Recientemente, la nube se volvió más complicada y más importante que nunca; pero dejaré lo mejor para el final. Una de las principales preocupaciones de seguridad al usar la nube, aunque acepto que hay varias, son las malas configuraciones. Esto conduce a violaciones de datos o, en el caso del hacktivismo, configuraciones incorrectas permiten ataques de denegación de servicio.
Incluso cuando una organización logra configurar y proteger el perímetro, muchas utilizan la nube por su capacidad para almacenar grandes cantidades de datos. Con demasiada frecuencia, la segregación de datos, los derechos de acceso, los permisos, las clasificaciones de datos, etc., se implementan de manera deficiente o se ignoran intencionalmente para brindar un acceso más rápido y conveniente a todos esos datos. Esto significa que si se logra un acceso no autorizado, se extraen enormes cantidades de datos y se colocan en sitios de alojamiento de ransomware y robo de datos para su descarga.
Tradicionalmente, la gente apunta un escáner de vulnerabilidades aproximadamente en la dirección de sus servicios. Algunos ejecutarán pruebas de penetración, pruebas de configuración, ocultarán servicios y los más maduros ejecutarán programas de gestión de superficie de ataque externo (EASM). Es probable que aquellos que utilizan EASM hayan esquivado muchas balas. Los programas EASM maduros serán ejecutados por equipos de pruebas internos, equipos de inteligencia de amenazas cibernéticas (CTI) o proveedores de CTI externos. La intención es observar continuamente el perímetro y más allá, no sólo observando lo que se está ejecutando, las versiones, los servicios y los puertos, los controles de seguridad y las configuraciones erróneas, sino también los nuevos servicios ocultos, generalmente configurados accidentalmente por desarrolladores, ingenieros o arquitectos fraudulentos. Esto es lo que conduce constantemente a incidentes de seguridad y violaciones de datos.
Lo ideal sería que los programas EASM estuvieran informados sobre las amenazas. es decir, los equipos de CTI observan constantemente lo que están haciendo los actores en términos de operaciones, objetivos y TTP y los alinean con los servicios en la nube que ejecutan para garantizar que los controles sean apropiados. Con las implementaciones en la nube, EASM nunca ha sido tan importante. Durante Covid, cuando se implementaron rápidamente nuevos servicios en la nube para permitir el trabajo remoto y nuevas formas de interactuar con los clientes, EASM rápidamente se volvió esencial.
Regularmente realizo pruebas de penetración dirigidas por amenazas (TLPT) que forman parte de marcos regulatorios, como CBEST y GBEST en el Reino Unido y TIBER en Europa. Un componente clave del elemento de inteligencia sobre amenazas de estas pruebas se denomina “inteligencia de focalización”. Esencialmente es un reconocimiento hostil de una entidad que incluye muchas cosas, pero lo más importante es el reconocimiento del perímetro y los servicios en la nube de una entidad para buscar debilidades que podrían usarse para ganar terreno. Aunque la explotación técnica de un servicio perimetral por parte del equipo rojo es poco común contra entidades maduras como los bancos, el descubrimiento de servicios en la sombra, rangos de IP y dominios que la entidad no conocía, ciertamente no es raro.
Existe una correlación directa entre aquellas entidades que sufren una brecha en su infraestructura de nube y aquellas que no tienen programas EASM en funcionamiento constante.
Con buenos programas de gestión de vulnerabilidades, EASM y pruebas de penetración periódicas, se debería mitigar la gran mayoría de las amenazas y riesgos. Entonces, ¿por qué dije al principio de este artículo que recientemente se ha vuelto más complicado e importante? ¿Por qué soy cauteloso y por qué esto va a empeorar antes de mejorar? Lo has adivinado, inteligencia artificial (IA). Por favor, no suspiren, esto no es fatalismo sino una auténtica amenaza en desarrollo. Es una amenaza mucho más cercana a la realidad que muchas de las preocupaciones sobre la IA.
Mientras escribo esto, estoy revisando un documento sobre los usos de la IA en el corto plazo por parte de actores de amenazas y hay dos desarrollos relevantes que veremos en el corto y mediano plazo. En primer lugar, las organizaciones implementarán nuevos servicios de IA, que probablemente estén basados en la nube debido a la potencia y el almacenamiento de datos que necesitan. Esto conducirá a una mayor superficie de ataque para cualquier entidad que necesiten proteger, pero también las soluciones de IA son nuevas y probablemente serán menos probadas y más vulnerables. Las pruebas de penetración periódicas serán esenciales.
En segundo lugar, está el uso de la IA por parte de los actores de amenazas en sus propias herramientas de reconocimiento y focalización. Se crearán herramientas mejoradas por IA tanto para el bien como para el mal. Esto último permitirá a los atacantes, incluso de capacidad media, tener una comprensión viva de la superficie de ataque de grandes partes de Internet y reaccionar instantáneamente, sin aviso, ante configuraciones erróneas y vulnerabilidades.
Los defensores ya no tendrán unos pocos días o semanas para detectar cosas, serán explotadas mucho más rápido y de forma automatizada. Estoy seguro de que un proveedor pronto ofrecerá una ‘herramienta de reconocimiento oscuro, tecnología profunda, orgánica y viva de próxima generación’, pero a corto plazo, invierta recursos en su EASM, invierta en sus programas de gestión de vulnerabilidades y parches e interactúe con sus equipos de TI. para que comprendan que la parte de la nube de su entorno será más crítica que nunca.