Las aplicaciones no aprobadas o no gestionadas por el departamento de IT y las cuentas cloud son el objetivo favorito de los ciberdelincuentes.

Los 3 métodos de ataque más populares son: ataque por fuerza bruta, phishing y mediante aplicaciones de terceros.

Aproximadamente, el 25% de los clientes de Office 365 y G Suite fueron comprometidos usando “password spaying” en IMAP.

Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal

El debate sobre la seguridad del cloud computing es tan antiguo como la propia cloud. Y aunque se trata de una tecnología relativamente nueva, casi todas las organizaciones son ahora clientes de un proveedor de cloud, independientemente de su tamaño y sector de actividad.  En sí mismo, el cloud computing no es menos seguro que la mayoría de las formas tradicionales de IT. Sin embargo, se deben tener en cuenta las vulnerabilidades propias de las aplicaciones en cloud y los métodos específicos de ataque utilizados por los ciberdelincuentes.

Un área crítica para la seguridad de cloud sigue siendo la denominada «Shadow IT»: el uso de aplicaciones que no están aprobadas o gestionadas por el departamento de IT y que, por lo tanto, suponen un riesgo especialmente elevado. También las cuentas de cloud, objetivo favorito de los ciberdelincuentes, que a menudo utilizan una cuenta comprometida para adentrarse aún más en la organización. 

Recientemente, nuestros investigadores en Proofpoint analizaron datos de más de 1.000 clientes de servicios cloud con más de 20 millones de cuentas de usuario y se pudo constatar más de 15 millones de intentos de inicio de sesión no autorizados (o ataques), de los cuales más de 400.000 fueron exitosos.

Métodos de ataque populares

El estudio también identificó tres métodos de ataque que actualmente son muy populares entre los ciberdelincuentes

  • Ataque por fuerza bruta
  • Phishing dentro de una organización 
  • Aplicaciones de terceros que tienen acceso a los datos de Office 365 y G Suite. 

Del estudio se desprende que los delincuentes utilizan ataques de fuerza bruta de manera selectiva e inteligente. El abuso del Protocolo de Acceso a Mensajes de Internet (IMAP) es particularmente popular. 

IMAP es en realidad un protocolo de autenticación, pero puede ser usado en determinadas circunstancias para hacer un bypass de la Autenticación Muti Factor (MFA). Un ejemplo de esto lo encontramos con clientes de correo de terceros que no soportan autenticaciones modernas, contra objetivos que no han implementado contraseñas de aplicación o ataques a cuentas de email compartidas. 

La forma en que se configuran estos ataques hace que parezcan inicios de sesión aleatoriamente fallidos que no tienen nada que ver entre sí. De esta manera, no destacan y evitan que la cuenta sea bloqueada. 

Aproximadamente, el 25% de los clientes de Office 365 y G Suite fueron comprometidos usando “password spaying” en IMAP (uso de un número bajo de contraseñas comunes a lo largo de un periodo de tiempo y en múltiples cuentas). 

A menudo, los ciberdelincuentes no se limitan a utilizar los datos de acceso robados para acceder a las cuentas comprometidas. Esto es especialmente cierto si el objetivo original no tiene la autorización necesaria para transferir dinero o compartir información importante. En estos casos los delincuentes utilizan las credenciales de inicio de sesión para ampliar su acceso dentro de una organización e infiltrarse en las aplicaciones cloud de otros usuarios. 

Así, nuestros investigadores descubrieron que más del 31% de todos los clientes tenían que hacer frente a infracciones resultantes de campañas de phishing exitosas. En estos ataques, los ciberdelincuentes utilizarían cuentas de cloud comprometidas para enviar correos electrónicos de phishing dentro de la propia organización. Debido a la aparente legitimidad del correo entre compañeros, los delincuentes expanden su acceso dentro de la organización. Los atacantes a menudo cambian las reglas de reenvío de correo electrónico o se configuran como administradores para mantener el acceso a la cuenta. A veces también llevan a cabo ataques “man in the middle» (interceptando la comunicación entre otras dos partes) desde una cuenta comprometida. También utilizan cuentas secuestradas para enviar correos electrónicos de phishing a otras organizaciones (partners), contaminando así el entorno cloud de terceros.

