Netskope advierte del peligro de la explotación de los servicios cloud en el modelo Cyber Kill Chain
Netskope advierte del peligro de la explotación de los servicios cloud en el modelo Cyber Kill Chain
Si no se protegen adecuadamente,
los servicios cloud pueden ampliar la superficie de ataque de una organización en
distintas fases. Solo una tecnología cloud nativa puede detectar y mitigar las
amenazas propias de la nube
Santa
Clara (CA), 11 de noviembre de 2019.-. El
advenimiento de las aplicaciones en la nube ha provocado que el modelo Cyber
Kill Chain, diseñado para ayudar a mitigar los ataques más avanzados de la
red, esté cambiado. Por ello, Netskope,
compañía líder en soluciones de Seguridad Cloud,
analiza cómo se están explotando los servicios cloud dentro
de cada etapa de esta cadena.
“Con
algunos ejemplos notorios de campañas maliciosas que han utilizado la nube para
evadir las tecnologías de seguridad tradicionales, el modelo Cyber Kill Chain ha
acrecentado los temores de los
cautelosos responsables de seguridad al respecto de los servicios cloud. Si no
se protegen adecuadamente estos servicios, la superficie de ataque de una
organización puede verse amplificada”, afirma Paolo Passeri, Arquitecto de Soluciones Globales de Netskope. “Asimismo,
es vital no descuidar otras puertas de entrada como la web o el correo
electrónico. En Netskope utilizamos el término "amenazas híbridas" para definir ataques que
aprovechan este enfoque mixto para permanecer bajo el radar de las soluciones
de seguridad tradicionales”
Siete
eslabones de una cadena: anatomía de un ataque
Aunque
hay muchos modos de dividir esta cadena, su forma más simple abarca siete
fases:
La fase
de reconocimiento puede albergar múltiples métodos para obtener
información de una víctima, incluyendo la investigación de los elementos
vulnerables de la infraestructura o de los seres humanos, como recursos cloud mal
configurados o información confidencial compartida en servicios cloud en
apariencia inofensivos.
Tras
estudiar a la víctima, llega la militarización; el actor malicioso crea la
infraestructura necesaria para realizar su trabajo (páginas de phishing, puntos
de distribución de malware…) y -si así lo estima- aloja estos recursos en servicios
cloud, aprovechando su resistencia y disponibilidad, escalabilidad y su
facilidad para permitir la creación de recursos rápidamente.
No
obstante, quizás lo más importante es que los servicios cloud no suelen ser
inspeccionados o se incluyen en la lista blanca de las tecnologías tradicionales.
Por ello, si un ciberdelincuente decide explotar una vulnerabilidad
para ejecutar código en el sistema de la víctima, utilizará los servicios
cloud: un sistema
adaptado al contexto advertiría que los datos están siendo introducidos en una
instancia de AWS o Azure externa a la organización, sin embargo, las
tecnologías de seguridad tradicionales no pueden hacer esto.
Las
páginas de phishing también pueden ser gestionadas desde la nube. De hecho, una carga útil
maliciosa entregada desde un servicio cloud conocido tiene mayor
probabilidad de ser ejecutada. Del mismo modo, los servicios cloud pueden ser
utilizados como redireccionadores a sitios de distribución de
malware utilizados para ataques dirigidos.
Tras la
fase de entrega, el malware se instala en el sistema comprometido para
después conectarse a la infraestructura de comando y control (Callback)
del atacante. Con esta conexión, el atacante puede filtrar información, utilizar
un endpoint para lanzar ataques DDoS o campañas de spam, o establecer una base
de apoyo para profundizar en la organización víctima. En este punto, los atacantes
pueden utilizar servicios de confianza como AWS y Google Drive o aplicaciones
como Twitter o Slack para ocultar el canal de
comunicación. La inspección SSL requiere muchos recursos para las tecnologías
locales heredadas, e introduce latencia, por lo que es muy probable que no sea realizada.
Por último, tiene lugar la persistencia.
Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración
de los servicios críticos alojados en la nube, aumentar los privilegios para
obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas
instancias con fines maliciosos, como el criptojacking. Las
credenciales robadas, las cuentas filtradas o la mala configuración de los
servicios en la nube son formas típicas que utilizan los atacantes para entrar
en los servicios cloud y moverse lateralmente.
Dado que únicamente una
tecnología cloud nativa puede detectar y mitigar las amenazas propias de la
nube, es recomendable optar por una solución cien por cien cloud como
Netskope. Su tecnología patentada Cloud
XD elimina los puntos ciegos, yendo más allá que cualquier otro proveedor
de seguridad para identificar y controlar rápidamente las actividades a través
de miles de servicios en la nube, tanto SaaS, como IaaS y millones de sitios
web. La plataforma cloud de Netskope
puede encontrar amenazas híbridas y aplicar políticas de uso tanto para
servicios no autorizados como para instancias no autorizadas de servicios cloud
aceptados.
Con un control total a
través de una interfaz nativa de la nube, los clientes se benefician de la
protección de datos 360 grados vigilando los datos en todas partes y ofreciendo
protección frente a amenazas avanzadas y deteniendo ataques esquivos.
Además de una tecnología
de eficacia probada, Netskope recomienda también seguir determinadas pautas que
van, desde la evaluación periódica
y sostenida de la seguridad de los recursos de IaaS; hasta la ejecución de
análisis DLP del contenido compartido externamente en aplicaciones cloud
permitidas, para impedir la fuga de información.
Asimismo, los usuarios deben ser
advertidos ante los peligros de ejecutar macros no firmadas u otras procedentes
de una fuente no fiable, incluso aunque parezcan provenir de un servicio cloud
legítimo o abrir cualquier archivo (a menos que tengan la certeza de que son
inofensivos) independientemente de sus extensiones. Por último, mantener actualizados
los sistemas y el AV con las últimas versiones y parches es otra recomendación.
Para
más información sobre los productos y soluciones de Netskope, por favor,
visite: https://www.netskope.com/es/
Acerca de Netskope
El perímetro de la
red se está diluyendo. Se necesita un nuevo perímetro que pueda proteger los
datos y a los usuarios allá donde estén, sin menoscabo en los procesos de
negocio. La seguridad en la nube de Netskope proporciona
una visibilidad única, protección de datos, y defensa frente a amenazas en
tiempo real cuando los usuarios acceden a servicios en la nube, sitios web y
aplicaciones privadas desde cualquier lugar y desde cualquier dispositivo. Solo
Netskope entiende la nube y ofrece seguridad centrada en datos desde una de las
redes de seguridad más grandes y rápidas del mundo, proporcionando a las
organizaciones el perfecto equilibrio de protección y velocidad que necesitan
para permitir la continuidad del negocio y asegurar su transformación digital. Reimagine su perímetro con Netskope. Para
obtener más información, visite nuestro sitio web
No hay comentarios.