Una abrumadora mayoría de organizaciones carecen de los controles de políticas de administración de acceso e identidad (IAM) adecuados para asegurar de manera efectiva sus datos confidenciales en entornos de nube, según Palo Alto Networks, que ha publicado hoy un informe que acusa al 99 % de las organizaciones de tomar una “demasiado enfoque permisivo” a la política de IAM.
Palo Alto analizó más de 680 000 identidades en 18 000 cuentas en la nube en 200 organizaciones para comprender los patrones de configuración y uso, y describió sus hallazgos como “impactantes”. John Morello, vicepresidente del servicio Prisma Cloud de la empresa, dijo: “Sin políticas efectivas de IAM, una organización nunca puede esperar estar segura en la nube debido a su propia naturaleza: dispersa, en rápida evolución y dinámicamente fluctuante dentro de una organización. .”
El problema se deriva principalmente de la mala gestión de credenciales, dijo Palo Alto. Durante el curso de su investigación, descubrió que el 44 % de las organizaciones permiten la reutilización de contraseñas de IAM y el 53 % de los servicios en la nube permiten el uso de contraseñas débiles.
Sin embargo, junto con esto, la encuesta encontró que las identidades individuales están facultadas para hacer mucho más en la nube de lo que necesitan. Palo Alto afirmó que al 99 % de las organizaciones, roles, servicios y recursos de los usuarios finales se les otorgan permisos excesivos que nunca se usan o se dejan sin usar durante largos períodos de tiempo.
Sumado a esto, las organizaciones de usuarios finales tienden a hacer un mal uso de las políticas de IAM del proveedor de servicios en la nube (CSP) integrado, otorgándoles 2,5 veces más permisos en promedio que las políticas que administran ellos mismos.
Esta combinación de permisos excesivos y políticas permisivas efectivamente entrega las llaves de la caja fuerte a los actores maliciosos, dijo Palo Alto.
Cuando se toman junto con la adopción estratosférica de plataformas en la nube durante la pandemia, los entornos en la nube ahora tienen una tentación que los adversarios ahora encuentran imposible de resistir, abriendo la puerta a un nuevo tipo de actor de amenazas que “plantea una amenaza para las organizaciones a través del acceso directo y sostenido a recursos, servicios o metadatos integrados de la plataforma en la nube”.
Palo Alto dijo que su equipo de investigación de la Unidad 42 cree que los actores de amenazas en la nube merecen su propia definición porque ahora están comenzando a implementar un conjunto sustancialmente diferente de tácticas, técnicas y procedimientos (TTP) adaptados a la nube y, además, saben muy bien que la mala gestión de la política de IAM es un talón de Aquiles casi universal.
Esto los ha llevado a elevar sus capacidades de simplemente escanear instancias de almacenamiento en la nube expuestas o mal configuradas, o comprometer aplicaciones basadas en la nube expuestas y vulnerables, para incorporar días cero o casi cero (como Log4Shell) que pueden ayudarlos a obtener su manos en metadatos confidenciales de la nube, como acceso a CSP y claves secretas.
Una vez hecho esto, les resulta muy fácil moverse lateralmente a la propia plataforma de servicios en la nube, evadiendo el contenedor en silos o las herramientas de monitoreo de respuesta virtual en la nube porque parecen legítimos. El informe cerrado completo, que se puede descargar aquí, contiene ejemplos de grupos de delincuentes cibernéticos que están haciendo precisamente esto en este momento.
Palo Alto recomienda que las organizaciones se centren en fortalecer las políticas de IAM dentro de un entorno de nube para eliminar permisos innecesarios o no utilizados. Las mejores prácticas en este sentido incluyen minimizar el uso de inicios de sesión de administrador y credenciales a largo plazo; hacer cumplir, no simplemente ofrecer, la autenticación de múltiples factores; configurar políticas de contraseñas seguras de acuerdo con la orientación oficial del Centro Nacional de Seguridad Cibernética (NCSC) o el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST); usar la gestión de identidad federada para gestionar el control de acceso; realizar auditorías constantes de los permisos de los usuarios a partir del principio de privilegio mínimo y agregar la corrección automática de tales auditorías de derechos sobre la base de que las cargas de trabajo en la nube cambian rápida y frecuentemente; y finalmente, monitorear adecuadamente las actividades de IAM para identificar posibles ataques de fuerza bruta o inicios de sesión desde ubicaciones no reconocidas.
Las organizaciones también pueden considerar la adopción de plataformas de protección de aplicaciones nativas en la nube (CNAPP), que son plataformas unificadas que consolidan capacidades previamente aisladas, como el escaneo de artefactos de desarrollo, la gestión de la postura de seguridad en la nube, el escaneo IaC (infraestructura como código), la gestión de derechos y el tiempo de ejecución. protección de carga de trabajo en la nube.