¿Qué es la respuesta a incidentes en la nube?

La respuesta a incidentes en la nube es el proceso que se sigue cuando se produce un incidente de ciberseguridad en tu entorno de nube. Mientras que la respuesta a incidentes de la nube sigue esencialmente las fases típicas de la respuesta a incidentes (Preparación, Detección y análisis, Contención, erradicación, y recuperación, y Recuperación posterior al incidente / postmortem), existen diferencias fundamentales entre las plataformas de la nube (AWS, Azure, GCP, Oracle Cloud, etc.). Contar con un equipo de especialistas y herramientas puede marcar la diferencia a la hora de obtener respuestas claras y definitivas y conseguir apoyo en la toma de decisiones para recuperarte.

¿En qué se diferencia la respuesta a incidentes en la nube y la respuesta a incidentes tradicional en los endpoints?

1. No hay acceso físico a los servidores

A cambio de que el proveedor de servicios de la nube gestione el datacenter y las operaciones de red, aplique los parches pertinentes (en el caso de PaaS) y escriba y mantenga el software (en el caso de SaaS), renuncias a ciertas cosas que suelen ser importantes en la respuesta a incidentes: acceso físico a los servidores para conectarse a una consola, capturar imágenes forenses de los discos duros y la posibilidad de instalar utilidades de diagnóstico especiales.

En la mayoría de los entornos de la nube, no puedes realizar volcados de memoria fuera del flujo principal, iniciar sesión en la consola física ni recibir los discos duros reales del proveedor de la nube. Y no pasa nada. Tienes que trabajar ajustándote a los parámetros de acceso del proveedor de la nube, como tomar instantáneas lógicas del almacenamiento, recopilar y analizar los logs que el proveedor de la nube ponga a tu disposición, etc.

2. Ciclos de vida de la nube muy rápidos

La combinación dinámica de tecnologías propia de los entornos modernos de la nube (una mezcla de contenedores, funciones como servicio, hipervisores y máquinas virtuales que ejecutan microservicios con cargas de trabajo que aumentan y disminuyen para satisfacer las demandas cambiantes de la organización) hace que la respuesta a incidentes en la nube sea muy distinta al proceso tradicional de capturar una imagen y recopilar los logs en un endpoint típico.

Sin procesos de planificación y comunicación interna adecuados, es probable que se pierdan artefactos forenses, ya que las cargas de trabajo que se consideran "defectuosas" —ya sea por procesos automatizados destinados a preservar las cargas de trabajo en la nube, o por equipos de operaciones con buenas intenciones al lanzar rápidamente nuevas versiones de una plataforma para abordar una vulnerabilidad o un exploit— suelen descartarse para ahorrar costes. Si no sabes dónde buscar y no has previsto recopilar logs y conservar instantáneas relevantes, es posible que no tengas suficiente información para responder a las preguntas que tu organización tiene que hacer para contener y recuperarse de una posible brecha.

3. Las operaciones "no autorizadas" son muy habituales

Cualquier unidad de negocio con acceso a una tarjeta de crédito puede crear nuevos entornos en la nube, de los que a menudo la organización central de seguridad de la información no tiene conocimiento. Si bien es muy común que la organización de seguridad conozca algunas operaciones críticas centrales de la nube, igual de común es que los adversarios dirijan sus ataques a componentes del entorno de la nube a los que no se les presta especial atención, que pertenecen a filiales adquiridas recientemente o hace tiempo, que están en sistemas y aplicaciones que estaban programados para ser retirados o que se suponía que iban a actualizarse en cuanto a los controles de seguridad, como parte de una fase posterior de un plan de seguridad que no se materializó a tiempo. Estas operaciones periféricas pueden no considerarse fundamentales para la misión de la organización, pero pueden dar lugar a brechas cuyo coste superará con creces el tiempo y el presupuesto que se les había asignado antes de estos incidentes.

4. La identidad es el nuevo perímetro

A diferencia de los datacenters tradicionales, donde el perímetro está definido por la red mediante firewalls, la identidad se ha convertido en el verdadero perímetro de los entornos de la nube, lo que cambia radicalmente las estrategias de contención y corrección ante una brecha de datos en la nube. Bloquear direcciones IP maliciosas ha dejado de ser práctico, y ya no es posible suponer que todos los usuarios autorizados provienen de una red en particular.

Cuando los adversarios detectan cuentas de usuario sin requisitos de autenticación multifactor o sin claves de API, que se suelen robar de estaciones de trabajo, sistemas de control de código fuente y hosts IC/EC, entre otros, los daños pueden generarse desde cualquier lugar de Internet. Los adversarios también atacan cuentas sincronizadas entre Active Directory (AD) y Azure Active Directory, lo que significa que un compromiso a nivel local puede convertirse fácilmente también en una brecha en la nube.

