La computación en la nube continúa ha introducido una nueva serie de amenazas y desafíos de seguridad transformando la forma en que las organizaciones usan, almacenan y comparten datos, aplicaciones y cargas de trabajo. Con tanta información en la nube, y en particular en los servicios de nube pública, estos recursos se convierten en objetivos naturales para los malos actores.
«El volumen de utilización de la nube pública está creciendo rápidamente, por lo que inevitablemente conduce a una gran cantidad de elementos sensibles que están potencialmente en riesgo», dice Jay Heiser, vicepresidente y líder de seguridad de la nube en Gartner, Inc.
Contrariamente a lo que muchos podrían pensar, la responsabilidad principal de proteger los datos corporativos en la nube no es del proveedor de servicios, sino del cliente de la nube. «Estamos en un período de transición de seguridad en la nube en el que el enfoque está cambiando del proveedor al cliente», dice Heiser. «Las empresas están aprendiendo que pasan mucho tiempo tratando de averiguar si algún proveedor de servicios en la nube en particular está ‘seguro’ o no tiene virtualmente ningún reembolso».
Para proporcionar a las organizaciones una comprensión actualizada de los problemas de seguridad en la nube para que puedan tomar decisiones informadas con respecto a las estrategias de adopción de la nube, la Cloud Security Alliance (CSA) ha creado la última versión de sus 12 principales amenazas para la computación en la nube Plus: Industria Informe deperspectivas .
El informe refleja el consenso actual entre los expertos en seguridad de la comunidad CSA sobre los problemas de seguridad más importantes en la nube. Si bien hay muchos problemas de seguridad en la nube, dice CSA, esta lista se enfoca en 12 específicamente relacionadas con la naturaleza compartida y bajo demanda de la computación en la nube. Un informe de seguimiento, Top Threats to Cloud Computing: Deep Dive , explora casos de estudio para la mayoría de las 12 amenazas.
Para identificar las principales preocupaciones, CSA realizó una encuesta a expertos de la industria para recopilar opiniones profesionales sobre los mayores problemas de seguridad dentro de la computación en la nube. Estos son los principales problemas de seguridad en la nube (clasificados por orden de gravedad según los resultados de la encuesta):
1. Violaciones de datos
Una violación de datos podría ser el objetivo principal de un ataque dirigido o simplemente el resultado de un error humano , vulnerabilidades de la aplicación o prácticas de seguridad deficientes , dice CSA. Puede incluir cualquier tipo de información que no haya sido divulgada públicamente, incluida la información médica personal, información financiera, información de identificación personal , secretos comerciales y propiedad intelectual. Los datos basados en la nube de una organización pueden tener valor para diferentes partes por diferentes razones. El riesgo de violación de datos no es exclusivo de la computación en la nube, pero se clasifica constantemente como una de las principales preocupaciones para los clientes de la nube.
El informe de Deep Dive cita el pirateo de la contraseña de LinkedIn de 2012 como un excelente ejemplo de incumplimiento. El atacante pudo robar 167 millones de contraseñas porque LinkedIn no saltó la base de datos de contraseñas. De acuerdo con el informe, la clave de esta violación es que las organizaciones siempre deben hacer hash y saltear las bases de datos que contienen credenciales de usuario e implementar el registro adecuado y el análisis de anomalías de comportamiento.
2. Gestión insuficiente de identidad, credenciales y acceso.
Los malos actores que se hacen pasar por usuarios legítimos, operadores o desarrolladores pueden leer, modificar y eliminar datos; Control de emisión de plano y funciones de gestión; Detecta los datos en tránsito o libera software malicioso que parece provenir de una fuente legítima, señala CSA. Como resultado, una identidad, credencial o administración de claves insuficientes puede permitir el acceso no autorizado a datos y daños potencialmente catastróficos a organizaciones o usuarios finales.
Un ejemplo de gestión de acceso insuficiente, según el informe Deep Dive, es el descubrimiento de instalaciones predeterminadas no protegidas de la base de datos MongoDB. Esa implementación predeterminada dejó un puerto abierto que permitía el acceso sin autenticación. El informe recomienda que se implementen controles preventivos en todos los perímetros, y que las organizaciones analicen los entornos administrados, compartidos y públicos en busca de vulnerabilidades.
