El debate sobre la seguridad en la nube es eterno. Tenable, especialista en ciberseguridad, conduce el punto Riesgos de nubes. Este estudio basado en datos de telemetría recopilados por el editor ofrece varias lecciones. Así, durante el 1jerga Semestre 2024, el 38% de las empresas tenían al menos una carga de trabajo en la nube extremadamente vulnerable, configurada con privilegios excesivos y expuestos públicamente. "Este trío tóxico de la nube crea una ruta de ataque de alto riesgo y produce cargas de trabajo de los objetivos de elección para actores maliciosos", dijo el informe. Y para agregar, "más de un tercio de las empresas podrían hacer los títulos mañana".

"Incluso si las cargas de trabajo presentan uno o dos de estos factores de riesgo, sus repercusiones sobre la seguridad empresarial son potencialmente enormes", dijo el editor. "Los usuarios finales de estas compañías tienen su parte de responsabilidad", dijo Jeremy Roberts, director de investigación principal de Info-Tech Research Group, quien no ha participado en el estudio. "Es cierto que la nube es una herramienta como cualquier otra, pero todo depende de cómo se use", agregó. "Una gran cantidad de fallas en la nube no están vinculadas al proveedor, sino que resultan de una gestión ineficaz, como La capital de 2019 One Faille. En particular, supone verificar regularmente las autorizaciones, aplicar los principios de confianza cero y utilizar la gestión centralizada (torres de control, etc.) para normalizar una base de seguridad. »»

Índice
  1. Almacenamiento en la nube demasiado expuesto
  2. Demasiado permisivo llaves de acceso
  3. Una multitud de críticos cve
  4. Posibles atenuaciones

Almacenamiento en la nube demasiado expuesto

También según el estudio, en total, el 74 % de las empresas tienen datos almacenados en la nube expuesta públicamente, algunas de las cuales contenían información confidencial. Esta exposición a menudo se debe a autorizaciones innecesarias o excesivas. Además, "como las empresas están utilizando aplicaciones más y más nativas en la nube, la cantidad de datos confidenciales que almacenan allí también aumenta, incluida la información sobre clientes y empleados, así como la propiedad intelectual de la empresa, que es muy atractiva para los piratas".

De hecho, durante el período de análisis, Tenable ha señalado que una gran cantidad de ataques de ransomware dirigidos al almacenamiento en la nube se dirigieron a recursos públicos de la nube con privilegios de acceso excesivos. Sin embargo, estos ataques podrían haberse evitado. Una ventilación de la telemetría de almacenamiento expuesto reveló que el 39 % de las empresas tenían cubos públicos, que el 29 % tenía cubos públicos o privados con demasiados privilegios de acceso, y que el 6 % tenía cubos públicos con privilegios de acceso excesivos.

Demasiado permisivo llaves de acceso

El almacenamiento no es el único problema. Es preocupante tener en cuenta que el 84 % de las empresas tienen claves de acceso no utilizadas o antiguas con autorizaciones excesivas de gravedad crítica o alta. Sin embargo, según el estudio, "han jugado un papel importante en numerosos ataques y compromisos basados ​​en la identidad". Cotizaciones Tenable Tres ejemplos de uso abusivo de claves: Violación de datos de MGM Resortsla piratería de Mensajes electrónicos de Microsoft Y el malware Fot que se dirigió a los servidores web, los servicios en la nube y el software SaaS, que persiste y se extiende en AWS a través de usuarios de AWS IAM (Identidades e Identidad/Identidad y Administración de Acceso).

"Las claves de acceso y las autorizaciones que se les asignan están en el corazón de los riesgos de IAM. Combinados, literalmente dan acceso a los datos almacenados en la nube", señala el estudio. Agregue a esto el hecho de que el 23 % de las identidades en la nube en los hiperscalers principales (Amazon Web Services, Google Cloud Platform y Microsoft Azure), ya sean humanos o no, están acompañados de permisos excesivos de crítica o alta gravedad, y hay todos los ingredientes de un desastre.

Una multitud de críticos cve

Scott Young, Director Asesor Senior del Grupo de Investigación de Info-Tech, imputa en parte esta situación a la naturaleza humana. "El alto porcentaje de autorizaciones críticas otorgadas a las cuentas humanas refleja la inclinación natural del hombre para el seguimiento de la más mínima resistencia. Desafortunadamente, esta resistencia no está ahí para nada", dijo. "Esta obsesión por querer reducir la fricción en el trabajo en sistemas puede tener enormes consecuencias en caso de compromiso de una cuenta". El estudio también reveló que el 78% de las empresas tenían servidores API de Kubernetes accesibles para el público, del 41% de los cuales autorizaba el acceso a Internet entrante, una situación calificada como "inquietante" por tenable. Además, el 58 % autoriza a algunos usuarios a controlar los entornos Kubernete sin restricción, y el 44 % ejecuta contenedores en modo privilegiado, pero estas dos configuraciones de permisos amplifican los riesgos de seguridad.

Además de todas estas configuraciones malas que hacen que las instalaciones sean vulnerables, más del 80 % de las cargas de trabajo tienen una CVE crítica poco probable a pesar de la disponibilidad de soluciones. Este es el caso en particular de la vulnerabilidad para escapar del contenedor CVE-2024-21626.

Posibles atenuaciones

Para ayudar a las empresas a reducir sus riesgos, Tenable ofrece varias estrategias de mitigación:

- Cree una ética centrada en el contexto: para recopilar información sobre identidades, vulnerabilidades, errores de configuración y los riesgos vinculados a los datos en una herramienta unificada para obtener una visualización precisa, un contexto y una jerarquía de los riesgos vinculados a la seguridad en la nube. "No todos los riesgos son iguales. La identificación de combinaciones tóxicas puede ayudar a reducirlos considerablemente".

- Administre el acceso a Kubernetes/contenedores de cerca: adherirse a los estándares de seguridad POD, en particular al limitar los contenedores de privilegios y aplicar los controles de acceso. Restaurar el acceso entrante, limite el acceso entrante en los servidores de la API de Kubernetes y asegúrese de que las configuraciones de Kubelet desactive la autenticación anónima. Finalmente, verificar si los roles de clúster-addmin son realmente necesarios. Si este no es el caso, preferiblemente vincule a los usuarios a un papel menos privilegiado.

-Managemento de la información y autorizaciones de identificación: el editor recomienda "hacer una rotación regular de la información de identificación, no usar las claves de acceso durante demasiado tiempo e implementar mecanismos de acceso justo a tiempo. Sanar y ajustar regularmente las autorizaciones para las identidades humanas y no humanas para adherirse al principio del menor privilegio".

- Priorizar vulnerabilidades: concentrar los esfuerzos de remediación, aplicando en particular las correcciones a vulnerabilidades de alto riesgo, en particular aquellos cuya puntuación VPR, que evalúa la prioridad de las vulnerabilidades, es alta.

- Minimizar la exposición: examine todos los activos expuestos públicamente para determinar si esta exposición es necesaria y si no compromete la información confidencial o la infraestructura crítica. Siga la evolución de las soluciones.