Red de información TI para profesionales ITMedia NetWork

Búsqueda avanzada

Publicidad

Publicidad

Noticias

Netskope adapta Cyber Kill Chain para evitar la explotación del cloud por los ciberdelincuentes

Si no se protegen adecuadamente, los servicios cloud pueden ampliar la superficie de ataque: solo una tecnología cloud nativa puede detectar y mitigar las amenazas propias de la nube

12 Noviembre 2019por Redacción

El creciente desarrollo y uso casi generalizado de aplicaciones en la nube está provocando cambios en el modelo Cyber Kill Chain, diseñado para ayudar a mitigar los ataques más avanzados de la red. Unos cambios que Netskope analiza y valora cómo se están explotando los servicios cloud dentro de cada etapa de esa cadena

El conocimiento de la Cyber Kill Chain permite aplicar medidas para proteger los sistemas

El conocimiento de la Cyber Kill Chain permite aplicar medidas para proteger los sistemas

“Con algunos ejemplos notorios de campañas maliciosas que han utilizado la nube para evadir las tecnologías de seguridad tradicionales, el modelo Cyber Kill Chain aumenta los temores de los responsables de seguridad en relación con los servicios cloud. Si no se protegen adecuadamente estos servicios, la superficie de ataque de una organización puede verse amplificada, siendo asimismo vital no descuidar otras puertas de entrada como la web o el correo electrónico”, señala Paolo Passeri, Arquitecto de Soluciones Globales de Netskope.

Si no se protegen adecuadamente los servicios cloud, la superficie de ataque de una organización puede verse amplificada, siendo asimismo vital no descuidar otras puertas de entrada como la web o el correo electrónico

Paolo Passeri

“En Netskope utilizamos el término 'amenazas híbridas' para definir ataques que aprovechan este enfoque mixto para permanecer bajo el radar de las soluciones de seguridad tradicionales”.

Siete eslabones: anatomía de un ataque

El conocimiento de la Cyber Kill Chain por parte de los operadores y encargados de la seguridad permite aplicar medidas en este ámbito para proteger los sistemas de control en cada una de las fases de la cadena que, se puede dividir en siete fases:

En primer lugar está el reconocimiento, que puede albergar múltiples métodos para obtener información de una víctima, incluyendo la investigación de los elementos vulnerables de la infraestructura o de los seres humanos, como recursos cloud mal configurados o información confidencial compartida en servicios cloud en apariencia inofensivos.

Una vez estudiada la víctima, llega la militarización: el actor malicioso crea la infraestructura necesaria para realizar el ataque (páginas de phishing, puntos de distribución de malware…) y -si así lo estima- aloja estos recursos en servicios cloud, aprovechando su resistencia y disponibilidad, escalabilidad y su facilidad para permitir la creación de recursos rápidamente.

Para Netskope, un aspecto relevante es que los servicios cloud no suelen ser inspeccionados y se suelen incluir en la lista blanca de las tecnologías tradicionales. Por ello, si un ciberdelincuente decide explotar una vulnerabilidad para ejecutar código en el sistema de la víctima, utilizará los servicios cloud. Ante ello, un sistema adaptado al contexto advertiría que los datos están siendo introducidos en una instancia de AWS o Azure externa a la organización; algo que, sin embargo, las tecnologías de seguridad clásicas no pueden hacer.

Los atacantes pueden utilizar servicios de confianza como AWS y Google Drive o aplicaciones como Twitter o Slack para ocultar el canal de comunicación. La inspección SSL requiere muchos recursos para las tecnologías locales heredadas, e introduce latencia, por lo que es muy probable que no sea realizada

Las páginas de phishing también pueden ser gestionadas desde la nube. De hecho, una carga maliciosa entregada desde un servicio cloud conocido tiene muchas posibilidades de ser ejecutada. Del mismo modo, los servicios cloud pueden ser utilizados como redireccionadores a sitios de distribución de malware utilizados para ataques dirigidos.

Tras la fase de entrega, el malware se instala en el sistema comprometido para después conectarse a la infraestructura de comando y control (Callback) del atacante. Con esta conexión, el atacante puede filtrar información, utilizar un endpoint para lanzar ataques DDoS o campañas de spam, o establecer una base de apoyo para profundizar en la organización víctima.

En este punto, los atacantes pueden utilizar servicios de confianza como AWS y Google Drive o aplicaciones como Twitter o Slack para ocultar el canal de comunicación. La inspección SSL requiere muchos recursos para las tecnologías locales heredadas, e introduce latencia, por lo que es muy probable que no sea realizada.

Por último, tiene lugar la persistencia. Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración de los servicios críticos alojados en la nube, aumentar los privilegios para obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas instancias con fines maliciosos, como el criptojacking.

Las credenciales robadas, las cuentas filtradas o la mala configuración de los servicios en la nube son formas típicas que utilizan los atacantes para entrar en los servicios cloud y moverse lateralmente.

Protección y sentido común

Según la compañía líder en soluciones de seguridad cloud, dado que únicamente una tecnología cloud nativa puede detectar y mitigar las amenazas propias de la nube, es recomendable optar por una solución cien por cien en la nube, como la que propone.

La tecnología Cloud XD de Netskope “elimina los puntos ciegos y va más allá que cualquier otro proveedor de seguridad para identificar y controlar rápidamente las actividades a través de miles de servicios en la nube, tanto SaaS, como IaaS y millones de sitios web. La plataforma cloud de Netskope puede encontrar amenazas híbridas y aplicar políticas de uso tanto para servicios no autorizados como para instancias no autorizadas de servicios cloud”.

Con un control total a través de una interfaz nativa de la nube, las organizaciones se benefician de una “protección de la información de 360 grados vigilando los datos en todas partes y ofreciendo protección frente a amenazas avanzadas y deteniendo ataques esquivos”.

Además de contar con una tecnología de eficacia probada, Netskope recomienda también seguir determinadas pautas que van desde la evaluación periódica y sostenida de la seguridad de los recursos de IaaS, hasta la ejecución de análisis DLP del contenido compartido externamente en aplicaciones cloud permitidas, para impedir la fuga de información.

Asimismo, los usuarios deben ser advertidos ante los peligros de ejecutar macros no firmadas u otras procedentes de una fuente no fiable, incluso aunque parezcan llegar de un servicio cloud legítimo, así como evitar abrir cualquier archivo, a menos que tengan la certeza de que son inofensivos; independientemente de sus extensiones. Por último, es clave mantener actualizados los sistemas y el AV con las últimas versiones y parches es otra recomendación. Más información en www.netskope.com/es

ShareThis

Publicidad

Publicidad

Destacamos

  • La importancia de las habilidades sociales en las estrategias y proyectos DevOps

    En un entorno digital e hiperconectado mantener una comunicación y colaboración constantes entre equipos resulta fundamental y, por ello, en el caso concreto del desarrollo de software, las metodologías DevOps tienen un gran impacto, al lograr poner a los equipos de desarrollo y operaciones a trabajar conjuntamente. Juan Rodríguez, director general de F5 Networks en España y Portugal, valora este hecho y defiende un comportamiento participativo apropiado y alineado como esencial

Envío de artículos por email de IT CIO.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de IT CIO.es

Procesando envíos...

Envío de artículos por email de IT CIO.es

Email enviado. Cerrar

Envío de artículos por email de IT CIO.es

Error en el envio. Pulse aqui para cerrar.Cerrar