APIs mal configuradas fueron la causa de dos de cada tres entornos de nube vulnerados; máquinas virtuales con valores de seguridad predeterminados expusieron el contenido de la nube en internet y controles de red deficientes fueron las principales oportunidades que aprovecharon ciberatacantes para asolar la nube empresarial, de acuerdo con el reporte 2021 X-Force Cloud Security Threat Landscape de IBM.
Entre julio de 2020 y julio de 2021 el equipo de respuesta a incidentes X-Force detectó un mercado boyante en la Dark Web, donde se ofrecía información de acceso de casi 30,000 cuentas en la nube que habían sido comprometidas. Algunos de esos datos se podían comprar por unos pocos dólares, mientras que otros tenían una tarifa competitiva de $15,000 dólares por credencial de inicio de sesión.
Charles DeBeck, analista senior de Ciberamenazas Inteligentes del equipo de X-Force, indicó que en 71% de los casos los delincuentes obtuvieron accesos al protocolo de escritorio remoto (RDP, por sus siglas en inglés), lo que les dio acceso directo a los entornos de la nube.
“Aunque la Dark Web está en constante evolución, es probable que esta tendencia se mantenga ya que representa un negocio que va en auge y mientras haya dinero en juego, los delincuentes seguirán apuntando a los entornos de nube”, indicó el experto.
Los investigadores sugieren que la corrección de configuraciones erróneas en aplicaciones, bases de datos y políticas podría haber detenido dos terceras partes de los entornos de nube comprometidos. DeBeck señaló que las empresas llevan a cabo un trabajo preliminar, pero en su intento por proteger la nube se topan con un laberinto muy complejo en torno a la adopción de esta tecnología, que a los primeros que beneficia es a los ciberatacantes. Especialmente en el entorno acelerado que propició la pandemia.
“Al ir agregando herramientas para una y otra cosa, se ha creado un laberinto de seguridad difícil de descifrar y muy complicado de administrar. Los responsables enfrentan el dilema de detectar amenazas en una infraestructura digital que está en constante expansión y al mismo tiempo tienen que demostrar que son capaces de automatizar rápidamente respuestas para contener y remediar los ataques”, detalló.
Algunas sugerencias de X-Force
Entre las recomendaciones del informe se encuentra que los usuarios de la nube implementen un enfoque de varios pasos al preparar su estrategia de respuesta a incidentes de seguridad. Una de las primeras sugerencias es adoptar una filosofía Zero Trust, así como implementar prácticas robustas de control de acceso, como la autenticación multifactor (MFA) y dar mínimos privilegios para las identidades en la nube.
Así mismo, se aconseja realizar constantemente pruebas de penetración que permitan identificar vulnerabilidades, además de participar en ejercicios de simulación de adversarios, mediante escenarios basados en la nube, para capacitar y practicar una respuesta eficaz a incidentes en este entorno.
En opinión de DeBeck, resulta básico “que las empresas modernicen su infraestructura de nube híbrida, que consideren sus entornos de nube como una arquitectura única y que aborden la problemática desde un enfoque abierto e integrado para hacer frente a los riesgos”.
El informe señala que cada vez más organizaciones reconocen el valor de negocio de una nube híbrida y de distribuir sus contenidos en una infraestructura diversa. En el documento se cita que el Reporte de Costo de las brechas de datos de 2021 reveló que las organizaciones más comprometidas y que utilizaban una nube pública o privada única pagaron aproximadamente un millón de dólares más tras sufrir brechas de datos, comparadas con empresas afectadas que tenían ambientes híbridos.
El hecho de que los errores humanos den al traste con la seguridad en la nube corrobora uno de los hallazgos de la IT Masters Cloud Survey 2021, acerca de que la seguridad es uno de los mayores temores de los IT Masters cuando se habla de migrar a la nube. Salir victoriosos del laberinto que representa la seguridad en la nube es otro reto para los CISO y su equipo.