Las redes en la nube han contribuido más a cambiar la informática tal como la conocemos que cualquier otra innovación en los últimos 15 años, refiere Claudia Rincón Pérez, CEO de Factoría IT. Ha permitido a las pequeñas empresas implementar rápidamente una presencia en línea, a las grandes empresas escalar a medida que la demanda fluye y refluye, y en un mundo posterior a COVID, proporciona la base para una fuerza de trabajo remota.
Sin embargo, esta conveniencia no ha venido sin su propio conjunto de desafíos, y la carrera por "pasar a la nube" ha dejado con frecuencia a las organizaciones y sus usuarios con un conjunto completamente nuevo de desafíos de seguridad y problemas de privacidad de datos.
Rincón Pérez señaló que los mercados en la nube están llenos de imágenes de máquinas virtuales (VM) prediseñadas que contienen vulnerabilidades sin parches, configuraciones de firewall demasiado permisivas e incluso malware y mineros de monedas. Los proveedores de la nube no adoptan una postura proactiva hacia el monitoreo de violaciones / compromisos y, en muchos casos, ni siquiera transmiten a sus clientes notificaciones que hayan recibido de investigadores externos.
Las implementaciones en la nube también son una gran fuente de fugas de datos (cubos S3, bases de datos abiertas / servidores NoSQL), y los proveedores de datos de terceros que se ejecutan en la nube continúan siendo una fuente de fugas de datos de organizaciones que de otro modo serían seguras.
La seguridad es primordial para las empresas que crean y mantienen las principales nubes como Azure, AWS, Google Cloud Platform (GCP) y otras; Microsoft, por ejemplo, tiene un proceso extremadamente bien desarrollado para proteger su capa de hipervisor. Pero, debido a la naturaleza de proporcionar soluciones de infraestructura / plataforma / software como servicio (IaaS / PaaS / SaaS), una gran parte del trabajo se deja al cliente.
El problema con las máquinas virtuales preconstruidas y preinstaladas
Los mercados o galerías en la nube son los repositorios de máquinas virtuales preconstruidas disponibles para que los clientes las implementen. Si bien los proveedores de la nube ofrecen métodos para que los clientes carguen sus propias imágenes de VM para facilitar la implementación y el escalado automático, muchas personas prefieren la conveniencia de utilizar una imagen prediseñada.
Si bien estas imágenes son convenientes, con frecuencia están desactualizadas o implementadas con configuraciones de firewall demasiado permisivas que pueden abrir la máquina virtual para un ataque inmediatamente después de que se inicia. Otra tendencia preocupante ha sido la introducción de imágenes de VM que están preinstaladas con malware o mineros de criptomonedas, como se vio con Docker Hub.
Si bien son peligrosos, estos ataques son solo la punta del iceberg en términos de potencial malicioso. Un atacante debidamente motivado podría, en teoría, desarrollar una imagen de máquina virtual que, después de un período de tiempo predeterminado, se comunica con los operadores de malware y establece una conexión de comando y control (C2).
Las principales nubes como AWS y Azure aprovisionan automáticamente las direcciones IP internas para que solo sean accesibles para las máquinas virtuales que proporcionan detalles de la suscripción bajo la que se ejecuta la máquina virtual. Sin embargo, esta información podría ser recopilada por el malware o descubierta por operadores malintencionados en la propia máquina .
Además, con el aumento de las implementaciones de nube híbrida y las VPN de punto a punto que conectan los entornos de nube a la red local de un cliente, una cabeza de playa en una VM en la nube podría convertirse fácilmente en un camino hacia el corazón de la red de una organización.
Estos son problemas no triviales que deben resolver los proveedores de la nube. Si bien los proveedores escanean imágenes de máquinas virtuales en busca de malware antes de ponerlas a disposición, como se ve con las soluciones antivirus, estos tipos de escaneos solo detectan el código malicioso conocido y no son una defensa integral. Un trabajo cron simple en una máquina virtual Linux o una tarea programada en Windows podría descargar fácilmente cargas útiles secundarias días o semanas después del aprovisionamiento.
Para agravar este riesgo están las nubes como AWS, que permiten a cualquier usuario compartir una imagen de máquina virtual en el mercado. El uso de este tipo de máquinas virtuales es similar al riesgo que plantean las tiendas de aplicaciones móviles, pero con consecuencias para la empresa.
Falta de protección y notificación al cliente
Un problema clave hoy en día es que los proveedores de la nube no están adoptando una postura proactiva hacia el monitoreo de violaciones / compromisos y, en muchos casos, no envían notificaciones a sus clientes que provienen de investigadores externos.
Si bien es cierto que los proveedores de la nube no pueden ser responsables de todas las decisiones de seguridad que tomen sus clientes, su enfoque se centra principalmente en vender herramientas de seguridad adicionales, y los informes de máquinas virtuales violadas descubiertas por investigadores de seguridad externos (e incluso empleados del proveedor de la nube) son frecuentes. descartado como inaccesible.