3. Interfaces inseguras e interfaces de programación de aplicaciones (API)
Los proveedores de la nube exponen un conjunto de interfaces de usuario de software (UI) o API que los clientes utilizan para administrar e interactuar con los servicios de la nube. El aprovisionamiento, la administración y el monitoreo se realizan con estas interfaces, y la seguridad y disponibilidad de los servicios generales en la nube dependen de la seguridad de las API, señala CSA. Deben estar diseñados para protegerse contra intentos accidentales y malintencionados de burlar la política.
4. Vulnerabilidades del sistema
Las vulnerabilidades del sistema son errores explotables en los programas que los atacantes pueden usar para infiltrarse en un sistema para robar datos, tomar el control del sistema o interrumpir las operaciones de servicio. Las vulnerabilidades dentro de los componentes del sistema operativo ponen a la seguridad de todos los servicios y datos en un riesgo significativo, dice CSA. Con el advenimiento de la tenencia múltiple en la nube, los sistemas de varias organizaciones se colocan uno cerca de otro y se les da acceso a la memoria y los recursos compartidos, creando una nueva superficie de ataque.
5. Secuestro de cuenta
El secuestro de cuentas o servicios no es nuevo, señala CSA, pero los servicios en la nube añaden una nueva amenaza al panorama. Si los atacantes obtienen acceso a las credenciales de un usuario, pueden espiar actividades y transacciones, manipular datos, devolver información falsificada y redirigir clientes a sitios ilegítimos. Las instancias de cuentas o servicios pueden convertirse en una nueva base para los atacantes. Con las credenciales robadas, los atacantes a menudo pueden acceder a áreas críticas de los servicios de computación en la nube, lo que les permite comprometer la confidencialidad, la integridad y la disponibilidad de esos servicios.
Un ejemplo del informe de Deep Dive: El grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) logró ganar el control de nivel de raíz de los sistemas al hacerse cargo de una cuenta existente a través de una débil investigación o ingeniería social . El informe recomienda una política de necesidad de saber, necesidad de acceso sobre derechos de acceso y capacitación en ingeniería social sobre tácticas de adquisición de cuentas.
6. Ataques internos
Si bien el nivel de amenaza está abierto a debate, el hecho de que la amenaza interna sea un adversario real no lo es, dice CSA. Un experto malintencionado, como un administrador del sistema, puede acceder a información potencialmente sensible y puede tener niveles crecientes de acceso a sistemas más críticos y, finalmente, a datos. Los sistemas que dependen únicamente de los proveedores de servicios de nube para la seguridad están en mayor riesgo.
El informe cita el ejemplo de un empleado descontento de Zynga que descargó y exfiltró datos comerciales confidenciales de la empresa. No había controles de prevención de pérdidas en el momento. El informe de Deep Dive recomienda que se implementen controles de prevención de pérdida de datos (DLP) y que se implementen programas de concientización sobre seguridad y privacidad para mejorar el reconocimiento y el reporte de actividades sospechosas.
7. Amenazas persistentes avanzadas (APTs)
Las APT son una forma parasitaria de ataque cibernético que se infiltra en los sistemas para establecer una base en la infraestructura de TI de las empresas objetivo, de la que roban datos. Las APT persiguen sus objetivos sigilosamente durante largos períodos de tiempo, a menudo adaptándose a las medidas de seguridad destinadas a defenderse contra ellos. Una vez en su lugar, las APT pueden moverse lateralmente a través de redes de centros de datos y combinarse con el tráfico de red normal para lograr sus objetivos, dice CSA.
8. Pérdida de datos
Los datos almacenados en la nube pueden perderse por razones distintas a los ataques maliciosos, dice CSA. Una eliminación accidental por parte del proveedor de servicios en la nube, o una catástrofe física como un incendio o un terremoto, puede provocar la pérdida permanente de datos del cliente, a menos que el proveedor o el consumidor de la nube tome las medidas adecuadas para realizar copias de seguridad de los datos, siguiendo las mejores prácticas en continuidad de negocios y recuperación de desastres .
9. Diligencia debida insuficiente
Cuando los ejecutivos crean estrategias de negocios, deben considerarse las tecnologías de la nube y los proveedores de servicios, dice CSA. Desarrollar una buena hoja de ruta y una lista de verificación para la debida diligencia al evaluar tecnologías y proveedores es esencial para la mayor probabilidad de éxito. Las organizaciones que se apresuran a adoptar tecnologías en la nube y eligen proveedores sin realizar la diligencia debida se exponen a una serie de riesgos y amenazas.
