Probando la seguridad en la nube
Investigadores de ciberseguridad establecieron un tentador señuelo en la nube para examinar cómo funcionan los atacantes cibernéticos y probar la seguridad en la nube.
Los servicios de computación en la nube inseguros pueden ser un gran riesgo para las organizaciones porque son un objetivo habitual para los ciberdelincuentes. Los investigadores han demostrado cuán vulnerables o mal configurados pueden ser los servicios en la nube , después de implementar cientos de trampas diseñadas para parecer una infraestructura insegura, algunas de las cuales duraron solo unos minutos antes de ser comprometidas por piratas informáticos.
Los investigadores de seguridad cibernética de Palo Alto Networks establecieron un honeypot compuesto por 320 nodos en todo el mundo, formado por múltiples instancias mal configuradas de servicios comunes en la nube, incluido el protocolo de escritorio remoto (RDP), el protocolo de shell seguro (SSH), el bloque de mensajes del servidor (SMB) y bases de datos Postgres.
El honeypot también incluía cuentas configuradas para tener contraseñas predeterminadas o débiles , exactamente el tipo de cosas que buscan los ciberdelincuentes cuando intentan violar las redes.
Y no pasó mucho tiempo antes de que los ciberdelincuentes descubrieran el honeypot y buscaran explotarlo: algunos de los sitios se vieron comprometidos en minutos, mientras que el 80 % de los 320 honeypots se vieron comprometidos en 24 horas. Todos ellos habían sido comprometidos en una semana.
La aplicación más atacada fue Secure Shell, que es un protocolo de comunicación de red que permite que dos máquinas se comuniquen. Cada honeypot SSH se vio comprometido 26 veces al día en promedio. El honeypot más atacado se vio comprometido un total de 169 veces en un solo día.
Mientras tanto, un atacante comprometió el 96 % de los 80 honeypots de Postgres en un solo período de 90 segundos.
«La velocidad de la gestión de vulnerabilidades generalmente se mide en días o meses. El hecho de que los atacantes pudieran encontrar y comprometer nuestros honeypots en minutos fue impactante. Esta investigación demuestra el riesgo de los servicios expuestos de manera insegura», dijo Jay Chen, investigador principal de seguridad en la nube de Palo. Alto Redes.
Los servicios en la nube expuestos o mal configurados, como los implementados en el señuelo, son objetivos tentadores para los ciberdelincuentes de todo tipo.
Se sabe que varias operaciones de ransomware notorias explotan los servicios en la nube expuestos para obtener acceso inicial a la red de la víctima con el fin de cifrar todo lo posible y exigir un rescate multimillonario a cambio de la clave de descifrado.
Mientras tanto, también se sabe que los grupos de piratas informáticos respaldados por el estado de la nación apuntan a las vulnerabilidades en los servicios en la nube como medios sigilosos de ingresar a las redes para realizar espionaje, robar
Seguridad de los servicios en la nube
Y como demuestra la investigación, los ciberdelincuentes no tardan mucho en encontrar sistemas expuestos a Internet.
«Cuando un servicio vulnerable está expuesto a Internet, los atacantes oportunistas pueden encontrarlo y atacarlo en solo unos minutos. Como la mayoría de estos servicios conectados a Internet están conectados a otras cargas de trabajo en la nube, cualquier servicio violado puede comprometer potencialmente todo el entorno de la nube», dijo Chen.
Cuando se trata de proteger las cuentas utilizadas para acceder a los servicios en la nube, las organizaciones deben evitar el uso de contraseñas predeterminadas y los usuarios deben contar con autenticación de múltiples factores para crear una barrera adicional para evitar que se exploten las credenciales filtradas.
También es fundamental que las organizaciones apliquen parches de seguridad cuando estén disponibles para evitar que los ciberdelincuentes aprovechen las vulnerabilidades conocidas, y es una estrategia que también se aplica a las aplicaciones en la nube .
«El resultado [de la investigación] reitera la importancia de mitigar y reparar los problemas de seguridad rápidamente. Cuando un servicio vulnerable o mal configurado se expone a Internet, los atacantes tardan solo unos minutos en descubrir y comprometer el servicio. No hay margen de seguridad». error cuando se trata del momento de las correcciones de seguridad», dijo Chen.
Fuente: ZDNet
