Los usuarios de recursos de computación en la nube tienden a cometer los mismos errores repetidamente, con la gran mayoría, aproximadamente el 80%, de las alertas vistas por los equipos de seguridad activadas por apenas el 5% de las reglas de seguridad, según los hallazgos establecidos en un informe compilado por Unidad de investigación de la Unidad 42 de Palo Alto Networks.
En Informe de amenazas en la nube, navegación por la superficie de ataque en expansión – el séptimo de una serie en curso – La Unidad 42 analizó las cargas de trabajo extraídas de 210 000 cuentas en la nube en 1200 organizaciones diferentes y examinó múltiples incidentes de seguridad del mundo real que surgieron a través de entornos en la nube.
Descubrieron repetidamente que casi todas las organizaciones tenían un pequeño conjunto de comportamientos de riesgo que podían observarse con frecuencia en sus cargas de trabajo en la nube. De estos, los que se observaron con mayor frecuencia fueron las políticas de firewall sin restricciones, las bases de datos expuestas y las políticas de autenticación multifactor (MFA) no aplicadas: el 76% de las organizaciones no aplican MFA para los usuarios de la consola, según el informe.
“Todo [these] probablemente se origine en un número aislado de ingenieros e IaC [infrastructure-as-code] plantillas”, escribió el investigador principal Jay Chen y su equipo. “Estos problemas varían de una organización a otra, pero la conclusión es la misma para todos: una pequeña cantidad de problemas repetibles generan el mayor porcentaje de problemas”.
El equipo también descubrió que, en promedio, se necesitan 145 horas (alrededor de seis días) para que se responda a una alerta de seguridad, y que el 60 % de las organizaciones tardan más de cuatro días en resolver una alerta de seguridad. Al priorizar la solución de estos tres problemas, los equipos de seguridad no solo pueden ayudar a sus organizaciones a maximizar el retorno de sus inversiones en seguridad, sino que potencialmente también pueden eliminar muchos de sus dolores de cabeza diarios de un plumazo.
“Después de dos décadas de rápida adopción de la nube por parte de las organizaciones, 2023 podría considerarse un punto de inflexión para la seguridad en la nube. La tasa de migración a la nube no muestra signos de desaceleración: de $ 370 mil millones [£297.6bn] en 2021, con previsiones de alcanzar los 830.000 millones de dólares [£667.6bn] en 2025, con muchas aplicaciones y arquitecturas nativas de la nube que ya han tenido tiempo de madurar”, dijo Ankur Shah, vicepresidente senior de Prisma Cloud en Palo Alto Networks.
“La naturaleza dinámica de la tecnología en la nube, con actualizaciones de funciones en los servicios de nube pública, nuevos métodos de ataque y el uso generalizado de código de fuente abierta, ahora está generando conciencia sobre los riesgos inherentes al desarrollo moderno nativo de la nube. Cuantas más organizaciones adopten tecnologías nativas de la nube, mayor será el número de aplicaciones nativas de la nube. La popularidad y la complejidad de la tecnología amplían la superficie de ataque con vulnerabilidades y configuraciones erróneas para que los ciberdelincuentes las exploten”, dijo.
Aunque los problemas generados por los usuarios, incluidas las configuraciones inseguras, siguen siendo la principal preocupación en lo que respecta a la seguridad en la nube, el equipo de Unit 42 también destacó los problemas que se derivan de las plantillas listas para usar y las configuraciones predeterminadas que ofrecen los proveedores de servicios en la nube (CSP).
Dijeron que si bien estas opciones predeterminadas pueden parecer bastante convenientes, no lo hacen, por decirlo suavemente, “posicionan a los usuarios en el estado inicial más seguro”.
La última edición del Informe de amenazas en la nube destaca el uso de software y componentes de código abierto como una de las fuerzas impulsoras detrás de la revolución de la nube y cómo esta tendencia ha aumentado el riesgo al introducir más complejidad, aumentando la probabilidad de problemas como software depreciado o abandonado, contenido malicioso y ciclos de aplicación de parches más lentos , todo lo cual aumenta la presión sobre la seguridad de la organización.
Superficie de ataque creciente
Como sugiere el título del informe, Unit 42 dijo que las organizaciones deben esperar que la superficie de ataque de las aplicaciones nativas de la nube continúe expandiéndose en el futuro, y que los actores de amenazas encuentren formas “cada vez más creativas” de atacarlas.
Como tal, el informe también incluye una serie de consejos prácticos, como la implementación de políticas de MFA aplicadas y la habilitación de funciones como la clasificación y remediación de alertas automatizadas, registros de auditoría del plano de control, copias de seguridad automatizadas y cifrado de datos en reposo.
Los equipos de seguridad también deben considerar la posibilidad de presupuestar herramientas de análisis de composición de software (SCA) durante el proceso de desarrollo, soluciones de prevención de pérdida de datos (DLP) y, por supuesto, tener cuidado de nunca exponer bases de datos o servicios como el protocolo de escritorio remoto (RDP) o SSH a el internet publico
“La conclusión de nuestros hallazgos es simple: es posible que su organización no sea tan segura como cree. Deberá estar alerta, ser proactivo e innovador para adelantarse a los adversarios”, escribieron Chen y su equipo.