El phishing ha sido durante mucho tiempo una de las mejores formas de obtener acceso a una organización objetivo. No solía ser así. En los primeros días de la seguridad informática, el exploit de código remoto (RCE) era el método preferido para obtener acceso, ya que no requería la interacción del usuario. De hecho, si algo requería la interacción del usuario, no se consideraba una amenaza grave. Las mejores prácticas de seguridad comenzaron a afianzarse y el método de acceso RCE se volvió mucho más desafiante. Y resultó que lograr que los usuarios interactuaran fue más fácil de lo que jamás se había imaginado.
El mismo ciclo ha comenzado a repetirse con objetivos locales. Las organizaciones han comenzado a hacer avances en la protección de sus redes internas contra el uso de detección y respuesta de punto final (EDR), y otras tecnologías están mejor equipadas para detectar malware y movimiento lateral. Si bien los ataques se vuelven más difíciles, de ninguna manera es una estrategia ineficaz para un atacante todavía. La implementación de ransomware y otras formas de malware sigue siendo un resultado común.
Por qué su infraestructura en la nube es un objetivo principal para los ataques de phishing
La nube les ha dado a los phishers una nueva frontera para atacar, y resulta que puede ser muy peligrosa. Los entornos SaaS son objetivos maduros para los ataques de phishing y pueden brindarle al atacante mucho más que acceso a algunos correos electrónicos. Las herramientas de seguridad aún están madurando en este entorno, lo que ofrece a los atacantes una ventana de oportunidad en la que métodos como los ataques de phishing pueden ser muy efectivos.
Ataques de phishing dirigidos a desarrolladores y cadena de suministro de software
Como vimos recientemente, Dropbox tuvo un incidente debido a un ataque de phishing contra sus desarrolladores. fueron engañados para dando sus credenciales de Github a un atacante mediante un correo electrónico de phishing y un sitio web falso, a pesar de autenticación multifactor (AMF). Lo que da miedo es que no se trataba simplemente de un usuario aleatorio de ventas u otra función comercial, sino de desarrolladores con acceso a una gran cantidad de datos de Dropbox. Afortunadamente, el alcance del incidente no parece afectar los datos más importantes de Dropbox.
GitHub y otras plataformas en el espacio de integración continua/implementación continua (CI/CD) son las nuevas "joyas de la corona" para muchas empresas. Con el acceso adecuado, los atacantes pueden robar propiedad intelectual, filtrar el código fuente y otros datos, o realizar ataques a la cadena de suministro. Va aún más lejos, ya que GitHub a menudo se integra con otras plataformas, que el atacante puede pivotar. Todo esto puede suceder sin siquiera tocar la red local de la víctima o muchas de las otras herramientas de seguridad que las organizaciones han adquirido, ya que todo es software como servicio (SaaS) a SaaS.
La seguridad en este escenario puede ser un desafío. Cada proveedor de SaaS lo hace de manera diferente. La visibilidad de un cliente sobre lo que sucede en estas plataformas a menudo es limitada. GitHub, por ejemplo, solo brinda acceso a su API de registro de auditoría en su plan Enterprise. Obtener visibilidad es solo el primer obstáculo a superar, el siguiente sería crear contenido de detección útil a su alrededor. Los proveedores de SaaS pueden ser bastante diferentes en lo que hacen y en los datos que proporcionan. Se requerirá una comprensión contextual de cómo funcionan para realizar y mantener las detecciones. Su organización puede tener muchas de estas plataformas SaaS en uso.
¿Cómo mitiga los riesgos asociados con el phishing en la nube?
Las plataformas de identidad, como Okta, pueden ayudar a mitigar el riesgo, pero no completamente. La identificación de inicios de sesión no autorizados es sin duda una de las mejores formas de descubrir ataques de phishing y responder a ellos. Es más fácil decirlo que hacerlo, ya que los atacantes se han dado cuenta de las formas comunes de detectar su presencia. Los servidores proxy o las VPN se usan fácilmente para al menos parecer que provienen de la misma área general que el usuario para vencer las detecciones de países o viajes imposibles. Se pueden aplicar modelos de aprendizaje automático más avanzados, pero aún no se han adoptado ni probado ampliamente.
La detección de amenazas tradicional también está comenzando a adaptarse al mundo SaaS. Falco, una popular herramienta de detección de amenazas para contenedores y la nube, tiene un sistema de complemento que puede admitir casi cualquier plataforma. El equipo de Falco ya ha lanzado complementos y reglas para Okta y GitHub, entre otros. Por ejemplo, el complemento GitHub tiene una regla que se activa si alguna confirmación muestra signos de un criptominero. Aprovechar estas detecciones especialmente diseñadas es una buena manera de comenzar a incorporar estas plataformas en su programa general de detección de amenazas.
El phishing llegó para quedarse
El phishing y la ingeniería social en general nunca se quedarán atrás. Ha sido un método de ataque eficaz durante años, y lo seguirá siendo mientras la gente se comunique. Es fundamental comprender que estos ataques no se limitan a la infraestructura que posee o administra directamente. SaaS está especialmente en riesgo debido a la falta de visibilidad que tienen la mayoría de las organizaciones sobre lo que realmente sucede en esas plataformas. Su seguridad no puede descartarse como un problema de otra persona, ya que un simple correo electrónico y un sitio web falso es todo lo que se necesita para acceder a esos recursos.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
