carloscastilla - Fotolia

Cuatro ataques de nube comunes y cómo prepararse para ellos

Los ataques de nube están cada vez más dirigidos a los proveedores de servicios. El experto Frank Siemons analiza los diferentes tipos de ataques contra los que los proveedores de servicios y las empresas deben estar protegidos.

No es de extrañar que el rápido crecimiento de la adaptación de la nube haya atraído la atención no deseada de partes potencialmente dañinas. Una empresa solía ser un objetivo directo o se le atacaba a través de un socio conectado con una federación o una VPN.

Ahora, otro vector de ataque que proporciona niveles sin precedentes de acceso para cualquier atacante capaz de provocar un ataque es un proveedor de servicios en la nube (CSP). Una brecha de un CSP podría potencialmente dar a un atacante acceso también a los clientes administrados, aumentando enormemente el impacto y el valor de los ataques exitosos de nube.

PwC y BAE Systems publicaron un informe denominado "Operation Cloud Hopper" en abril de 2017 que describía las acciones emprendidas por el grupo APT10 para lograr tal resultado. Aunque la mayoría de estas acciones caen en las categorías de ataque más tradicionales, como el spear phishing –pero combinado y en una escala mucho mayor– sí indican un cambio en el enfoque de los ataques hacia los CSP. Algunos ataques de nube más específicos, dirigidos directamente a la infraestructura gestionada, también se han visto en los últimos años.

Cómo escapar de la caja de arena utilizando vulnerabilidades

Se han publicado varias vulnerabilidades que, hasta que fueron parchadas, permitieron a un atacante escapar de un sistema con sandbox alojado en la nube para obtener acceso a la propia plataforma de nube. Un ejemplo es el exploit de Microsoft Azure de día cero y cross-site scripting (XSS) publicado por Chris Dale en 2016. Al utilizar una vulnerabilidad XSS en un servidor web, Dale logró tumbar un sitio y luego atacar a los administradores del software como servicio de solución de problemas mediante la ejecución no autorizada de JavaScript en su navegador. Este fue un método de ataque relativamente fácil, y solo cubrió una sola plataforma, pero hay más de estas vulnerabilidades por ahí, la mayoría de ellas aún desconocidas para el público.

Un sistema adecuado de parches, pruebas de penetración regulares y monitoreo de seguridad en tiempo real son las mejores medidas de mitigación del riesgo para enfrentar estas vulnerabilidades.

Configuraciones equivocadas usadas para ataques de nube

La seguridad a menudo se centra en vulnerabilidades y exploits interesantes, pero normalmente hay menos foco en las configuraciones erróneas o malas implementaciones. Una configuración errónea, como una contraseña simple o predeterminada, una API insegura o un hipervisor mal implementado y sin parches, también puede dar lugar a un compromiso de seguridad.

Por ejemplo, una API puede utilizarse para administrar sistemas, empujar o extraer automáticamente datos entre sistemas y completar muchas más tareas administrativas. Si esta comunicación no es segura, o si no hay una autenticación adecuada en su lugar, un atacante podría manipular las solicitudes, los datos e incluso el propio sistema.

El mejor método para lidiar con estas configuraciones erróneas es tener sistemas de control de cambios adecuados, incluir expertos en seguridad en el panel de revisión y tener estándares de configuración sólidos y seguros.

Ataques de hombre en la nube

Un ataque de hombre en la nube es un método de ataque recientemente descubierto que se centra en la manipulación y el robo del token de sincronización de la nube de un usuario. La víctima suele ser golpeada con malware a través de un sitio web o correo electrónico malicioso, después de lo cual el atacante obtiene acceso a sus archivos locales. Al reemplazar el token de sincronización de nube por uno que señale a la cuenta de nube del atacante y colocando el token original en la selección de archivos que se sincronizarán, la víctima llevará a subir, sin saberlo, su token original al atacante. Ese token puede entonces ser utilizado por el atacante para obtener acceso a los datos de nube reales de la víctima.

Desde una perspectiva de protección, la prevención de malware es clave para frustrar estos ataques de nube.

Ataques distribuidos de denegación de servicio

Debido a la gran capacidad de ancho de banda disponible para los CSP, los métodos tradicionales de ataque de denegación distribuido de servicio (DDoS) –que utilizan muchos sistemas a la vez para sobrecargar el sistema objetivo con datos o solicitudes– se están volviendo menos eficaces. Sin embargo, hemos visto que hay muchos otros vectores disponibles para lograr un estado de denegación de servicio en un sistema de destino localizado en una plataforma en nube.

El ataque a Dyn de 2016 demostró que incluso la propia plataforma de nube puede ser puesta de rodillas. Se trató de un ataque DDoS dirigido, destinado a derrumbar la infraestructura del sistema de nombres de dominio para el proveedor de servicios web Dyn. Ese ataque derribó el acceso a grandes sitios web y plataformas en todo el mundo, como Amazon y Twitter.

Desde una perspectiva de cliente, no hay mucho que se pueda hacer contra un ataque contra la plataforma de alojamiento en sí. Sin embargo, se recomienda investigar cómo el tráfico de un gran ataque DDoS puede afectar los costos de un servicio. También vale la pena explorar el mercado CSP para buscar qué protecciones tienen los diferentes proveedores para prevenir tales interrupciones.

Conclusión

Los ataques de nube exitosos en los proveedores de servicios son raros, pero su impacto puede ser enorme, tanto para un proveedor como para sus clientes. El riesgo de estos ataques de nube es manejable, aunque sí requiere un enfoque amplio que incluye tener los controles de seguridad adecuados, monitorear sus entregas en tiempo real, planificación de capacidad y políticas adecuadas de control de cambios.

Esperen ver más ataques de nube de alto perfil en el futuro con el crecimiento de los atacantes de estados-nación y de organizaciones de cibercriminales bien financiadas y bien dotadas de recursos.

Investigue más sobre Políticas y concientización