A medida que la adopción de cloud continúa acelerándose sin fin a la vista, la evolución de la próxima generación de ataques modernos atravesará y se dirigirá hacia el plano de control de una empresa cloud . Pero, ¿por qué?
El plano de control proporciona gestión y orquestación en todo el despliegue cloud de una empresa. Aquí es donde se establecen las líneas de base de configuración, se proporciona el acceso de usuarios y funciones y donde se sitúan las aplicaciones para que puedan ejecutarse con servicios relacionados, algo así como el control del tráfico aéreo para las aplicaciones. Cuando el plano de control se ve comprometido, un adversario tiene la oportunidad de modificar el acceso y la configuración, lo que le permite infligir daños materiales. Esta actividad maliciosa puede abarcar toda la gama de máquinas virtuales, contenedores e infraestructuras sin servidor, lo que puede provocar tanto la pérdida de datos como ataques de gran impacto.
Tal vez sea ésta el arma de doble filo de la cloud. Mientras que cualquier organización que utilice la cloud cosechará los beneficios de la velocidad y la escala que proporciona, los atacantes también intentarán utilizar estos atributos en su beneficio. Debemos recordar que la infraestructura, la identidad, los datos y los servicios en el plano de control de cloud nube están todos en juego y cada vez más en el punto de mira de los atacantes.
¿Debería sorprendernos?
Lo creas o no, este futuro ha sido telegrafiado durante años, remontándose al menos hasta el fatal ataque destructivo lanzado contra Code Spaces en 2014. Una vez que su plano de control de Amazon Web Services (AWS) fue violado y su infraestructura y datos fueron incautados, era solo cuestión de tiempo antes de que su operación fuera completamente cerrada. Más recientemente, en 2019 vimos la ampliamente publicitada brecha de Capital One, donde el daño resultante se cuantificó en más de 100 millones de registros robados y al menos 80 millones de dólares en multas impuestas.
Si bien es cierto que las organizaciones más afortunadas pueden encontrarse con que son simplemente cooptadas para apoyar ataques menos destructivos como la minería de criptomonedas, este puede ser el mejor de los casos para las organizaciones que no protegen su plano de control. También debemos reconocer que este resultado será menos probable cuanto más valiosos sean los activos de una organización o más sofisticado sea el adversario. Además, a medida que la cloud transforma la propia entrega de software, las nuevas oportunidades de comprometer la cadena de suministro a través de productos y servicios se convertirán en un área de creciente preocupación.
Teniendo todo esto en cuenta, el plano de control de cloud no es el lugar adecuado para subestimar el riesgo, ya que la persistencia aquí permite un alcance expansivo y una influencia que va mucho más allá de los límites de las campañas tradicionales basadas en redes heredadas. Es mucho lo que está en juego, el adversario está motivado y la técnica se está desarrollando activamente allí donde aún no se ha generalizado.
Reconocer el riesgo
Por supuesto, nada de esto quiere decir que este riesgo deba disuadir a los ejecutivos y responsables de la toma de decisiones estratégicas de perseguir una estrategia agresiva y expansiva cloud , sólo que dicha estrategia debe incluir una visión y una visibilidad claramente definidas. Una visión de cómo es el uso autorizado y la visibilidad para supervisar y medir las desviaciones de esa visión. La pregunta entonces es: ¿qué acciones están autorizadas y cuáles son maliciosas? Respuestas que no se encontrarán suscribiéndose a la última fuente de información sobre amenazas o descargando el último paquete de firmas. Sin embargo, la recopilación de los datos adecuados y la aplicación de la inteligencia artificial (IA) ayudarán a entenderlo todo. Todo se reduce a tener la capacidad de detectar los componentes clave de la progresión del ataque: la supervisión de las credenciales comprometidas, cómo se utilizan los servicios y la interacción entre las aplicaciones y los servicios subyacentes.
Las organizaciones con la tecnología de detección de intrusiones y el ecosistema de socios adecuados pueden agregar las señales correctas que indican que el plano de control está amenazado, desbloquear la progresión del ataque y darse una oportunidad. Pero, para ser claros, eso está muy lejos del enfoque heredado de los ataques a la red que implica la búsqueda de malos indicadores conocidos, o simplemente tratar de reducir la superficie de ataque hasta el punto de confiar completamente en la prevención. Aunque la búsqueda modesta de estos enfoques tiene cierto mérito, son ineficaces por sí mismos, y cuando se enfrentan a una nueva mutación de la próxima amenaza, fracasarán silenciosamente. Silenciosamente, por supuesto, hasta que la brecha aparezca en los titulares porque los atacantes se han afianzado, han establecido su persistencia y se han expandido con éxito hacia sus objetivos.
Si algo hemos aprendido desde el cambio de milenio es que, cuando nos enfrentamos al ingenio casi ilimitado de un adversario motivado, las amenazas desconocidas e imprevistas acaban por establecer una cabeza de playa. El plano de control de cloud no será diferente, y los líderes sabios invertirán en prepararse para detectar y responder a esa inevitabilidad.