 El último método de ataque que hemos observado es a través de aplicaciones de terceros que tienen acceso a los datos de Office 365 y G Suite. La infiltración u obtención de tokens de OAuth se realiza a través de phishing, ingeniería social, malware o cuentas comprometidas. Para combatir estos ataques, el uso de aplicaciones de terceros, los permisos de OAuth otorgados y la reputación de la aplicación deben ser monitorizados constantemente. También requiere un sistema de alerta y la posibilidad de eliminar automáticamente las aplicaciones.

¿Qué podemos hacer entonces para proteger a una organización de tales ataques?  

En primer lugar, debemos centrarnos en el Factor Humano.

Tenemos que cambiar nuestra forma de pensar hacia un enfoque centrado en las personas.  La formación en seguridad debería ser un pilar de la estrategia de defensa, con especial atención a las personas muy atacadas (VAPs), aquellos dentro de la organización que son blanco particularmente atractivo para los ciberdelincuentes por sus derechos de acceso. 

En segundo lugar, trabajaremos las defensas técnicas.

El Cloud Access Security Broker (CASB) tiene un papel crucial aquí. Un CASB nos ayuda de cuatro maneras: administrando aplicaciones en la nube, defendiéndonos contra amenazas, protegiendo los datos confidenciales y asegurando el cumplimiento de las normas para la nube. 

Las principales prestaciones de CASB son:

  1. Administración de aplicaciones en cloud: los CASBs gestionan aplicaciones y servicios en cloud y proporcionan una visión centralizada de todos los elementos de su entorno. Por ejemplo, se puede ver quién está usando cada aplicación, a qué hora, dónde se encuentra y qué dispositivo está usando. Con un CASB también se puede determinar el nivel de riesgo de ciertas aplicaciones y servicios y luego liberar o restringir automáticamente el acceso a una de estas aplicaciones para ciertos usuarios, datos y servicios.
  2. Defensa contra amenazas en cloud: Los CASBs pueden ayudarnos a identificar los ataques en cloud monitoreando los inicios de sesión sospechosos o excesivos en número. Los CASBs también utilizan herramientas anti-malware y sandboxing para detener y analizar los ataques. En algunos casos, los CASBs también están vinculados a las bases de datos de las empresas de ciberseguridad. Esto ayuda a reconocer los métodos de ataque más recientes. 
  3. Protección de los datos confidenciales: Los CASBs ofrecen la posibilidad de buscar y eliminar archivos compartidos externa o públicamente. Además, contienen componentes que ayudan a evitar la fuga de datos.
  4. Cumplimiento: El cumplimiento de las leyes y regulaciones más recientes puede ser un reto especial para los datos almacenados en cloud, tales como GDPR. A través de la supervisión, los procesos automatizados y las capacidades de generación de informes, un CASB puede ayudarnos a demostrar el cumplimiento.

Conclusión

El informe de Proofpoint demuestra que el panorama de las amenazas de cloud no tiene sesgos en términos de industria; todas las industrias están bajo riesgo de ataque. Algunos sectores son más vulnerables, pero todas las organizaciones pueden beneficiarse de una sólida visibilidad de las amenazas de cloud y de medidas de seguridad automatizadas impulsadas por la inteligencia de amenazas

Medidas de seguridad apropiadas pueden ayudar a prevenir o remediar rápidamente el hackeo de una cuenta u otros compromisos dentro de la organización, en partners o clientes. Las organizaciones necesitan implementar medidas de seguridad inteligentes y por niveles, incluyendo educación y capacitación de los usuarios para combatir estas amenazas en constante evolución, que cada vez tienen más éxito en comprometer las cuentas en cloud.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio