[19/04/2023] Los actores de las amenazas son cada vez más expertos en explotar problemas comunes y cotidianos en la nube, como configuraciones erróneas, credenciales débiles, falta de autenticación, vulnerabilidades sin parches y paquetes maliciosos de software de código abierto (OSS). Mientras tanto, los equipos de seguridad tardan una media de 145 horas en resolver las alertas, y el 80% de las alertas en la nube se activan por sólo el 5% de las reglas de seguridad en la mayoría de los entornos.
Así se desprende del Informe sobre amenazas en la nube, volumen 7, de Unit 42, que analizó las cargas de trabajo de 210 mil cuentas en la nube de 1.300 organizaciones diferentes para obtener una visión completa del panorama actual de la seguridad en la nube. El informe citaba un pequeño conjunto de comportamientos de riesgo en la nube que se observan repetidamente en las organizaciones, y advertía de que el tiempo medio para remediar las alertas (unos seis días) ofrece una larga ventana de oportunidad a los adversarios para explotar las vulnerabilidades de la nube.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Siguen predominando los permisos excesivos en la nube, la autenticación débil y la exposición pública
Las conclusiones de este año se hacen eco de muchas de las de informes anteriores de Unit 42 sobre seguridad en la nube. La investigación del año pasado, que se centró principalmente en soluciones de gestión de identidades y accesos (IAM) mal configuradas, descubrió que casi todos los usuarios, funciones, servicios y recursos en la nube conceden permisos excesivos, lo que deja a las organizaciones vulnerables a la expansión de los ataques en caso de compromiso. El informe de este año reveló que este sigue siendo un problema importante, especialmente cuando los atacantes combinan los permisos excesivos con el robo y la explotación de credenciales codificadas. Según el último estudio, el 83% de las organizaciones tienen credenciales codificadas en sus sistemas de gestión de control de código fuente, y el 85% tiene credenciales codificadas en los datos de usuario de las máquinas virtuales.
Más de la mitad (53%) de las cuentas en la nube analizadas en la investigación del año pasado permitían el uso de contraseñas débiles y el 44% permitían la reutilización de contraseñas. Este año, la Unidad 42 descubrió que la autenticación débil persiste. Tres cuartas partes (76%) de las organizaciones no aplican la MFA a los usuarios de consola, el 58% no aplica la MFA a los usuarios root/admin y el 57% no aplica símbolos en las contraseñas, según Unit 42.
Los recursos en la nube expuestos públicamente también siguen siendo un problema. El año pasado, casi dos tercios (62%) de las organizaciones tenían recursos en la nube expuestos públicamente. Los datos de este año revelan que el 73% de las organizaciones tienen el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) expuesto a la Internet pública, el 75% tienen servicios SSH expuestos y el 41% tienen servicios de bases de datos (por ejemplo, SQL Server, MySQL, Redis) expuestos. Además, se descubrió la existencia de datos confidenciales en el 63% de los cubos de almacenamiento expuestos públicamente.
Los riesgos de la cadena de suministro de software aumentan a medida que evoluciona el uso de OSS en la nube
Según la última versión del informe de Unit 42, el creciente uso de OSS en la nube aumenta los riesgos de la cadena de suministro. Entre ellos se incluyen la probabilidad de software depreciado o abandonado, contenido malicioso y ciclos de aplicación de parches más lentos. Según el informe, se descubrieron más de 7.300 paquetes maliciosos de OSS en los principales registros de gestores de paquetes. Aunque se desconoce el número de exploits realizados con éxito por los actores de la amenaza, los investigadores demostraron varias técnicas, como la confusión de dependencias y la toma de control de cuentas, que se infiltraron eficazmente en la cadena de suministro de software de varias grandes empresas tecnológicas.
Las vulnerabilidades no parcheadas en la nube, fruta madura para los ataques
Las vulnerabilidades sin parchear suponen una importante amenaza para la seguridad de las organizaciones, exacerbada por el OSS y la escala de lo que las organizaciones tienen que gestionar. Según el informe, pueden surgir nuevas vulnerabilidades en cualquier momento y, en un entorno de nube, una sola vulnerabilidad en el código fuente puede reproducirse en varias cargas de trabajo, lo que supone un riesgo para toda la infraestructura de la nube. Esto subraya el hecho de que, por muy segura que sea la infraestructura de nube subyacente, las aplicaciones vulnerables en la nube abren posibles vectores de ataque.
Casi dos tercios (63%) de los repositorios de código fuente analizados por la Unidad 42 presentan vulnerabilidades altas o críticas, y el 51% de ellos tienen al menos dos años de antigüedad. De los servicios orientados a Internet que se alojan en nubes públicas, el 11% contiene vulnerabilidades altas o críticas, el 71% de las cuales tienen al menos dos años de antigüedad.
Crece la superficie de ataque de las aplicaciones nativas de la nube, el sector cambia a las CNAPP
Las organizaciones deben esperar que la superficie de ataque de las aplicaciones nativas de la nube crezca a medida que los actores de amenazas se dirijan a la mala configuración de la infraestructura de la nube, las API y la propia cadena de suministro de software, señaló Unit42. Para protegerse de estas amenazas, el sector se alejará de las soluciones de seguridad puntuales y se acercará a las plataformas de protección de aplicaciones nativas de la nube (CNAPP), que ofrecen una gama completa de funciones a lo largo del ciclo de vida de desarrollo de las aplicaciones.
"El complejo entorno actual de la nube ha creado capas de servicios y soluciones que se solapan, pero que no siempre se integran bien. John Yeoh, vicepresidente global de investigación de Cloud Security Alliance, explicó a CSO que "las soluciones puntuales tienen dificultades para integrarse y escalar entre múltiples servicios.
Estas capas se abstraen hasta el punto en que las soluciones de tipo CNAPP proporcionan una visibilidad de fuente única y un punto de control centralizado para la seguridad, añadió Yeoh. "El atractivo de las CNAPP es la capacidad de gestionar las cargas de trabajo, controlar el acceso y evaluar el riesgo en una única solución que ayuda a escalar y automatizar la seguridad durante todo el ciclo de vida de una aplicación en la nube y a través de estos entornos complejos".
Añadir una capa como CNAPP para gestionar las capas de complejidad inferiores es necesario hasta que necesitemos otra capa de gestión por encima de las capacidades de CNAPP, afirmó Yeoh. "CNAPP es un paso en la evolución del entorno de TI actual".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú