La amenaza del uso ilícito de proveedores de servicios de la nube

Para muchas empresas, los servicios de la nube se han convertido en un elemento fundamental de las operaciones de TI, en su afán por encontrar enfoques multinube y de nube híbrida que les aporten más eficiencia y agilidad.

Los ciberdelincuentes también recurren a la nube, pero con el objetivo de hacer un uso ilícito de las capacidades de los proveedores de servicios en la nube para comprometer los entornos empresariales. Mientras que las empresas utilizan los servicios basados en la nube para reforzar la colaboración y los procesos empresariales, los actores maliciosos lo hacen de manera indebida para operaciones de redes informáticas (CNO); una tendencia que se mantendrá en el futuro próximo, ya que cada vez más empresas recurren a entornos de trabajo híbridos.

Vectores comunes de ataque en la nube

Entre los vectores comunes de ataque en la nube utilizados por la ciberdelincuencia y la intrusión selectiva se incluyen los siguientes:

Ataques de denegación de servicio distribuido (DDoS)

En los ataques DDoS, un ciberdelincuente sobrecarga de tráfico un servidor web, sistema o red para que a los usuarios legítimos les resulte muy difícil o incluso imposible acceder a sus recursos de TI. Bien es sabido que los atacantes recurren a cuentas de la nube secuestradas o a pruebas de usuario gratuitas para perpetrar los ataques de DDoS.

Intentos de phishing

Los ciberdelincuentes recurren al phishing para robar credenciales de usuario de los servicios en la nube y hacerse con el control de esas cuentas para utilizarlas en sus planes maliciosos.

Correo electrónico de spam

Los spammers utilizan la infraestructura de la nube para difundir masivamente sus mensajes. Estos atacantes se valen de los servicios de computación en la nube, aprovechando su fiabilidad y ancho de banda para facilitar sus operaciones.

Cryptojacking

En el cryptojacking, los ciberdelincuentes utilizan la capacidad de procesamiento de la víctima para minar criptomonedas. Si un atacante logra acceder a los recursos en la nube de una organización, puede aprovecharlos y utilizarlos para operaciones de minería.

Ataques con fuerza bruta

Los ataques con fuerza bruta son un método para comprometer cuentas de usuario en los que el ciberdelincuente utiliza el método de prueba y error para adivinar la contraseña o las credenciales de inicio de sesión de un usuario. Entre los métodos más comunes se encuentran los ataques de diccionario y la inserción de credenciales.

Alojamiento de contenido malicioso

Una vez que los servicios de la nube se han visto comprometidos, pueden utilizarse para alojar contenido malicioso, desde páginas de phishing hasta bots de spam. Esta táctica tiene la característica añadida de dificultar el bloqueo de contenidos maliciosos, ya que los ciberdelincuentes utilizan marcas de confianza, lo que les permite ocultar contenidos maliciosos junto a contenidos legítimos.

Usuarios internos maliciosos

Los actores internos maliciosos suponen un riesgo, ya que pueden utilizar su acceso a los recursos de la nube para aprovecharse de ellos y lanzar ataques.

Cómo funciona el uso ilícito de proveedores de servicios de la nube

Los investigadores de amenazas de CrowdStrike monitorizan de cerca la nube en busca de actividad maliciosa, y los ciberdelincuentes siguen recurriendo a tácticas que hacen que sus ataques sean más sigilosos y eficaces. Al utilizar de manera ilícita las relaciones de confianza que se dan entre usuarios, proveedores y redes, los ciberdelincuentes pueden evitar ser detectados con más facilidad.

Los ciberdelincuentes se aprovechan de las relaciones de confianza que se entablan con los proveedores de servicios en la nube para acceder a otros objetivos, desplazándose lateralmente a partir de los recursos de autenticación de las empresas alojados en infraestructuras en la nube. Si un atacante puede elevar sus privilegios hasta el nivel de administrador global, quizá pueda pasar de un inquilino de la nube a otro para ampliar su acceso.

Este problema es especialmente grave si la organización atacada en primer lugar es un proveedor de servicios gestionados (MSP). En tales casos, se puede usar el acceso de administrador global para tomar el control de las cuentas de soporte técnico que emplea el MSP para realizar cambios en la red de sus clientes, lo que abre múltiples oportunidades de propagación vertical a muchas otras redes. Esta es la técnica que utilizó el ciberdelincuente COZY BEAR (un atacante afiliado a Rusia) a lo largo de 2020, pero también hay pruebas de su intrusión en redes de MSP en 2021.

¿QUÉ PUEDES HACER PARA PROTEGER TU ENTORNO EN LA NUBE?

Al igual que en los entornos locales, los equipos de seguridad con información sobre las herramientas y las tácticas de los ciberdelincuentes tienen más oportunidades de identificar y detener amenazas con mayor rapidez. Los equipos de seguridad no deben perder de vista los siguientes aspectos para actuar en todo momento según las mejores prácticas.

Monitorizar las identidades y el uso que se hace de ellas

Para proteger los entornos de la nube, es necesario prestar atención a la identidad, lo que incluye proteger las cuentas de usuario con contraseñas seguras y la autenticación multifactor, y monitorizarlas para detectar actividades sospechosas.

Identifica los recursos más importantes y monitorízalos en busca de comunicaciones salientes y exfiltración

Las organizaciones deben tener visibilidad sobre los entornos de la nube para poder observar las señales de peligro. Las conexiones salientes deben examinarse para detectar comunicaciones inusuales.

Forma al centro de operaciones de seguridad (SOC) sobre la seguridad de la nube

Muchos analistas y profesionales de la respuesta a incidentes no tienen experiencia con las tecnologías de la nube. Invierte en formación, ya que es vital que el equipo del SOC conozca bien las herramientas y la infraestructura de la nube.

Desarrolla planes de respuesta a incidentes alineados con el modelo de responsabilidad compartida

Las organizaciones deben elaborar manuales detallados que describan cómo responder y corregir amenazas y quién debe encargarse de ello. Las tecnologías de organización, automatización y respuesta de seguridad (SOAR) son fundamentales, ya que permiten a las empresas recopilar datos relacionados con las amenazas y automatizar la respuesta.

Centra el Threat Hunting en los indicadores de ataque (IOA)

Como bien sabes, el conocimiento es poder. Las empresas deben utilizar la inteligencia sobre amenazas más reciente para mantener el ritmo de los ciberdelincuentes y mejorar su capacidad de detectar y responder a los riesgos a los que se enfrentan. CrowdStrike Falcon Cloud Security ofrece seguridad avanzada nativa de la nube para cualquier nube, basándose en la inteligencia exhaustiva y la protección integral, desde el host hasta la nube. Todo ello ofrece mayor visibilidad y facilita el cumplimiento normativo, con la solución de detección y respuesta ante amenazas más rápida del sector, para ir por delante de los adversarios.