Estudio de Google Cloud: gran riesgo en la proliferación de credenciales y claves

Estudio de Google Cloud: gran riesgo en la proliferación de credenciales y claves

Tu correo ha sido enviado

Claves, credenciales y cuentas, ¡Dios mío! Un nuevo estudio de Google Cloud muestra que los atacantes van tras el punto débil de las empresas: la gestión de acceso a identidades.

Las credenciales son el talón de Aquiles de la seguridad empresarial, según un nuevo informe del Equipo de Acción de Ciberseguridad de Google Cloud, que encontró que las vulnerabilidades de las credenciales representaron el 60% de los factores de compromiso entre los usuarios de Google Cloud. El grupo de seguridad de la compañía dijo, en su nuevo Informe Threat Horizons, que fortalecer estos puntos débiles se puede lograr prestando atención básica a los detalles de confianza cero, incluidas barreras sólidas de gestión de identidad.

Además, el equipo de Google Cloud informó que los problemas de configuración incorrecta representaron el 19% de los factores de compromiso, que también se asociaron con otros factores de compromiso, como interfaces de programación de aplicaciones o interfaces de usuario sensibles expuestas a problemas como firewalls mal configurados (Figura A).

Figura A

"Cada trimestre vemos las mismas actividades, pero los atacantes se están volviendo más sofisticados en la forma en que las implementan", dijo Matt Shelton, jefe de investigación y análisis de amenazas en Google Cloud. “Seguimos considerando que IAM es el problema número uno y sospecho que seguiremos viéndolo durante los próximos trimestres. Credenciales de cuentas robadas y configuraciones erróneas son lo que todo el mundo busca estos días”, añadió.

Salta a:

En el informe diseñado para usuarios empresariales de Google Cloud, el equipo analizó estadísticas de alertas anónimas del primer trimestre de 2023 de Chronicle, el paquete de software como seguridad de Google para centros de operaciones de seguridad, para identificar factores de riesgo que inducen a compromisos.

Las alertas predominantes en el primer trimestre de 2023, que constituyeron casi el 75% de las alertas, fueron por abuso entre proyectos de los permisos de generación de tokens de acceso. En términos generales, este es un problema de gestión de acceso privilegiado, que frecuentemente involucra cuentas sobreaprovisionadas, donde los equipos de TI buscan aumentar el tiempo de actividad y reducir la complejidad otorgando demasiado acceso a las cuentas, violando el concepto de privilegio mínimo.

Shelton señaló que las cuentas sobreaprovisionadas son comunes con el acceso de identidad entre proyectos, y explicó que un usuario muy normalmente crea una cuenta de servicio con demasiados permisos para facilitar el trabajo. Luego, el atacante roba esas credenciales e intenta realizar acciones como acceder a un proyecto diferente o aumentar privilegios.

"Las cuentas sobreaprovisionadas generalmente se aplican a cuentas de servicio o de administrador privilegiadas, por lo que las consecuencias de la identificación robada son peores que si se tratara de una cuenta de usuario final", dijo Shelton.

Un ejemplo de un error de aprovisionamiento excesivo es el uso excesivo de claves de shell seguras, que brindan acceso a protocolos de red de shell seguros cifrados diseñados para permitir que las máquinas se comuniquen en una red abierta no segura. Las claves SSH se utilizan para realizar acciones remotas como transferencias de archivos, administración de redes y acceso a sistemas operativos.

“Si soy un administrador que inicia sesión en una instancia de GCP Linux, tengo una clave privada en mi punto final que un delincuente puede robar y usarla para iniciar sesión. Ese es un vector de ataque que ha existido durante años y años. Hemos evolucionado más allá de eso, pero todavía se usa ampliamente en la industria, como muestra nuestro informe”, dijo Shelton. “Es otro almacén de identidades del que debes realizar un seguimiento. Nadie pone una clave SSH en un sistema de baja prioridad, siempre está en el sistema Unix back-end que contiene datos confidenciales”, dijo. (Figura B).

