¿Es posible detectar, clasificar y responder a una amenaza a la nube en menos de 8 minutos?

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.




Varios ataques notorios a la nube entre 2020 y 2022 fueron el resultado de errores técnicos simples que podrían haberse frustrado con una detección y respuesta más rápidas.




En un análisis de incidentes importantes de seguridad en la nube entre 2021 y 2022, se descubrió que los ataques en la nube se están volviendo más avanzados, particularmente en el volumen de ataques y en el uso de herramientas automatizadas por parte de los atacantes, lo que significa que los defensores necesitan acelerar sus capacidades de detección y respuesta para poder frustrarlos.




En este sentido, se encontraron algunos nexos entre los incidentes estudiados, como por ejemplo, que los atacantes están creando herramientas que automatizan el escaneo, la búsqueda y la explotación del objetivo del ataque y acceden a los sistemas a través de credenciales filtradas y vulnerabilidades comunes.




Entre los ataques revisados se encuentran:




En diciembre de 2022, un atacante utilizó el repositorio de código PyPI para descargar una dependencia de PyTorch comprometida que incluía código malicioso diseñado para robar datos del sistema. El atacante se hizo pasar por un hacker ético que probaba el sistema y sólo fue descubierto cuando intentó ocultar el malware y filtrar datos confidenciales.




En noviembre de 2022, los atacantes obtuvieron acceso a los sistemas internos de MediBank a través de credenciales de inicio de sesión comprometidas, una táctica que puede haber involucrado acceso VPN. Después de pasar un mes acechando los sistemas, los atacantes mostraron al banco lo robado. Sin embargo, el banco se negó a pagar la demanda de rescate y el atacante publicó los datos en la Dark Web.




En julio de 2022, un servidor en la nube de Alibaba mal configurado permaneció abierto en Internet durante más de un año sin contraseña, lo que provocó el robo de 23 TB de datos y su puesta a la venta en el foro clandestino Breach Forums. Este archivo de 23 TB incluía datos personales de mil millones de ciudadanos chinos almacenados en la base de datos de la policía nacional de Shanghai.




En septiembre de 2020, Equinix, proveedor de centro de datos, sufrió un ataque de ransomware que afectó a algunos de los sistemas internos de la empresa. Los atacantes aparentemente exigieron un rescate de 4,5 millones de dólares a Equinix, alegando que pudieron descargar datos confidenciales de los servidores de la empresa. Amenazaron con hacer públicos los datos a menos que se pagara el rescate. Una investigación de casi dos meses determinó que ninguna información confidencial sobre las operaciones o la información del cliente se vio afectada y los centros de datos no se vieron afectados por el incidente.




Este análisis dio como resultado algunos datos importantes para la seguridad de las organizaciones, ya que la intención de la investigación sobre estos ataques era aprender lecciones de lo que salió mal y lo que se podría haber hecho mejor. Esas conclusiones pueden ayudar a las organizaciones a reflexionar sobre sus entornos de nube y revisar los controles y procesos de seguridad que han implementado, especialmente centrándose en cuáles fueron los aspectos técnicos de los incidentes y su impacto a largo plazo.




Es por ello que los patrones de ataque y respuesta en estos incidentes pueden proporcionar información sobre cómo proteger y responder mejor a las amenazas cibernéticas en la nube.




Uno de los desafíos es que los equipos de seguridad a menudo deben decidir si adoptar un enfoque de prevención, en el que se refuerzan las defensas, o centrarse en la detección y la respuesta, lo que requiere múltiples niveles de herramientas de seguridad.




Por esto, se requiere un punto de referencia para la detección y la respuesta, especialmente porque los defensores necesitan moverse más rápido para proteger una superficie más amplia, contra atacantes que pueden utilizar herramientas automatizadas en sus esfuerzos de ataque.




De esta forma, se han creado iniciativas como la que señala que las organizaciones deberán detectar, clasificar y responder a una amenaza en menos de 8 minutos, lo cual representa un reto hoy en día, pero que es algo en lo cual se está trabajando y haciendo pruebas para que se logre.




Para más información, visite: https://www.silikn.com/