Con el título “El auge de los ciberdelincuentes orientados a la nube”, el reporte de riesgos de seguridad en la nube de Crowdstrike realizó una evaluación de las principales vulnerabilidades de las empresas frente a intrusiones criminales en la nube.
En el periodo de 2021 a 2022, el número de ciberataques a la nube aumentó en un 95%. A su vez, la cantidad de cibercriminales dedicados a este entorno se triplicó. La mayoría de estos atacantes utilizan la nube para guardar elementos de phishing y malware.
Entre los principales grupos de ciberdelincuentes analizados, desde Crowdstrike hicieron énfasis en Scattered Spider (eCrime), Cozy Bear (Rusia), Cosmic Wolf (Turquía) y Labyrinth Chollima (Corea del Norte).
Principales vulnerabilidades
El informe de Crowdstrike indicó que los ciberatacantes han sacado ventaja en el uso de cuentas válidas con acceso a los sistemas de las empresas contra las que atentan. En gran parte de los casos, las cuentas que utilizaban los delincuentes tenían incluso más privilegios de los necesarios para acceder, por lo que fueron capaces de alterar el rol para comprometer el entorno y moverse lateralmente.
Casi la mitad (47%) de los errores graves de configuración de la nube se debieron a una gestión inadecuada de las identidades y los derechos.
El factor humano es un aspecto que también debe ser considerado en la estrategia de ciberseguridad de las empresas. De acuerdo con esta investigación, el 60% de los contenedores analizados no contaban con medidas de seguridad configuradas correctamente.
De igual manera, más del 30% de los entornos en la nube tenían una configuración predeterminada del proveedor de servicios de nube que no era segura.
5 recomendaciones para fortalecer el ecosistema cloud
Para hacer frente a las crecientes amenazas de ciberseguridad en la nube, desde Crowdstrike acercan 5 consejos para que las empresas mejoren su estrategia y puedan prevenir un ciberataque.
- Priorizar la protección de identidades:
Los ciberdelincuentes utilizan identidades y permisos para acceder libremente a la nube de las empresas. Por eso, se recomienda que las organizaciones establezcan permisos adecuados para que los usuarios y las entidades accedan a los recursos en su entorno de nubes múltiples. Además, deben establecer la menor cantidad de privilegios posibles a los proveedores de nube, considerando solo aquellos que sean estrictamente necesarios. - Aumentar la visibilidad en las brecha de seguridad:
Cuando las organizaciones crecen, es fundamental vigilar todos los pequeños detalles cuya vulnerabilidad pueda suponer un riesgo de ciberseguridad. Mejorar la visibilidad le permite a las organizaciones detectar errores de configuración antes de que se conviertan en un problema. Las pruebas de seguridad de aplicaciones internas y externas también pueden proporcionar información sobre vulnerabilidades y configuraciones erróneas potencialmente peligrosas. - Incorporar monitoreo y visibilidad en tiempo real:
Al monitorear de forma constante la actividad en la nube y sistemas terminales, las organizaciones pueden detectar y prevenir movimientos laterales, interrupciones del rendimiento y problemas de cumplimiento. Las mejores prácticas incluyen: asegurar que su perfil de monitoreo se alinee con las limitaciones organizativas y técnicas, asegurar que las métricas y los eventos más importantes se incluyan en el alcance de monitoreo y elegir el software de monitoreo más efectivo. - Asegurar el parcheo oportuno:
Resulta fundamental que las organizaciones actualicen periódicamente el software en sus entornos de nube, asegurándose de que las vulnerabilidades se parcheen de manera oportuna y se realicen evaluaciones periódicas de las aplicaciones alojadas para identificar los defectos en el diseño y la implementación de las aplicaciones. Se debe tener especial cuidado en parchear la ejecución remota de código conocido y las vulnerabilidades de la SSRF en aplicaciones públicas que se ejecutan en la nube. - Detectar el comportamiento irregular en tiempo real:
La visibilidad de las cargas de trabajo en la nube y los conteiners es de suma importancia. Las organizaciones deben monitorear el comportamiento sospechoso, incluyendo instancias de nube y cuentas de nube recién creadas, credenciales o factores de MFA recién agregados, reglas de firewall modificadas, acceso a recursos de nube por entidades nuevas o inesperadas y desactivación de MFA mediante cambios de configuración.
Los resultados obtenidos de este relevamiento se basan en observaciones de casos reales, gracias a las funciones de Threat Hunting gestionado y respuesta a incidentes de CrowdStrike Falcon OverWatch, CrowdStrike Falcon Cloud Security y CrowdStrike Falcon Intelligence.
