Durante la primera mitad de este año, la seguridad cibernética se ubicó en el ojo del huracán, rodeada por ciberdelincuentes a la espera de la más mínima oportunidad para devastar activos valiosos de las empresas. Entonces, hoy existen riesgos y amenazas desde todos los ángulos, involucrando técnicas actualizadas y una mayor motivación para afectar a ciertas industrias específicamente. Estos problemas de seguridad incluyen ataques de ransomware modernos de alto perfil, campañas activas, vulnerabilidades críticas, estafas relacionadas con Covid-19 y otros riesgos, sin mencionar el desarrollo de amenazas en la nube y el Internet de las cosas (IoT).
De acuerdo con los resultados presentados por Trend Micro en el reporte de seguridad del primer semestre de 2021, la infraestructura cloud está siendo el blanco perfecto para desarrollar diferentes ataques. Las organizaciones declaran que los principales peligros en esta área están en la seguridad, por ende se debe pensar en cómo protegerla.
A continuación, se muestra una descripción general de lo que se está viendo en este tipo de ataques.
En el informe del primer semestre, se destaca un grupo de APT (amenaza persistente avanzada) llamado TeamTNT el cual fijó su objetivo en la nube hace bastante tiempo. Dicho grupo ha centrado la mayor parte de sus esfuerzos en plantar un malware de minería criptográfica en servidores cloud con el fin de extraer criptomonedas de Monero, igualmente se ha visto utilizar bots DDoS IRC, robar credenciales de cuentas en la nube y exfiltrar datos.
En relación a esto último, los actores de APT utilizaron el almacenamiento de archivos basado en la nube para exfiltrar sus datos robados. Por ejemplo, se descubrió que los operadores Conti utilizan la herramienta de sincronización Rclone para cargar archivos al servicio de almacenamiento Mega Cloud.
De manera similar, el uso de herramientas legítimas conocidas ya hace parte de los ataques, los operadores de DarkSide utilizaron al cliente Mega para filtrar archivos al almacenamiento en la nube, 7-Zip para archivar y la aplicación PuTTY para transferencias de archivos de red. Por lo que ahora, muchas organizaciones necesitan buscar formas de monitorear el uso de herramientas legítimas dentro de sus redes para identificar cualquier uso malicioso.
Al desarrollar su estrategia y arquitectura de seguridad en la nube, es importante tener siempre presentes los fines, en este caso, ¿cuáles son las motivaciones y los objetivos finales de un atacante? La mayoría de los ataques a la nube se ubican en alguna de las siguientes áreas iniciales: descubrimiento de cuentas, compromiso de aplicaciones, descubrimiento de bases de datos y exposición de claves API.
Dependiendo de lo que esté haciendo como parte de su infraestructura en la nube, usted debería ser capaz de identificar si alguno o todos estos objetivos podrían ser puntos de riesgo, y a partir de esa valoración, puede trabajar en retrospectiva con el fin de desarrollar una estrategia correcta para proteger esas áreas de acceso inicial.
Un desafío al que se enfrentan muchas organizaciones es que la nube no es simple, y muchas de las tecnologías que la componen son nuevas, al igual que sus funciones las cuales se implementan todo el tiempo. Comprender cómo funcionan y, lo que es más importante, cómo protegerlos puede resultar muy difícil.
Utilizar un enfoque de plataforma de seguridad puede ayudarlo a construir una nube más segura, pero educar a sus arquitectos y administradores también ayudará. Un área clave es el fortalecimiento de las credenciales de su cuenta, ya que estos serán atacados regularmente por actores malintencionados. El uso de la autenticación multifactor para acceder a todas las cuentas puede minimizar enormemente este riesgo.
Finalmente, las empresas deben considerar todas las facetas de su postura de seguridad, no solo para sobrevivir a las nuevas arquitecturas de trabajo híbrido y remoto implementadas con rapidez a causa de la pandemia, sino también como una estrategia con miras a prosperar más allá de ella.