10. Abuso y mal uso de los servicios en la nube
La CSA dice que las implementaciones de servicios en la nube con poca seguridad, las pruebas gratuitas de servicios en la nube y los registros fraudulentos de cuentas a través de instrumentos de pago exponen los modelos de computación en la nube a amenazas y ataques maliciosos. Los malos actores pueden aprovechar los recursos de computación en la nube para dirigirse a usuarios, organizaciones u otros proveedores de la nube. Los ejemplos de mal uso de recursos basados en la nube incluyen el lanzamiento de ataques distribuidos de denegación de servicio , correo no deseado y campañas de phishing .
11. Denegación de servicio (DoS)
Los ataques DoS están diseñados para evitar que los usuarios de un servicio puedan acceder a sus datos o aplicaciones. Al obligar al servicio en la nube objetivo a consumir cantidades desmedidas de recursos finitos del sistema, como la potencia del procesador, la memoria, el espacio en disco o el ancho de banda de la red, los atacantes pueden provocar una ralentización del sistema y dejar a todos los usuarios legítimos del servicio sin acceso a ellos.
El proveedor de DNS Dyn es un ejemplo clave de un ataque DoS en el informe Deep Dive. Un grupo externo se apoderó de los dispositivos de IoT para lanzar una denegación de servicio distribuida (DDoS) en Dyn usando el malware Mirai . Tuvieron éxito porque los dispositivos de IoT comprometidos usaban credenciales predeterminadas. El informe recomienda analizar el tráfico de la red en busca de anomalías y revisar y probar los planes de continuidad del negocio.
12. Vulnerabilidades compartidas de la tecnología
Los proveedores de servicios en la nube ofrecen sus servicios de manera escalable al compartir infraestructura, plataformas o aplicaciones, señala CSA. La tecnología en la nube divide la oferta «como un servicio» sin cambiar sustancialmente el hardware / software disponible, a veces a expensas de la seguridad. Los componentes subyacentes que comprenden la infraestructura que soporta la implementación de servicios en la nube pueden no haber sido diseñados para ofrecer propiedades de aislamiento sólidas para una arquitectura de múltiples inquilinos o aplicaciones de múltiples clientes. Esto puede llevar a vulnerabilidades tecnológicas compartidas que potencialmente pueden explotarse en todos los modelos de entrega.
Un ejemplo del informe Deep Dive es la vulnerabilidad de Cloudbleed, donde un actor malicioso externo pudo robar claves de API, contraseñas y otras credenciales del proveedor de servicios de seguridad Cloudflare aprovechando una vulnerabilidad en su software. El informe recomienda que todos los datos confidenciales se cifren y que los datos se segmenten de acuerdo con los niveles de sensibilidad.
13. Amenazas de nube de bonificación: Spectre y Meltdown
En enero de 2018, los investigadores revelaron una característica de diseño común en la mayoría de los microprocesadores modernos que podrían permitir que el contenido, incluidos los datos cifrados, se leyera de la memoria utilizando un código JavaScript malicioso. Las dos variaciones de este problema, denominadas Meltdown y Specter , afectan a todos los dispositivos, desde los teléfonos inteligentes hasta los servidores. Es debido a esto último que los estamos agregando a esta lista de amenazas en la nube, lo que hace que sea una docena de panadería sucia.
Tanto Specter como Meltdown permiten ataques de canal lateral porque rompen el aislamiento entre aplicaciones. Un atacante que puede acceder a un sistema a través de un inicio de sesión sin privilegios puede leer información del kernel, o los atacantes pueden leer el kernel del host si son usuarios root en una máquina virtual invitada (VM).
Este es un gran problema para los proveedores de servicios en la nube. Mientras que los parches están disponibles, solo hacen que sea más difícil ejecutar un ataque. Los parches también pueden degradar el rendimiento, por lo que algunas empresas pueden optar por dejar sus sistemas sin parchear lo que mantiene las potenciales amenazas latentes. El Aviso de CERT recomienda la sustitución de todos los procesadores afectados, algo difícil de lograr cuando aún no existen las sustituciones.
Hasta el momento, no hay explotaciones conocidas que se hayan aprovechado de Meltdown o Spectre, pero los expertos están de acuerdo en que son probables y relativamente pronto. El mejor consejo para que los proveedores de la nube se protejan de estas amenazas es asegurarse de que todos los parches más recientes estén en su lugar. Los clientes deben exigir información sobre cómo responden sus proveedores de nube a Meltdown y Spectre.