Figura B

Shelton dijo que una mejor táctica es utilizar el nombre de usuario y la contraseña que vienen con la herramienta IAM de Google. “Esto es confianza cero. Garantiza que tenga una cuenta, una contraseña con autenticación multifactor, una ubicación central donde puede desactivarla o volver a activarla y un lugar central para consultar los registros. Entonces, nuestra recomendación es, sí, IAM es uno de los vectores de compromiso clave, pero existen herramientas basadas en principios de confianza cero que pueden ayudarlo a proteger su cuenta”, dijo.

El grupo Google Cloud Security ofreció sugerencias clave para mejorar la higiene de la gestión de identidades:

Los investigadores también identificaron casos de aplicaciones de Android que intentaban evadir las detecciones de malware de Google Play Store antes de descargar malware. Esta táctica, llamada "control de versiones", implica una versión de una aplicación que se gana la confianza de Play Store antes de emitir una actualización maliciosa de esa misma aplicación. El informe de Google Cloud citó la variante de malware SharkBot, un malware bancario que inicia transferencias de dinero desde dispositivos comprometidos utilizando el protocolo del Servicio de Transferencia Automatizada.

Según Shelton, las variantes de SharkBot que aparecieron en Google Play tenían una funcionalidad reducida, una técnica de encubrimiento que hace que las aplicaciones sospechosas sean más difíciles de detectar.

“El control de versiones es un gran problema. Google ha invertido mucho tiempo y esfuerzo en revisar aplicaciones en la tienda Google Play”, dijo Shelton. “Lo que suele suceder es que una aplicación se publica en la tienda Google Play. Se revisa, es completamente benigno y no contiene ningún malware. Luego, usando... el control de versiones, después de instalarla en el dispositivo de un usuario, generalmente como, por ejemplo, un juego o herramienta de consumo, y acceder a un sitio de terceros, [la aplicación] descarga código malicioso después de que la aplicación determina que el usuario es un objetivo valioso y realiza malicia”, añadió.

Dijo que este es un problema no sólo para los individuos sino también para las empresas. Las aplicaciones no sólo roban dinero y realizan transacciones financieras, sino que también pueden robar información.

“Eso me mantiene despierto por la noche porque las personas inician sesión en cuentas de trabajo desde sus teléfonos personales y estos ladrones de información toman las credenciales de ese teléfono y se las envían a un atacante. Y eso se remonta a la narrativa de que las credenciales robadas son clave, no sólo en la nube sino también en los dispositivos móviles”, dijo Shelton.

El informe de Google también analizó las vulnerabilidades de DevOps en el proceso continuo de integración/desarrollo, señalando que el compromiso de credenciales y tokens de autenticación son a menudo factores en los incidentes del código fuente.

"Ha habido casos en los que un compromiso de un servicio de terceros involucrado en el alojamiento del código o el proceso de integración/desarrollo continuo llevó a compromisos de los usuarios de estos servicios, así como incidentes internos maliciosos y configuraciones incorrectas", según el estudiar.

Shelton dijo que centrarse en protocolos de confianza cero y principios de defensa en profundidad puede ser de gran ayuda para bloquear a los atacantes desde la raíz.

“Lo que este informe muestra es que, tal como lo hemos hecho [on premise] durante años y años, en la nube tenemos que practicar la defensa en profundidad: tenemos que aplicar estrategias de detección y observar todo el panorama de amenazas. Es necesario asumir el compromiso en todo momento y construir una estrategia de seguridad con varias capas”, dijo.

Shelton también dijo que una conclusión importante del informe es que incluso a medida que los atacantes se vuelven más sofisticados, particularmente en torno a un imán de ataque importante (credenciales y explotación de vulnerabilidades de IAM en general), los protocolos de confianza cero son críticos.

“Todo se reduce a la ciberhigiene. Hoy en día hay que practicar los fundamentos a la perfección”, afirmó. "Hablamos bastante de ataques sofisticados, pero al final del día, un adversario sólo necesita hacer lo mínimo para ayudarle a lograr sus objetivos".

Este es su recurso de referencia para obtener las últimas noticias y consejos sobre los siguientes temas y más: XaaS, AWS, Microsoft Azure, DevOps, virtualización, nube híbrida y seguridad en la nube.