El 99% de las identidades digitales en la nube son demasiado permisivas: estudio

En la mayoría de los entornos en la nube, la gestión de identidad y acceso (IAM, por sus siglas en inglés) es la primera línea de defensa contra amenazas. Un estudio realizado en 2021 por Forrester Consulting para ForgeRock y Google Cloud reveló que más del 80% de los responsables de decisiones de TI a nivel mundial ya han adoptado o planean adoptar o ampliar iniciativas de IAM en la nube en los próximos dos años. El concepto detrás de IAM es que cada usuario o dispositivo tiene una identidad digital en los servicios a los que necesitan acceder. Una vez que se ha establecido esa identidad digital, debe mantenerse, modificarse y supervisarse a lo largo del ciclo de acceso de cada usuario o dispositivo. Es el componente más crítico y complejo que rige la autenticación y autorización de todos los recursos en un entorno en la nube.

El 99% de las identidades digitales son demasiado permisivas

En los entornos en la nube, que suelen estar compuestos por cientos o miles de cargas de trabajo, cada identidad de dispositivo o máquina puede representar un riesgo para la infraestructura en la nube. La cantidad de credenciales necesarias para diferentes servicios suele aumentar con el tiempo y dificulta la gestión eficiente del control de acceso de identidad.

Un estudio realizado por Unit 42 de Palo Alto Networks analizó 680,000 usuarios, roles y servicios en la nube y descubrió que el 99% de las identidades en la nube eran demasiado permisivas. Para llegar a ese porcentaje abrumador, los investigadores consideraron que una identidad en la nube era demasiado permisiva si se le otorgaban permisos que no habían sido utilizados en los últimos 60 días. Estos permisos no utilizados podrían ser aprovechados por actores de amenazas que logren obtener acceso inicial y podrían utilizarlos para moverse lateralmente o verticalmente dentro de la infraestructura y aumentar la superficie de ataque.

La configuración incorrecta de IAM facilita la tarea a los atacantes

Según Palo Alto Networks, el 65% de los incidentes de seguridad observados son causados por una configuración incorrecta.

El 53% de las cuentas en la nube estudiadas permitían contraseñas de IAM débiles, es decir, con menos de 14 caracteres. Además, el 44% de las cuentas permitían la reutilización de contraseñas de IAM. Las contraseñas débiles son vulnerables a ataques de fuerza bruta y las contraseñas antiguas no deberían ser reutilizables en caso de que un atacante logre acceder a datos antiguos que revelen dicha contraseña.

Las políticas gestionadas por proveedores de servicios en la nube (CSP, por sus siglas en inglés) son convenientes porque se pueden aplicar rápidamente, pero tienden a ser demasiado generales y otorgan demasiados permisos innecesarios. Las políticas gestionadas por CSP se otorgan 2.5 veces más permisos que las políticas gestionadas por el cliente.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

En particular, las políticas de administrador están entre las tres principales políticas gestionadas otorgadas (Figura A).

Figura A

Cinco actores de amenazas en la nube expuestos

Los investigadores de Palo Alto Networks han recopilado una lista de cinco actores de amenazas en la nube que se dirigen directamente a las plataformas de servicios en la nube.

TeamTNT

Históricamente, el primer actor de amenazas en la nube en dirigirse activamente a los archivos de credenciales en las cargas de trabajo comprometidas, TeamTNT es considerado el actor de amenazas en la nube más sofisticado en cuanto a técnicas de enumeración de identidades en la nube.

Se ha observado que TeamTNT enumera los servicios de la plataforma en la nube, realiza movimientos laterales dentro de los clústeres de Kubernetes, establece botnets de IRC y toma el control de los recursos de las cargas de trabajo en la nube comprometidas para minar la criptomoneda Monero. TeamTNT también es conocido por infectar imágenes Docker para propagar malware.

Cómo proteger tu computadora de los virus: métodos y consejos

WatchDog

Este actor de amenazas en la nube utiliza una variedad de scripts programados en el lenguaje Go, así como scripts de criptominería reutilizados de otros grupos, incluido TeamTNT. Es un actor de amenazas oportunista compuesto por programadores técnicamente hábiles, pero según Palo Alto Networks "están dispuestos a sacrificar habilidades por un acceso fácil".

Kinsing

El nombre de este actor de amenazas proviene del hecho de que utiliza un almacén llamado "kinsing" para almacenar malware de minería de criptomonedas. Este actor de amenazas se dirige a las API expuestas de Docker Daemon utilizando procesos maliciosos basados en GoLang que se ejecutan en contenedores de Ubuntu. Ha comenzado a expandir sus operaciones fuera de los contenedores Docker, dirigiéndose específicamente a archivos de credenciales de contenedores y cargas de trabajo en la nube comprometidas.

Rocke

Rocke se especializa en operaciones de ransomware y criptominería dentro de entornos en la nube. También tiene la habilidad de desactivar y eliminar herramientas de seguridad en la nube de servidores en la nube comprometidos. En agosto de 2019, se informó que había comprometido el 28.1% de las organizaciones con infraestructura en la nube.

8220

Este actor de amenazas está interesado en la minería de criptomonedas y se cree que se originó a partir de una bifurcación del software del actor de amenazas Rocke en GitHub. Ha elevado sus operaciones de minería con el uso del robo de credenciales de plataformas de servicios en la nube a través de la explotación de Log4j a partir de diciembre de 2021.

Más actores de amenazas en la nube

Además de los cinco actores de amenazas expuestos, Palo Alto Networks también informa que los actores de amenazas persistentes avanzados (APT, por sus siglas en inglés), que suelen ser actores estatales, utilizan la infraestructura en la nube cuando es necesario.

Los actores de amenazas APT28 (también conocido como Fancy Bear o Pawn Storm), APT29 (Cozy Bear) y APT41 (Gadolinium) han utilizado la infraestructura en la nube en el pasado. El uso de la infraestructura de Kubernetes para realizar ataques de fuerza bruta, imágenes de contenedores en la nube comprometidas para propagar malware y el uso de la infraestructura en la nube para alojar servidores de comando y control son algunas de las formas en que estos actores han utilizado la nube.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Recomendaciones

Las permisos de IAM deben ser endurecidos cuidadosamente mediante:

• Eliminar los permisos no utilizados para cada usuario, rol o servicio para reducir significativamente el riesgo y minimizar la superficie de ataque de todo el entorno en la nube.
• Minimizar el uso de credenciales de administrador.
• Aplicar la autenticación multifactor (MFA) para operaciones estratégicas como eliminación de bases de datos o instantáneas, actualización de claves de encriptación, manejo de copias de seguridad, etc.

En cuanto a las políticas, siempre se debe aplicar el principio de privilegio mínimo. El acceso de administrador, en particular, no debe otorgarse de forma predeterminada a las entidades.

Se deben aplicar políticas de contraseñas y permitir solo contraseñas seguras, pero la mejor práctica para el manejo seguro de contraseñas es federar identidades o utilizar inicio de sesión único (SSO) para reducir la cantidad de nombres de usuario/contraseñas.

Se debe utilizar y desplegar software de plataformas de protección de aplicaciones nativas en la nube (CNAPP, por sus siglas en inglés) para monitorear y enviar alertas sobre eventos de seguridad en la nube.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El 99% de las identidades digitales en la nube son demasiado permisivas: estudio , tenemos lo ultimo en tecnología 2023.