Por Paolo Passeri (*)
Como muchos otros, el sector financiero confía en la nube para gestionar sus cargas de trabajo. Sin embargo, las cuentas en la nube se han convertido en un objetivo codiciado para los ciberdelincuentes, no solo por los beneficios que un entorno IaaS comprometido ofrece, sino también, porque esa misma infraestructura procura un entorno de confianza desde el que dirigir ataques contra otros objetivos.
A este respecto, un reciente informe elaborado por el Equipo de Acción de Ciberseguridad de Google recoge los motivos que llevan a los ciberdelincuentes a explotar las cuentas de Google Cloud Platform (GCP). Así, y sobre una muestra de 50 instancias, dicho informe revela que el 86% fueron utilizadas para llevar a cabo minería de criptomonedas, un 10% para realizar escaneo de puertos en otros objetivos, mientras que un 8% y un 6% se explotaron para lanzar ataques contra diferentes blancos y para alojar malware, respectivamente. En todos los casos, los atacantes aprovecharon el poder de un entorno de confianza.
En cuanto a los vectores de acceso más recurrentes, las contraseñas débiles y las APIs no autorizadas son los más empleados (48%), seguidos de las vulnerabilidades en el software de terceros (26%), las malas configuraciones y otros problemas (ambos con un 12%). El tiempo mínimo transcurrido entre la exposición de una instancia vulnerable en la nube y su posterior alteración es de 30 minutos, aunque esta cifra se eleva a 8 horas en el 40% de los casos.
Pero Google Cloud Platform no es el único servicio IaaS objetivo. Un estudio de Mandiant que analiza algunas actividades llevadas a cabo por grupos cibercriminales rusos, demuestra que comprometer un entorno IaaS de un proveedor de servicios en la nube es la forma más sencilla de llevar a cabo un ataque a la cadena de suministro y dirigirse a múltiples organizaciones de una sola vez.
Netskope, una solución de seguridad cloud
Para evitar que los atacantes realicen abusos sobre las cuentas en la nube mal protegidas, las empresas financieras pueden recurrir a Netskope Public Cloud Security, una solución que detecta los errores de configuración en entornos IaaS como AWS, Azure y Google Cloud Platform que pueden ser explotados por los ciberdelincuentes.
A través de un conjunto de perfiles predefinidos, Netskope Public Cloud Security facilita que los usuarios puedan cumplir con las mejores prácticas y estándares de la industria como NIST CSF, PCI-DSS y CIS. Además, permite construir fácilmente reglas personalizadas con el Lenguaje Específico de Dominio.
Esta misma protección también está disponible para las aplicaciones SaaS (como Microsoft 365, Salesforce, GitHub, Zoom y ServiceNow) gracias al nuevo módulo SSPM (SaaS Security Posture Management).
Por otro lado, y ante el incremento de los ataques de fuerza bruta o de password-spraying contra los servicios de acceso remoto mal configurados (como RDP o SSH), Netskope Private Access es la solución para mitigar este riesgo, permitiendo a las organizaciones publicar sus servicios (alojados en una nube pública o en un centro de datos on-prem) de forma segura, adoptando el paradigma de acceso de confianza cero.
Por último, Netskope Advanced Analytics proporciona cuadros de mando específicos para evaluar el riesgo de las malas configuraciones de cuentas en la nube, con abundantes detalles y perspectivas, apoyando a los equipos de seguridad en el proceso de remediación.
(*) Director de Ciberinteligencia de Netskope