Esto conduce a situaciones en las que cientos, a veces miles de máquinas virtuales se ven comprometidas en campañas de ataque coordinadas y permanecen vulneradas durante semanas o más si el cliente no se da cuenta de inmediato.
Un buen ejemplo de esto es una campaña de ataque continuo contra bases de datos NoSQL mal aseguradas, que comenzó a fines de 2016 y continúa hasta el día de hoy.
La investigación que realicé contra esta tendencia de ataque mostró que muchos clientes estaban en riesgo debido a una configuración de firewall predeterminada demasiado permisiva en la máquina virtual, junto con NoSQL habilitado en interfaces de red orientadas a Internet y una falta predeterminada de autenticación. Encontré casi 8.000 máquinas virtuales en la nube Azure de Microsoft entre 2016 y 2019 que estaban comprometidas.
En la mayoría de los casos, los clientes ni siquiera sabían que habían estado expuestos a Internet o que se había producido un compromiso, y esos fueron solo en los casos limitados en los que se enviaron notificaciones a los clientes. Los ataques no se limitaron a Azure, por supuesto, y en todo el mundo hubo más de 100.000 máquinas virtuales afectadas por ataques contra CassandraDB, Elasticsearch , MongoDB y Redis.
Riesgos de fuga de datos
Más allá del riesgo de compromiso, las bases de datos NoSQL no seguras han sido la fuente de innumerables filtraciones de datos y problemas de privacidad. Microsoft expuso accidentalmente 250 millones de registros de clientes a través de una instancia de Elasticsearch incorrectamente protegida a fines de 2019, y estos problemas continúan ocurriendo en todo el mundo con una cadencia regular.
Los buckets S3 de Amazon solían dejarse tan inseguros que los motores de búsqueda se han desarrollado para permitir que los cazarrecompensas de errores (y, sin darse cuenta, los actores malintencionados) busquen instancias S3 expuestas en busca de datos valiosos, información de identificación personal (PII), registros financieros, copias de seguridad de bases de datos, credenciales y registros de tarjetas de crédito. La información sobre el cuidado de la salud es otro conjunto de datos comúnmente expuesto, al igual que las cuentas de redes sociales y los datos publicitarios recopilados por las empresas de almacenamiento de datos.
Los agregadores de datos de terceros y las empresas de publicidad también suelen ser la causa de las fugas de datos de organizaciones que pueden tener políticas estrictas sobre seguridad de datos, cifrado en reposo, acceso privilegiado y exposición restringida de Internet a archivos confidenciales. Solo en 2020, se expusieron 36 mil millones de registros en los primeros tres trimestres.
Una mejor seguridad es esencial
Todo esto no quiere decir que las redes en la nube sean intrínsecamente inseguras, pero a medida que el mundo cambia a un entorno de nube híbrido y centrado en la nube, particularmente para las fuerzas de trabajo remotas, las organizaciones deben reconocer que su estrategia, políticas, controles y estrategias de seguridad en la nube. Los procesos deben ser tan robustos como en un entorno local clásico. No pueden asumir que debido a que un gigante tecnológico de Seattle, Redmond o Bay Area ejecuta su nube, se incluye cualquier seguridad adicional.
Los proveedores de la nube también deberían adoptar un enfoque mucho más agresivo y proactivo para proteger a sus clientes, notificarles sobre las infracciones y aislar las máquinas virtuales dentro de las suscripciones cuando se detecta un compromiso.
Hay servicios de monitoreo de terceros que ofrecen detección en tiempo real de escaneos automatizados que ocurren en Internet, y otros que ofrecen detección en tiempo real de balizas de malware emitidas desde nubes, que los proveedores se resisten a utilizar. Algunos datos recientes sobre cuatro de los proveedores de nube más grandes (Azure, AWS, Rackspace y Oracle Cloud) muestran que se emiten cantidades masivas de balizas de malware durante un período de 180 días. La nube Azure de Microsoft fue la peor con 1.400 millones de balizas, seguida de AWS con 793 millones, Rackspace con 598 millones y Oracle aparentemente mucho mejor con "sólo" 1.4 millones de balizas.
Es imposible determinar si el delta grande es el resultado de tamaños de clientes muy diferentes o diferencias significativas en la postura de seguridad, pero sirve para subrayar el hecho de que los clientes de la nube se ven comprometidos en cantidades masivas y estas infecciones no se tratan.
Al aprovechar los sistemas externos contra sus bases de datos internas de suscriptores a direcciones IP, los proveedores de la nube podrían enviar notificaciones a los clientes en cuestión de minutos u horas después del compromiso, lo que brinda a las organizaciones el tiempo que necesitan para responder, detectar y desalojar a los atacantes antes de que sea demasiado tarde.