5. Cada vez hay menos personal cualificado

Aunque el personal técnico con experiencia de alto nivel en la nube escasea, es aún más difícil encontrar y retener a profesionales con experiencia en ingeniería de seguridad en la nube, y más aún a aquellos con experiencia en respuesta a incidentes de seguridad en la nube. El reto se multiplica para las organizaciones que tiene presencia en más de una plataforma de nube.

Entender las fuentes de logs de la nube

Una de las mayores diferencias entre la respuesta a incidentes tradicional en un endpoint y la respuesta a incidentes en la nube son las fuentes de logs. Los logs siempre son importantes en las investigaciones de brechas, pero llegar al fondo de la verdad de lo que es normal y se ha autorizado en el entorno de la nube es muy difícil sin los logs.

Los logs de eventos nos permiten reconstruir las acciones maliciosas ejecutadas por un ciberdelincuente durante una investigación forense, y nos ayudan a contener y expulsar a ese actor. Sin embargo, las fuentes de logs de la nube no son iguales a las fuentes de logs de los endpoints y, por tanto, requieren técnicas y herramientas distintas de recopilación. En muchos casos, los logs de la nube no están habilitados por defecto o se han deshabilitado a propósito y puede ser complicado recuperarlos sin las herramientas adecuadas.

Sin comprender estos servicios en la nube y las herramientas creadas con ellos, las empresas de respuesta a incidentes que no cuenten con especialistas de respuesta a incidentes en la nube tendrán dificultades para recopilar los datos necesarios para llevar a cabo una investigación eficiente y eficaz.

En el caso de los SaaS, siempre recopilamos logs de autenticación (logs de inicio de sesión), un conjunto específico de operaciones para todos los usuarios y otro conjunto de operaciones para todos los usuarios de interés. Si hablamos de infraestructura (PaaS), recopilamos logs del plano de servicio en la nube, así como cualquier log del plano de datos relevante, logs de flujo de VPC/VNet y cualquier log especializado relevante (logs de invocación de función como servicio, logs de equilibrador de carga o red de entrega de contenido (CDN), etc.

En ambos tipos de investigaciones, recopilaremos datos de métricas de rendimiento si son pertinentes (especialmente cuando faltan fuentes de pruebas más directas) y alertas de detección de amenazas en la nube para obtener contexto relevante. Las instantáneas de configuración no son fuentes de logs en sí, pero pueden ayudar a interpretar los eventos registrados en los logs.

Hay que tener también en cuenta que, una vez se tienen los logs, interpretar las entradas en el log (o su ausencia) no siempre es sencillo. Los investigadores con experiencia en la nube saben qué pistas de logs existen en los diferentes entornos de la nube (AWS, Azure, GCP) y cómo recopilar e interpretar de forma rápida y eficiente los datos de los mismos. El análisis de logs es una parte esencial de la evaluación de compromisos de la nube.

Cuando las organizaciones se enfrentan al reto de equilibrar la velocidad con la que ofrecen nuevas experiencias digitales a los usuarios para modernizar sus procesos de negocio con las necesidades de seguridad y los costes del registro de eventos en su plataforma en la nube, surge la tentación de minimizar o desactivar por completo el registro en el entorno de la nube; una decisión que acarreará problemas importantes si se produce una brecha de datos en la nube.

Contención de amenazas activas en la nube

A diferencia de lo que ocurre cuando se produce una brecha en un endpoint, en las brechas de datos en la nube no se puede simplemente desenchufar el equipo afectado y desconectarlo de la red. Y debido a que las brechas de datos en la nube pueden propagarse rápidamente por todo el entorno de la nube, su contención es considerablemente que en un endpoint.

Para contener un incidente en la infraestructura de la nube, es necesario identificar todas las entidades de seguridad comprometidas o añadidas por el adversario, incluidos usuarios, roles comprometidos (por ejemplo, a través de sesiones federadas o almacenes de identidades comprometidos) y cuentas de servicio. En muchos casos, el proveedor de la nube admite más de una fuente de credenciales para una entidad de seguridad, lo que permite al adversario suplantar la identidad de un usuario o de una cuenta de servicio sin interferir con el propósito original y autorizado de esa cuenta, lo que dificulta la detección.

Algunos ejemplos pueden darse cuando se otorgan varias claves de API además de una contraseña para un usuario, múltiples fuentes de credenciales para una cuenta de servicio o varios dispositivos de autenticación multifactor para un solo usuario. Todos estos casos deben supervisarse y eliminarse cuidadosamente, y deben aplicarse los esfuerzos de monitorización necesarios para detectar cualquier intento por parte del adversario de restablecer la persistencia.

El alcance de la contención no termina aquí. Para restablecer su persistencia en el entorno, el adversario puede utiliza marcos de automatización e implementación en las plataformas de la nube, así como cualquier código definido por el usuario que pueda actuar como entidad de seguridad, incluidas funciones como servicio, contenedores y hosts.

Las puertas traseras de red, incluidos los puntos de emparejamiento VPC no autorizados o la modificación de las regulas de grupos de seguridad de la red, pueden exponer los recursos al control continuado por parte del adversario. Por otra parte, los adversarios pueden utilizar indebidamente la infraestructura basada en la nube con permisos externos excesivos, con directivas que permiten el acceso a todos los rangos de IP pertenecientes al proveedor de nube de confianza, para mimetizarse con el tráfico autorizado con ese proveedor de la nube. Es necesario revisar exhaustivamente todos los posibles puntos de pivoting, mecanismos de persistencia y valores atípicos en el acceso configurado para garantizar una contención completa y la posterior expulsión.

Probablemente, a estas alturas ya sepas que las soluciones de gestión de posición de seguridad de la nube (CSPM) son una defensa importante antes de que se produzca una brecha, ya que ayudan a identificar los indicadores de errores de configuración (IOM) que contribuyen al riesgo de brecha y, como es lógico, corregir esos IOM puede evitar la brecha. Sin embargo, con bastante frecuencia, la CSPM es también es una parte importante en la contención de brechas, tanto porque ayuda a identificar (junto con soluciones de seguridad de endpoint) una brecha activa en la interfaz entre el endpoint y la nube, como porque los adversarios pueden seguir intentando atacar el entorno de la nube utilizando esos errores de configuración.

En otras palabras, mientras se llevan a cabo los esfuerzos de visibilidad y contención, tu organización puede aprovechar la urgencia de la brecha para corregir los errores de configuración existentes y los nuevos que haya introducido el adversario. Compartir el acceso a la consola de CSPM con tus compañeros en las operaciones de la plataforma en la nube y permitirles ver el progreso que realizan puede acortar considerablemente el camino para proteger el entorno en la nube.

Servicio de respuesta a incidentes en la nube de CrowdStrike

La respuesta a incidentes en el caso de una brecha de datos en la nube requiere un conjunto distinto de habilidades, conocimientos y herramientas que la respuesta a incidentes tradicional para un ataque local. Sin especialistas en respuesta a incidentes en la nube que cuenten con las herramientas adecuadas para las diferentes plataformas de proveedores de servicios en la nube (AWS, Azure/O365, GCP), tardarás en obtener respuestas esenciales, lo que ralentizará el tiempo de respuesta y recuperación. Las organizaciones que no cuentan con las habilidades necesarias para responder de manera efectiva tienen problemas para contener las amenazas activas y expulsarlas de la red, suelen perder pruebas fundamentales y no pueden determinar con exactitud qué ha sucedido durante el ataque y qué datos pueden haber sido comprometidos.

El equipo de especialistas de respuesta a incidentes en la nube de CrowdStrike se encarga de investigar las brechas de datos en la nube, muchas de las cuales son el resultado de errores de configuración en la seguridad en la nube. Recomendamos que las organizaciones refuercen su posición de seguridad en la nube antes de que se produzca una brecha, en lugar de lidiar con las consecuencias de una brecha de datos en la nube.

Si sufres una brecha de datos en la nube, debes contratar a una empresa de respuesta a incidentes que cuente con un equipo especializado en la investigación y la respuesta a incidentes en la nube. Las empresas que prestan servicios tradicionales de respuesta a incidentes en caso de brechas en endpoints no podrán responder de un modo eficaz a las brechas en la nube.

CrowdStrike cuenta con un equipo especializado en la respuesta a incidentes en la nube que conoce a la perfección los entornos de la nube de AWS, Azure / O365 y GCP. Hemos desarrollado nuestro propio conjunto de herramientas de recopilación de datos en la nube para acelerar la investigación forense y obtener visibilidad de las acciones maliciosas perpetradas por los ciberdelincuentes.

CrowdStrike se enorgullece de ser líder en respuesta a incidentes en la nube y proporciona control, estabilidad y organización a lo que puede convertirse en un evento caótico. Descubre cómo CrowdStrike te ayuda a responder a las brechas de datos en la nube de manera más rápida y efectiva: