Unit 42, la Unidad de Inteligencia e Investigación de Amenazas de Palo Alto Networks, también señaló que, en los entornos de nube de la mayoría de las organizaciones, el 80% de las alertas se activan por sólo el 5% de las reglas de seguridad.
Las nubes públicas, privadas e híbridas son complejas e incluyen múltiples componentes como redes, servidores, sistemas de almacenamiento y aplicaciones. Cada componente tiene sus propias vulnerabilidades, y la exposición de estas podría permitir a un atacante comprometer la seguridad de la nube. A medida que las organizaciones de todo el mundo comparten, almacenan y gestionan cada vez más datos en la nube, la superficie de ataque de las organizaciones se amplía exponencialmente.
Según el informe Amenazas en la Nube de Unit 42, la Unidad de Inteligencia e Investigación de Amenazas de Palo Alto Networks, el escenario es aún más complejo: los ciberdelincuentes se han vuelto más hábiles a la hora de explotar problemas comunes y cotidianos en la nube. Estos problemas incluyen errores de configuración, credenciales débiles (usuarios y contraseñas), autenticación deficiente, vulnerabilidades sin parches y paquetes con código malicioso dentro de software de código abierto.
El informe incluye un desglose de dos casos reales de respuesta a brechas de seguridad en la nube observados en 2022: uno es una fuga de datos para SIM-Swap de datos en la Dark Web, donde el usuario tenía las cuentas de correo electrónico vinculadas a un número de teléfono comprometido. Esto ocurre cuando un atacante utiliza ingeniería social para engañar a la víctima para que active una nueva SIM que el atacante controla. Este tipo de estafa permite al atacante hacerse con el control de cualquiera de las cuentas de la víctima que estén autenticadas a través del número de teléfono.
El segundo escenario fue un firewall mal configurado que permitía la comunicación contra una red de bots que hacían Cryptojacking. El departamento de TI de una empresa mediana de comercio electrónico recibió un correo de su proveedor de servicios cloud alertando sobre actividad de bots en su infraestructura en la nube. La empresa había sido víctima de un ataque de cryptojacking en el que los cibercriminales desplegaron cientos de instancias VM (Virtual Machine) para llevar a cabo operaciones de criptominería.
El estudio también señala que, en promedio, los equipos de seguridad tardan 145 horas (aproximadamente seis días) en resolver una alerta de seguridad en estos ambientes cloud. El 60% de las organizaciones tarda más de cuatro días en resolver los problemas de seguridad.
«Las alertas de ciberseguridad deben ser respondidas lo antes posible. El tomar horas o peor aún, días para resolver las alertas de seguridad, sólo ocasionará que los sistemas de la empresa puedan comprometerse mucho más, generando cuantiosas pérdidas financieras, por hackeos a las cuentas de la compañía, secuestro de información así como inoperabilidad de los equipos. Es indispensable que las empresas y organizaciones siempre se mantengan a la defensiva y se adelanten frente a posibles ciberataques, protegiéndose con las más recientes innovaciones tecnológicas en ciberseguridad para salvaguardar su patrimonio, por ejemplo a través del uso de herramientas que permitan remediar automáticamente cualquier desviación o deficiencias en las políticas de seguridad; otra recomendación es la adopción de la metodología «shift-left» que consiste en detectar y solucionar los problemas lo más cercano al inicio del desarrollo del software», afirma Kenneth Tovar Roca, Country Manager de Palo Alto Networks para Perú y Bolivia.
Que muchas organizaciones adopten actualmente infraestructura en la nube, hace que los atacantes dirijan su atención hacia esos ambientes. El informe, que analizó las workloads de 210,000 cuentas cloud de 1,300 organizaciones diferentes, descubrió que el 80% de las alertas son generadas por sólo el 5% de las políticas de seguridad. El 58% de las organizaciones no aplica la autenticación multifactor para los usuarios root/admin (usuarios con privilegios de administración en un sistema informático) y el 76% de las empresas no aplic autenticación multifactor para el acceso vía consola (interfaz para modificar configuraciones vía la línea de comandos).
El software de código abierto (OSS por sus siglas en inglés) ha sido uno de los motores de la revolución de la nube. Sin embargo, el aumento del uso de OSS en la nube también está impulsando el crecimiento de software obsoleto o abandonado, contenido malicioso y ciclos de parches más lentos. Esto hace recaer en los usuarios finales la responsabilidad de analizar el OSS antes de integrarlo en las aplicaciones. Esta tarea es especialmente difícil cuando las organizaciones tienen que gestionar docenas de proyectos que dependen potencialmente de miles de OSS. El estudio señala que el 63% de las bases de código de producción tienen vulnerabilidades sin parche, calificadas como altas o críticas.
El ejecutivo afirma que solo se puede tener un enfoque integral de las plataformas a través de una solución de ciberseguridad robusta constantemente actualizada para identificar y eliminar las ciberamenazas en tiempo real.
“Las empresas deben saber que la superficie de ataque de las aplicaciones nativas de la nube continuará expandiéndose, mientras que los hackers sigan ideando nuevas formas de atacar la cadena de suministro de software, infraestructuras de nube mal configuradas e interfaces de programación de aplicaciones; por eso es muy importante nuevamente aplicar la metodología Shift-left para ayudar con herramientas, como Prisma Cloud de Palo Alto Networks, a los desarrolladores a identificar estos riesgos de forma temprana y puedan solucionarlos mientras desarrollan las aplicaciones», finaliza Kenneth Tovar.