, por sus siglas en inglés) en la mayoría de las aplicaciones en la nube. Orca descubrió que una cuarta parte de los encuestados en su estudio no utilizó MFA para proteger sus cuentas de administrador. Solo un desplazamiento rápido por la página web Two Factor Auth muestra que la mitad o más de las aplicaciones típicas enumeradas -como Viber, Yammer, Disqus y Crashplan- no soportan ningún método de autenticación adicional.
Solución: Si bien no hay mucho que pueda hacer con respecto a las aplicaciones comerciales que no soportan mejores -o ningún- método de MFA, puede usar una aplicación de autenticación de Google, o Authy, para proteger la mayor cantidad posible de aplicaciones SaaS, especialmente para aquellas cuentas de administrador que tienen más derechos. También supervise los roles de administrador global de Azure AD para detectar cambios.
4. No conocer sus derechos de acceso
Hablando de derechos de acceso, existen dos problemas básicos para realizar un seguimiento de los usuarios que pueden acceder a una aplicación. En primer lugar, es que muchas áreas de TI siguen ejecutando todos sus terminales de Windows con derechos de administrador. Si bien esto no es un problema exclusivo de la nube, las máquinas virtuales y los contenedores basados en la nube también pueden tener demasiados administradores -o compartir la misma contraseña de administrador- y es mejor bloquearlos. En segundo lugar, su equipo de seguridad no puede detectar ataques de escalado de privilegios comunes en su infraestructura.
Soluciones: Consiga una herramienta de gestión de identidad privilegiada como BeyondTrust, Thycotic o CyberArk. Luego, audite periódicamente los cambios en los permisos de su cuenta.
5. Dejar los puertos abiertos
¿Cuándo fue la última vez que usó FTP para comunicarse con uno de sus servidores en la nube? Exactamente. Aquí hay una advertencia del FBI sobre una violación del 2017 usando FTP.
Solución: Apague esos puertos antiguos e innecesarios ahora, y reduzca su superficie de ataque.
6. No estar pendiente del acceso remoto
La mayoría de los servidores en la nube tienen una variedad de formas de conectarse de forma remota, como RDP, SSH y consolas web. Todo puede verse comprometido con las credenciales correctas, contraseñas deficientes o puertos desprotegidos.
Solución: Supervise estos flujos de red y bloquéelos de forma adecuada.
7. No administrar sus secretos
¿Dónde almacena sus claves de cifrado, contraseñas de administrador y llaves de API? Si lo hace en un archivo de Word local, o en un Post-It, necesita ayuda. Tiene que proteger mejor estos datos y compartirlos con el menor número posible de desarrolladores autorizados.
Soluciones: Servicios como AWS Secrets Manager, AWS Parameter Store, Azure Key Vault y Hashicorp Vault son algunos ejemplos de herramientas de administración de secretos robustas y capaces de crecer en escala.
8. La maldición de GitHub: Confiar en la cadena de abastecimiento
Dado que los desarrolladores utilizan más herramientas de código abierto, han ampliado sus cadenas de abastecimiento de software, lo que significa que debe comprender la relación de confianza, y proteger el camino completo que toma el software a lo largo de todo su proceso de desarrollo y ciclo de vida. A principios de este año, el personal de TI de GitHub encontró 26 proyectos de código abierto NetBeans (una plataforma de desarrollo Java) diferentes que tenían backdoors integradas y distribuían malware activamente. Ninguno de los propietarios de estos proyectos sabía que su código había sido comprometido. Parte del problema es que es difícil diferenciar cuándo hay un simple error tipográfico en su código, y cuándo se ha creado un backdoor real.
Solución: Utilice las herramientas de seguridad para contenedores mencionadas en el primer elemento de la parte superior, y comprenda la cadena de custodia en sus proyectos más utilizados.
9. No contar con registros significativos
¿Cuándo fue la última vez que revisó alguno de sus registros? Si no lo recuerda, esto puede ser un problema, especialmente para los servidores en la nube, porque pueden proliferar y no ser lo más importante. Esta publicación del blog de Dons muestra cómo ocurrieron los ataques gracias a una mala práctica con los registros.
Solución: AWS CloudTrail le brindará una mejor visibilidad, en tiempo real, de sus servicios en la nube. Además, active el registro de eventos para cambios en la configuración de la cuenta, creación de usuarios y fallas de autenticación, solo por nombrar algunos.
10. No aplicar las actualizaciones a los servidores
El hecho de que tenga servidores basados en la nube no significa que automáticamente aplicarán actualizaciones, o cambiarán a las últimas versiones. (Aunque algunos proveedores de servicios gestionados y de alojamiento en la nube ofrecen este servicio). El estudio de Orca, citado anteriormente, encontró que la mitad de los encuestados ejecutan al menos un servidor desactualizado. La cantidad de ataques que se han producido debido a servidores sin actualizar es demasiado larga para enumerarla aquí.
Solución: Esté más atento a la administración de actualizaciones y utilice proveedores que le notificarán sobre las actualizaciones importantes de manera oportuna.
David Strom, CSO (EE.UU.)