Principales ciberamenazas en los entornos de nube y sus remedios
Los seis mayores riegos que suponen los entornos cloud, y las maneras de paliar cada uno de los mismos, según expertos en ciberseguridad.
La seguridad en la nube se ha transformado. De hecho, la mayoría de los equipos de seguridad tratan de llevar a cabo medidas adecuadas de reducción de riesgos, aunque la seguridad eficaz en la nube va más allá.
Desde CyberArk han identificado cuáles son las áreas reconocidas como amenazas en el entorno de la nube. A continuación, vamos a analizar qué acciones pueden ayudar a reducir estos riesgos
1.- Usuarios inactivos en la nube
Los usuarios o las cuentas inactivas con privilegios de acceso permanente representan un riesgo importante. A menudo pasan desapercibidos en entornos de nube y ofrecen entradas de puerta trasera para los ciberdelincuentes. Para mitigar esta amenaza se puede utilizar la automatización para revocar el acceso o desactivar cuentas después de un cierto período de inactividad. O bien realizar revisiones frecuentes de acceso a las funciones, permisos y actividades de los usuarios para garantizar que solo existan las cuentas necesarias y activas. Esto ayudará a mantener el cumplimiento de muchos marcos regulatorios que requieren minimizar el acceso.
2.- Configuraciones erróneas
Las configuraciones incorrectas en un entorno de nube se refieren a activos o servicios configurados incorrectamente que pueden exponer a una organización a riesgos de distintos niveles. Dada la complejidad de las arquitecturas de nube modernas, los ajustes de configuración pueden ser miles. Cada configuración ofrece una posible oportunidad de error. Con el objetivo de abordar esa amenaza, es necesario revisar las políticas de IAM periódicamente para garantizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) para todos los usuarios e implementar un modelo de acceso just-in-time, eliminando los permisos permanentes y alineándolos con privilegios permanentes cero (ZSP).
3.- Acceso persistente a la nube
El acceso persistente significa que, si un atacante compromete una cuenta, tiene acceso indefinido hasta que se detecta. Lo cual provocará que los ciberdelincuentes establezcan un punto de apoyo más sólido, realicen reconocimientos e, incluso, se propaguen a otras partes de la red. Cambiar el acceso just-in-time, que proporciona acceso temporal que se revoca automáticamente después de un cierto período o después de completar la tarea, realizar revisiones frecuentes de los derechos de acceso, para garantizar que los usuarios tengan solo los permisos necesarios, o aplicar MFA para todos los usuarios, especialmente aquellos con privilegios elevados son algunos de los pasos necesarios para mitigar las amenazas.
4.- Permisos excesivos
Los permisos excesivos en la nube brindan a los usuarios, y potencialmente a los atacantes, más acceso del necesario para realizar sus tareas, aparte de que pueden provocar fugas de datos, escalada de privilegios y riesgos operativos. Para evitarlo, se pueden asignar permisos basados en roles organizacionales (RBAC); respetar el principio de privilegio mínimo (PoLP), proporcionando siempre el acceso mínimo necesario; supervisar las actividades de los usuarios y emplear inteligencia artificial o herramientas basadas en aprendizaje automático, para detectar y alertar comportamientos anómalos; o, por último, establecer límites estrictos sobre los permisos que se pueden otorgar.
5.- Secretos no rotados
En el mundo de la arquitectura de múltiples nubes, los secretos (ya sean claves API, tokens, pares de claves públicas/privadas o contraseñas) actúan como conductos de acceso vitales a datos y servicios cruciales. Por lo que, si los secretos permanecen estáticos, el factor de riesgo se agrava. Gestionar proactivamente estos secretos en todas las plataformas en la nube es una necesidad. En este sentido, lo aconsejable es implementar una política obligatoria para rotar secretos a intervalos regulares, cuya frecuencia puede variar según la sensibilidad del secreto; automatizar la rotación de secretos utilizando herramientas nativas de la nube o soluciones de terceros para reducir los errores manuales. Y, por último, revocar y reemplazar secretos al instante.
6.- Cuentas de administrador no protegidas
Las cuentas de administrador son la joya de la corona de cualquier infraestructura de TI y otorgan acceso privilegiado al corazón de los sistemas y los datos. A medida que las empresas amplían su presencia en la nube es esencial administrar de forma segura estas cuentas, con sus permisos elevados. Con el objetivo de mitigar este riesgo, una organización puede implementar y hacer cumplir MFA para todas las cuentas de administrador, lo cual garantiza una capa adicional de seguridad. También es necesario auditar y revisar, de manera regular, los registros y rutas de acceso en AWS, GCP y Azure o crear un mecanismo para detectar y proteger nuevos administradores, asegurando la distinción entre administradores federados y administradores locales con contraseña.