Aunque no es nuevo dentro de la ciberseguridad, el modelo Cyber Kill Chain, utilizado para simular una intrusión cibernética a través de la identificación de las diferentes etapas que tienen lugar durante un ciberataque, ha cambiado con el advenimiento de las aplicaciones en la nube. De hecho, existen algunos ejemplos de campañas maliciosas que han utilizado la nube para evadir las tecnologías de seguridad tradicionales.
Los temores de los cautelosos responsables de seguridad al respecto de los servicios cloud son, sin duda, fundados. Si no se protegen adecuadamente, estos servicios pueden acrecentar la superficie de ataque de una organización en diferentes fases.
- Reconocimiento
La fase de reconocimiento puede albergar múltiples métodos para obtener información de una víctima, incluyendo la investigación de los elementos vulnerables de la infraestructura o de los seres humanos. En este contexto, la creciente adopción de servicios cloud proporciona puntos de entrada adicionales: los actores maliciosos pueden investigar qué servicios cloud están siendo utilizados por las víctimas o buscar recursos cloud mal configurados o de acceso público. También pueden aprovechar la información confidencial compartida inadvertidamente en servicios en la nube aparentemente inocuos.
- Militarización y Explotación
En la fase de Militarización, el actor malicioso crea la infraestructura necesaria para realizar su trabajo (páginas de phishing, puntos de distribución de malware, páginas de aterrizaje de kits de exploits o dominios de comando y control) y estos recursos pueden ser alojados en servicios cloud, aprovechando su resistencia y disponibilidad, escalabilidad y su facilidad para permitir la creación de recursos con un solo clic.
No obstante, quizás lo más importante es que los servicios cloud no suelen ser inspeccionados o se incluyen en la lista blanca de las tecnologías tradicionales. Así, por ejemplo, en la fase de explotación de la cadena Cyber Kill, un sistema de seguridad capaz de trabajar con información de contexto advertiría que los datos están siendo introducidos en una instancia de AWS o Azure externa a la organización, sin embargo, las tecnologías de seguridad tradicionales no pueden hacer esto. Por lo tanto, los ciberdelincuentes utilizan los servicios en la nube para evadir la detección y permanecer bajo el radar de las soluciones de seguridad tradicionales.
- Entrega
Las páginas de phishing pueden ser gestionadas desde la nube, al igual que cualquier otra carga útil potencialmente maliciosa. De hecho, una carga útil maliciosa entregada desde un servicio cloud conocido tiene mayor probabilidad de ser ejecutada, por confiar el usuario implícitamente en la fuente, a pesar de cualquier advertencia emergente. También, los servicios cloud pueden ser utilizados como redireccionadores a sitios de distribución de malware utilizados para ataques dirigidos.
Otra forma de explotar los servicios en la nube en la fase de entrega es mediante la creación de páginas de inicio de sesión de aplicaciones cloud falsas con el fin de atraer a las víctimas y hacer «phishing» para robar sus credenciales, o su token OAUTH (como ya ha sucedido tanto en ataques oportunistas como en dirigidos).
- Command & Control
Una vez instalado en el sistema comprometido, el malware necesita conectarse a su infraestructura de command & Control (Callback) para que los atacantes puedan filtrar información, utilizar un endpoint para lanzar ataques DDoS o campañas de spam, o establecer un punto de apoyo para moverse lateralmente y profundizar en la organización víctima. En esta fase, los atacantes pueden utilizar servicios de confianza como AWS y Google Drive, o aplicaciones como Twitter o Slack para ocultar el canal de comunicación.
Las tecnologías tradicionales no tienen conciencia de la instancia, por lo que, si una organización ya ha permitido el uso de AWS o Google Drive, este tráfico normalmente se tolerará. De hecho, en muchos casos, este tráfico ni siquiera será inspeccionado en busca de malware o patrones anómalos; la inspección SSL requiere muchos recursos para las tecnologías locales perimetrales, e introduce latencia, lo que afecta la experiencia de usuario.
- Persistencia
Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración de los servicios críticos alojados en la nube, aumentar los privilegios para obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas instancias con fines maliciosos como el criptojacking. Las credenciales robadas, las cuentas filtradas o la mala configuración de los servicios en la nube son formas típicas que utilizan los atacantes para entrar en los servicios en la nube y moverse lateralmente.
Por supuesto, es muy importante que no cerremos o separemos los vectores y superficies de ataque de las nubes en nuestra consideración de la kill chain y en nuestra respuesta a ella. Un ataque puede utilizar una combinación de vectores «tradicionales», como la web y el correo electrónico, así como servicios en la nube. Utilizamos el término «amenazas híbridas» para definir ataques que aprovechan este enfoque mixto para permanecer bajo el radar de las soluciones de seguridad tradicionales.
Tecnología de protección y sentido común
Dado que solo una tecnología cloud nativa puede detectar y mitigar las amenazas propias de la nube, para combatir las amenazas cloud es recomendable seguir varias pautas, que van desde la evaluación periódica y sostenida de la seguridad de los recursos de IaaS; hasta la ejecución de análisis DLP del contenido compartido externamente en aplicaciones cloud permitidas, para impedir la fuga de información; o la implementación de una plataforma de protección capaz, entre otras, de encontrar amenazas híbridas y aplicar políticas de uso tanto para los servicios no autorizados como para las instancias no autorizadas de servicios cloud aceptados.
Asimismo, los usuarios deben ser advertidos ante los peligros de ejecutar macros no firmadas u otras procedentes de una fuente no fiable, incluso aunque parezcan provenir de un servicio cloud legítimo o abrir cualquier archivo (a menos que estén muy seguros de que son inofensivos) independientemente de sus extensiones. Por último, mantener actualizados los sistemas y el antivirus con las últimas versiones y parches es otra recomendación a tener en cuenta.