Peligro de explotación de los servicios cloud en el modelo Cyber Kill Chain

14 noviembre, 2019
7 Compartido 1,043 Visualizaciones

 

Si no se protegen adecuadamente, los servicios cloud pueden ampliar la superficie de ataque de una organización en distintas fases. Solo una tecnología cloud nativa puede detectar y mitigar las amenazas propias de la nube

El advenimiento de las aplicaciones en la nube ha provocado que el modelo Cyber Kill Chain, diseñado para ayudar a mitigar los ataques más avanzados de la red, esté cambiado. Por ello, Netskope analiza cómo se están explotando los servicios cloud dentro de cada etapa de esta cadena.

“Con algunos ejemplos notorios de campañas maliciosas que han utilizado la nube para evadir las tecnologías de seguridad tradicionales, el modelo Cyber Kill Chain ha acrecentado los temores de los cautelosos responsables de seguridad al respecto de los servicios cloud. Si no se protegen adecuadamente estos servicios, la superficie de ataque de una organización puede verse amplificada”, afirma Paolo Passeri, Arquitecto de Soluciones Globales de Netskope. “Asimismo, es vital no descuidar otras puertas de entrada como la web o el correo electrónico. En Netskope utilizamos el término «amenazas híbridas» para definir ataques que aprovechan este enfoque mixto para permanecer bajo el radar de las soluciones de seguridad tradicionales”

Siete eslabones de una cadena: anatomía de un ataque

Aunque hay muchos modos de dividir esta cadena, su forma más simple abarca siete fases: 

La fase de reconocimiento puede albergar múltiples métodos para obtener información de una víctima, incluyendo la investigación de los elementos vulnerables de la infraestructura o de los seres humanos, como recursos cloud mal configurados o información confidencial compartida en servicios cloud en apariencia inofensivos. 

Tras estudiar a la víctima, llega la militarización; el actor malicioso crea la infraestructura necesaria para realizar su trabajo (páginas de phishing, puntos de distribución de malware…) y -si así lo estima- aloja estos recursos en servicios cloud, aprovechando su resistencia y disponibilidad, escalabilidad y su facilidad para permitir la creación de recursos rápidamente.

No obstante, quizás lo más importante es que los servicios cloud no suelen ser inspeccionados o se incluyen en la lista blanca de las tecnologías tradicionales. Por ello, si un ciberdelincuente decide explotar una vulnerabilidad para ejecutar código en el sistema de la víctima, utilizará los servicios cloud: un sistema adaptado al contexto advertiría que los datos están siendo introducidos en una instancia de AWS o Azure externa a la organización, sin embargo, las tecnologías de seguridad tradicionales no pueden hacer esto. 

Las páginas de phishing también pueden ser gestionadas desde la nube. De hecho, una carga útil maliciosa entregada desde un servicio cloud conocido tiene mayor probabilidad de ser ejecutada. Del mismo modo, los servicios cloud pueden ser utilizados como redireccionadores a sitios de distribución de malware utilizados para ataques dirigidos.

Tras la fase de entrega, el malware se instala en el sistema comprometido para después conectarse a la infraestructura de comando y control (Callback) del atacante. Con esta conexión, el atacante puede filtrar información, utilizar un endpoint para lanzar ataques DDoS o campañas de spam, o establecer una base de apoyo para profundizar en la organización víctima. En este punto, los atacantes pueden utilizar servicios de confianza como AWS y Google Drive o aplicaciones como Twitter o Slack para ocultar el canal de comunicación. La inspección SSL requiere muchos recursos para las tecnologías locales heredadas, e introduce latencia, por lo que es muy probable que no sea realizada. 

Por último, tiene lugar la persistencia. Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración de los servicios críticos alojados en la nube, aumentar los privilegios para obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas instancias con fines maliciosos, como el criptojacking. Las credenciales robadas, las cuentas filtradas o la mala configuración de los servicios en la nube son formas típicas que utilizan los atacantes para entrar en los servicios cloud y moverse lateralmente.

Tecnología de protección y sentido común 

Dado que únicamente una tecnología cloud nativa puede detectar y mitigar las amenazas propias de la nube, es recomendable optar por una solución cien por cien cloud como Netskope. Su tecnología patentada Cloud XD elimina los puntos ciegos, yendo más allá que cualquier otro proveedor de seguridad para identificar y controlar rápidamente las actividades a través de miles de servicios en la nube, tanto SaaS, como IaaS y millones de sitios web. La plataforma cloud de Netskope puede encontrar amenazas híbridas y aplicar políticas de uso tanto para servicios no autorizados como para instancias no autorizadas de servicios cloud aceptados.

Con un control total a través de una interfaz nativa de la nube, los clientes se benefician de la protección de datos 360 grados vigilando los datos en todas partes y ofreciendo protección frente a amenazas avanzadas y deteniendo ataques esquivos.

Además de una tecnología de eficacia probada, Netskope recomienda también seguir determinadas pautas que van, desde la evaluación periódica y sostenida de la seguridad de los recursos de IaaS; hasta la ejecución de análisis DLP del contenido compartido externamente en aplicaciones cloud permitidas, para impedir la fuga de información.

Asimismo, los usuarios deben ser advertidos ante los peligros de ejecutar macros no firmadas u otras procedentes de una fuente no fiable, incluso aunque parezcan provenir de un servicio cloud legítimo o abrir cualquier archivo (a menos que tengan la certeza de que son inofensivos) independientemente de sus extensiones. Por último, mantener actualizados los sistemas y el AV con las últimas versiones y parches es otra recomendación.

 

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Las 4 señales que indican que tu móvil ha sido hackeado
Actualidad
18 compartido1,668 visualizaciones
Actualidad
18 compartido1,668 visualizaciones

Las 4 señales que indican que tu móvil ha sido hackeado

Vicente Ramírez - 10 abril, 2019

Comprobar la “salud” de un smartphone es mucho más sencillo de lo que parece y puede ahorrar muchos problemas. Vivimos…

SmartHC integra Abanlex y amplía sus servicios entrando en el ámbito legal como consultora de Derecho Tecnológico y Ciberseguridad
Actualidad
28 compartido1,592 visualizaciones1
Actualidad
28 compartido1,592 visualizaciones1

SmartHC integra Abanlex y amplía sus servicios entrando en el ámbito legal como consultora de Derecho Tecnológico y Ciberseguridad

Vicente Ramírez - 8 abril, 2019

La empresa madrileña, que ya incrementó su oferta de seguridad con la incorporación de Ángel- Pablo Avilés el pasado verano,…

Entelgy desarrolla su negocio en Argentina
Actualidad
11 compartido1,482 visualizaciones
Actualidad
11 compartido1,482 visualizaciones

Entelgy desarrolla su negocio en Argentina

Mónica Gallego - 25 junio, 2018

Entelgy refuerza su apuesta por el mercado latinoamericano, donde ya cuenta con oficinas en Brasil, Chile, Colombia, México y Perú.…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.