Cómo atacan los atacantes a su AWS Cloud

24 de marzo de 2022
Aakash Gupta
Product Manager, Detección y Respuesta para Cloud Pública
Cómo atacan los atacantes a su AWS Cloud

La cloud es compleja. Solo AWS cuenta con más de 200 servicios, y este número no deja de crecer. Configurar la seguridad incluso en un pequeño conjunto de estos servicios para operar a la escala de las organizaciones modernas crea varios retos. Las infraestructuras pueden abarcar cientos de servicios en constante cambio, lo que dificulta alcanzar un estado de buena ciberhigiene. De hecho, no es exagerado decir que desplegar una aplicación cloud de forma segura hoy en día es, bueno, imposible. A medida que las huellas de cloud siguen creciendo exponencialmente, los atacantes sólo necesitan una única abertura para explotar entornos enteros. Y a medida que aumentan la velocidad y la agilidad generales, también lo hace el riesgo de una higiene cibernética deficiente, que puede acabar introduciendo todo tipo de problemas de seguridad.

Además, auditar la cloud no es sencillo. Existen múltiples fuentes de datos que deben supervisarse en busca de vulnerabilidades, como los datos de paquetes de red y los datos de registro. Las acciones que aparecen en una fuente de datos pueden no estar presentes en la otra, lo que plantea un desafío único para cubrir todos los rincones. A medida que las organizaciones tratan de establecer y mantener despliegues seguros cloud , deben adoptar soluciones que proporcionen una amplia cobertura en todas estas superficies de amenaza.

La Cloud no es sólo una superficie de amenaza...

Y, por supuesto, no todos los ataques cloud son iguales. Los ataques se manifiestan de forma diferente en función de la superficie de amenaza a la que se dirijan.

 

Vectra para el plano de control de AWS

Utilicemos el plano de control de AWS como ejemplo. En los últimos años, se han descubierto ataques de muchos tipos relacionados con el plano de control, en los que un atacante obtiene acceso malicioso a la huella de AWS de una organización (por ejemplo, utilizando credenciales robadas de una campaña de phishing ). Una vez dentro del entorno, el atacante deambula por el sistema como un usuario normal, asumiendo diferentes roles, escalando privilegios y accediendo a recursos de alto valor como claves criptográficas, almacenes de datos S3 y lagos de datos que albergan información confidencial. Esto es exactamente lo que ocurrió en el popular ataque a Capital One, donde se vieron comprometidos los datos de más de 100 millones de clientes. Estos ataques son casi imposibles de detectar, ya que las acciones realizadas por el atacante parecen originarse desde una cuenta de usuario normal. Los ataques de esta naturaleza son cada vez más comunes y se han observado en numerosas ocasiones en organizaciones con despliegues de cloud maduros. La única forma de identificar estos ataques es mediante el análisis del comportamiento de los principales en todos los servicios y regiones de AWS. Es más, estos patrones de comportamiento se presentan únicamente a través de los datos de registro y no aparecen en otras fuentes de datos (por ejemplo, datos de paquetes de red).  

Aquí es donde entra en juego la cobertura de Vectra para el plano de control de AWS. Dentro de la huella de cloud , la plataforma Vectra monitoriza continuamente cuentas y servicios (por ejemplo, EC2, S3, IAM, KMS, Config, Organizaciones, etc.) en todas las regiones para identificar rápidamente el comportamiento de los atacantes maliciosos a un nivel granular a través de las diferentes etapas de la cadena de muerte de cloud (descubrimiento, movimiento lateral, exfiltración). Desde su lanzamiento, la cobertura de Vectra para el plano de control de AWS ha ayudado a numerosas organizaciones a proteger sus implementaciones cloud identificando y deteniendo el comportamiento de los atacantes. A principios de 2022, la plataforma de Vectra identificó a un atacante que explotaba credenciales robadas para extraer secretos criptográficos del entorno de AWS de una empresa del Fortune 500. La eficiente priorización de esta entidad maliciosa por parte de la plataforma, la verdadera atribución de la fuente a través del laberinto de roles asumidos y su función para investigar rápidamente los hallazgos permitieron al equipo de SecOps identificar rápidamente el origen del ataque y responder antes de que pudiera tener un impacto grave en su organización.

Figura: Cobertura proporcionada por Vectra para el plano de control de AWS

Vectra para la red AWS

Ortogonal al plano de control en AWS se encuentra la red (aunque igual de importante). Los ataques a esta superficie se observan con frecuencia en entornos lift-n-shift. A medida que más organizaciones reconvierten sus implementaciones actuales a la cloud, inevitablemente dejan huecos e introducen vulnerabilidades que a los atacantes les encanta explotar.

Un ejemplo popular de este tipo de ataque que se manifiesta en los datos de paquetes de red es el ataque Cloud Hopper, en el que, en 2019, los atacantes utilizaron vulnerabilidades de red para penetrar en los sistemas de empresas que gestionan aplicaciones para clientes a través de la cloud. Obtuvieron acceso utilizando credenciales robadas e instalaron malware en hosts cloud nube, lo que luego les permitió saltar sin problemas entre hosts para evitar ser detectados. Los hackers utilizaron su acceso para facilitar lo que se ha convertido en uno de los mayores esfuerzos de espionaje corporativo de la historia.

La única forma de descubrir este ataque habría sido mediante una monitorización prudente del tráfico de red, que es precisamente para lo que se diseñó Vectra para la red de AWS. Para aquellos familiarizados con la solución de detección y respuesta a amenazas de red on-premise de Vectra, la cobertura para la red de AWS representa una extensión de la misma solución en la cloud pública de AWS. La plataforma supervisa las acciones maliciosas contra los hosts que se ven comúnmente en los despliegues lift-n-shift. La cobertura de este vector de amenazas sigue siendo una de las principales preocupaciones de las organizaciones que realizan despliegues en la cloud. Dentro de la red de AWS, la plataforma Vectra supervisa el tráfico de red de las máquinas virtuales EC2 mediante la duplicación del tráfico. Obtenga más información sobre esta solución aquí.

Figura: Cobertura proporcionada por Vectra para la red AWS

¿En qué se diferencia la cobertura del plano de control de AWS de la cobertura de la red de AWS?


La principal diferencia entre ambas radica en las superficies de amenaza cubiertas. Mientras que la cobertura de Vectra para la red de AWS protege el componente de red de los despliegues cloud mediante la monitorización de los datos de paquetes, su cobertura para el plano de control de AWS refuerza el plano de control mediante el análisis de los datos de registro de AWS. Juntos, proporcionan una cobertura exhaustiva de las dos principales superficies de amenaza en la cloud.

Aparte de las superficies de amenaza, hay algunas diferencias clave entre las dos, principalmente en torno a cómo se suministran. Estas diferencias se describen en la tabla siguiente:

 

¿Cuál es el más adecuado para mi organización?

Una pregunta común que recibimos gira en torno a qué solución -Vectra para el plano de control de AWS o Vectra para la red de AWS- es la más adecuada para una organización que se despliega en la cloud. Como se ha comentado anteriormente, ambas soluciones cubren superficies de amenaza distintas y se complementan entre sí.

Para las organizaciones con implementaciones nativas cloud , recomendamos implementar primero Vectra para el plano de control de AWS a fin de detectar rápidamente cualquier comportamiento de los atacantes. La plataforma Vectra proporciona monitorización de amenazas en el plano de control a través de las huellas de AWS a escala empresarial en cuestión de minutos. Por otro lado, si una organización está migrando a la cloud de forma gradual, recomendamos comenzar con Vectra para el plano de control de AWS para obtener una cobertura inmediata del plano de control y, a continuación, activar la cobertura de la red de AWS en enclaves de alto valor para monitorizar el tráfico de red sensible. Esto garantiza una cobertura holística de las superficies de amenaza a medida que la organización se aventura en la cloud. En resumen, tanto la cobertura de Vectra para el plano de control como la cobertura para la red de AWS funcionan conjuntamente para proporcionar una cobertura completa de la huella de AWS de una organización. Ambas son muy valiosas para reforzar el arsenal de un SOC contra las amenazas existentes y emergentes en la cloud. ¿Le parece interesante? Obtenga más información y regístrese para una prueba gratuita.

Preguntas frecuentes