Un estudio de Accurics dijo que las brechas en la nube probablemente aumentarán en velocidad y escala a medida que más empresas se trasladen a la nube.
Getty Images / iStockphoto
Algunas de las mayores infracciones de 2019 se remontan a problemas relacionados con la nube, y la cantidad de hacks solo aumentará ahora que más organizaciones se están volviendo digitales, según la empresa de seguridad en la nube Accurics.
En su edición de verano de 2020 del informe “Accurics State of DevSecOps”, los investigadores de la compañía explican los problemas de seguridad más comunes que ven y describen algunas formas en que las empresas pueden abordarlos.
VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)
El estudio encontró que Los servicios de almacenamiento en la nube mal configurados eran cada vez más comunes en el 93% de las implementaciones en la nube. que fueron analizados. Muchas de las implementaciones que examinaron los investigadores tenían al menos una exposición de red en la que un grupo de seguridad quedó abierto de par en par. Estos dos problemas por sí solos han provocado casi 200 infracciones que han dado a los atacantes acceso a 30 mil millones de registros en los últimos dos años, según el informe.
“Si bien la adopción de infraestructura nativa de la nube, como contenedores, sin servidor y servicemesh, está impulsando la innovación, las configuraciones incorrectas se están volviendo comunes y crean una seria exposición a riesgos para las organizaciones”, dijo el cofundador y CTO de Accurics Om Moolchandani.
“A medida que la infraestructura en la nube se vuelve cada vez más programable, creemos que la defensa más eficaz es codificar la seguridad en los canales de desarrollo y hacerla cumplir durante todo el ciclo de vida de la infraestructura. La receptividad de la comunidad de desarrolladores para asumir una mayor responsabilidad de seguridad ha sido alentadora y un la dirección correcta.”
VER: Principales proveedores de nube en 2020: AWS, Microsoft Azure y Google Cloud, híbridos, reproductores SaaS (TechRepublic)
Los investigadores de Accurics descubrieron que muchas de las infracciones más dañinas del mundo podrían originarse en claves privadas codificadas, que se encontraron en el 72% de las implementaciones. Sus hallazgos indican que una de cada dos implementaciones tenía credenciales desprotegidas almacenadas en archivos de configuración de contenedores, y estas claves y credenciales podrían dar a los atacantes acceso a recursos sensibles de la nube.
En los últimos dos años, se han producido decenas de infracciones relacionadas con la nube. El estudio cita brechas en empresas como Imperva, Capital uno y CenturyLink así como al menos ocho aplicaciones de citas, exponiendo más de 845 GB de información. Otros casos más recientes, como marca de fitness V Shred y Aplicación de pago india Bharat Interface for Money expuso cientos de gigabytes de información financiera a los atacantes.
El estudio desglosa los problemas de seguridad en la nube más comunes en tres grupos. Uno involucró claves codificadas, que a veces tienen altos privilegios que cuando se violan pueden exponer todos los recursos asociados con ellas.
El segundo se relaciona con las políticas de administración de identidades y accesos (IAM) excesivamente permisivas, que pueden parecer necesarias en ciertas situaciones pero terminaron causando consecuencias no deseadas.
“Si bien puede haber razones legítimas para los privilegios elevados para un recurso de nube en particular, la mayoría de las organizaciones no evaluaron el impacto de los privilegios elevados en otros recursos que estaban usando las políticas”, dijo el informe.
“En el 89% de las implementaciones analizadas, las políticas estaban siendo utilizadas por uno o más recursos que son muy sensibles; para solucionar el problema, no se deben aumentar los privilegios o se debe aplicar una política de IAM separada a esos recursos”.
El tercer problema más común se originó en las exposiciones de la red resultantes de reglas de enrutamiento mal configuradas.
El informe encontró que los recursos sensibles, como las bases de datos, se alojaban en subredes privadas que estaban expuestas a Internet debido a las rutas que se creaban entre las subredes públicas y privadas para permitir la comunicación.
“En el 100% de las implementaciones analizadas, existía una ruta que exponía la subred privada a Internet. Esto es particularmente difícil de detectar para las organizaciones con verificaciones simples basadas en políticas que solo detectan si una subred está expuesta a Internet, pero no evalúan si la subred contiene recursos altamente sensibles, como bases de datos “, agregó el estudio.
VER: Calendario editorial de TechRepublic Premium: políticas de TI, listas de verificación, kits de herramientas e investigación para descargar (TechRepublic Premium)
Estos tres problemas crearon sus propios “caminos de brecha” que jugaron un papel en los ataques a CenturyLink, Imperva y Capital One. La violación de CenturyLink llevó a la exposición de 2.8 millones de registros de clientes, incluidos nombres, direcciones de correo electrónico, números de teléfono, domicilios y números de cuentas de CenturyLink.
Una configuración incorrecta de la red en la nube expuso una base de datos de MongoDB, lo que permitió que una cuenta que no era de administrador con políticas de IAM demasiado permisivas pudiera acceder a ella. La base de datos tampoco estaba encriptada, lo que facilitaba aún más a los atacantes tener en sus manos información confidencial, y el estudio señala que la empresa pasó 10 meses antes de darse cuenta de que había ocurrido la violación.
En agosto de 2019, Imperva pasó por algo similar cuando una configuración incorrecta de la red dio a los piratas informáticos acceso a correos electrónicos, contraseñas hash y saladas, y claves de API y claves TLS de algunos clientes.
“Un análisis de la infracción reveló que se creó un entorno de prueba en la nube y un recurso informático estaba mal configurado, lo que lo exponía a Internet (configuración incorrecta de la red). Esa instancia informática contenía una clave API codificada que fue descubierta por los atacantes y utilizada para acceder al base de datos “, dijo el estudio. “Las claves de API y TLS no tenían hash (violación de las mejores prácticas), lo que finalmente puso en riesgo a los clientes de Imperva. Esta violación tampoco fue detectada durante aproximadamente 10 meses”.
El estudio también profundiza en la violación masiva de Capital One en julio de 2019 que fue noticia en todo el mundo. Más de 100 millones de personas en los Estados Unidos y otros seis millones de personas en Canadá se vieron afectadas por las exposiciones de datos, que incluían 140.000 números de seguro social, 80.000 números de cuentas bancarias de consumidores estadounidenses y un millón de números de seguro social canadienses.
Según los investigadores de Accurics, una investigación del FBI reveló más tarde que los ciberdelincuentes pudieron obtener acceso a las claves de acceso de AWS que estaban asociadas con un rol de IAM con permisos excesivos. Al igual que CenturyLink, los datos no estaban encriptados, lo que lo hace aún más fácil para el atacante.
“La adopción de infraestructura nativa de la nube, como sin servidor, contenedores y malla de servicios, permite a las organizaciones ofrecer nuevas innovaciones al mercado. Desafortunadamente, se han expuesto más de 30 mil millones de registros como resultado de configuraciones incorrectas de la infraestructura de la nube durante los últimos dos años, y La velocidad de las brechas en la nube sigue aumentando “, dijo Moolchandani en el informe.
“Ahora es más importante que nunca comprender las prácticas de configuración de la infraestructura en la nube que están creando exposiciones”.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!