Los ciberdelincuentes siempre buscan puntos ciegos en la gestión de acceso, ya sean malas configuraciones, malas prácticas de acreditación, errores de seguridad sin parchear u otras puertas ocultas al castillo corporativo. Ahora, a medida que las organizaciones continúan modernizándose hacia la nube, los malos actores están aprovechando una oportunidad emergente: fallas de acceso y configuraciones incorrectas en la forma en que las organizaciones usan los servicios de los proveedores de la nube. gestión de identidad y acceso (IAM) capas.
En una charla el miércoles 10 de agosto en Black Hat USA titulada “Yo soy el que llama”, Igal Gofman, jefe de investigación de Ermetic, ofrecerá una visión de esta frontera de riesgo emergente. “Los defensores deben comprender que el nuevo perímetro no es la capa de red como lo era antes. Ahora es realmente IAM: es la capa de administración la que gobierna todo”, le dice a Dark Reading.
Complejidad, Identidades de Máquinas = Inseguridad
El escollo más común en el que se encuentran los equipos de seguridad al implementar IAM en la nube es no reconocer la gran complejidad del entorno, señala. Eso incluye comprender la cantidad creciente de permisos y accesos que han creado las aplicaciones de software como servicio (SaaS).
“Los adversarios continúan poniendo sus manos en tokens o credenciales, ya sea mediante phishing o algún otro enfoque”, explica Gofman. “En un momento, esos no le dieron mucho al atacante más allá de lo que estaba en una máquina local. Pero ahora, esos tokens de seguridad tienen mucho más acceso, porque todos en los últimos años se trasladaron a la nube y tienen más acceso a los recursos de la nube”.
El tema de la complejidad es particularmente picante cuando se trata de entidades de máquina — que, a diferencia de los humanos, siempre están trabajando. En el contexto de la nube, se utilizan para acceder a las API de la nube mediante claves de API; habilitar aplicaciones sin servidor; automatizar roles de seguridad (es decir, agentes de servicios de acceso a la nube o CASB); integrar aplicaciones y perfiles de SaaS entre sí mediante cuentas de servicio; y más.
Dado que la empresa promedio ahora usa cientos de aplicaciones y bases de datos basadas en la nube, esta masa de identidades de máquinas presenta una red altamente compleja de permisos y accesos entrelazados que sustentan las infraestructuras de las organizaciones, que es difícil de obtener visibilidad y, por lo tanto, difícil de administrar. dice Gofman. Es por eso que los adversarios buscan explotar cada vez más estas identidades.
“Estamos viendo un aumento en el uso de identidades no humanas, que tienen acceso a diferentes recursos y servicios internamente”, señala. “Son servicios que hablan con otros servicios. Tienen permisos y, por lo general, un acceso más amplio que los humanos. Los proveedores de la nube están presionando a sus usuarios para que los usen porque, en un nivel básico, los consideran más seguros. Pero existen algunas técnicas de explotación que se pueden usar para comprometer entornos utilizando esas identidades no humanas”.
Las entidades de máquinas con permisos de administración son particularmente atractivas para que las usen los adversarios, agrega.
“Este es uno de los principales vectores a los que apuntan los ciberdelincuentes, especialmente en Azure”, explica. "Si no tiene una comprensión profunda de cómo administrarlos dentro de IAM, está ofreciendo un agujero de seguridad".
Cómo impulsar la seguridad de IAM en la nube
Desde un punto de vista defensivo, Gofman planea discutir las muchas opciones que tienen las organizaciones para resolver el problema de implementar IAM efectivo en la nube. Por un lado, las organizaciones deben hacer uso de las capacidades de registro de los proveedores de la nube para crear una visión integral de quién y qué existe en el entorno.
“Estas herramientas en realidad no se utilizan mucho, pero son buenas opciones para comprender mejor lo que sucede en su entorno”, explica. “También puede usar el registro para reducir la superficie de ataque, porque puede ver exactamente qué están usando los usuarios y qué permisos tienen. Los administradores también pueden comparar las políticas establecidas con lo que realmente se usa dentro de una infraestructura determinada”.
También planea desglosar y comparar los diferentes servicios de IAM de los tres principales proveedores de nube pública (Amazon Web Services, Google Cloud Platform y Microsoft Azure) y sus enfoques de seguridad, todos los cuales son ligeramente diferentes. La gestión de identidades y accesos multinube es un factor adicional para las corporaciones que utilizan diferentes nubes de diferentes proveedores, y Gofman señala que comprender las sutiles diferencias entre las herramientas que ofrecen puede contribuir en gran medida a reforzar las defensas.
Las organizaciones también pueden usar una variedad de herramientas de código abierto de terceros para obtener una mejor visibilidad en toda la infraestructura, señala, y agrega que él y su copresentador Noam Dahan, líder de investigación en Ermetic, planean hacer una demostración de una opción.
“Cloud IAM es muy importante”, dice Gofman. “Vamos a hablar sobre los peligros, las herramientas que se pueden usar y la importancia de comprender mejor qué permisos se usan y qué permisos no se usan, y cómo y dónde los administradores pueden identificar los puntos ciegos”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
