.jpg)
Imagina un cloud moderno cloud : un inicio de sesión que se lleva a cabo con éxito, una aplicación con permisos excesivos, un token que sobrevive a las medidas correctivas y una conexión que pasa desapercibida entre cloud normal cloud .
Esto no es una hipótesis. Microsoft ha informado de que Midnight Blizzard, también conocido como APT29 y NOBELIUM, utilizó el «password spraying» para comprometer una cuenta de inquilino heredada fuera de producción que carecía de autenticación multifactorial (MFA); a continuación, aprovechó ese punto de acceso para hacer un uso indebido de aplicaciones OAuth, desplazarse lateralmente y acceder al correo electrónico corporativo y extraer información. La NSA y sus socios han advertido de que APT29 ataca infraestructuras cloud a través de cuentas inactivas y automatizadas, y puede utilizar tokens, el registro de dispositivos y una infraestructura de proxy para mantener el acceso y ocultar su actividad.
APT29 no es un caso aislado. Storm-0558 utilizó tokens de autenticación falsificados para acceder al correo electrónico cloud, mientras que Storm-0501 pone de manifiesto que hay actores con motivaciones económicas que están pasando de los entornos híbridos al robo cloud y a la interrupción de los servicios.
Ese es el cloud en miniatura: el ataque es real, pero las pruebas están dispersas entre la identidad, los permisos de las aplicaciones, cloud , el acceso a los datos y el comportamiento de la red.
Durante años, cloud se ha basado en visiones parciales: registros del plano de control, captura de paquetes cuando era factible implementarla y cronologías de SIEM reconstruidas a posteriori. Cada enfoque tiene su valor. Ninguno de ellos, por sí solo, ofrece a los responsables de la seguridad una visión global de cómo se propaga un ataque a través de la cloud.
Los atacantes no se mueven según cómo estén organizadas las herramientas de seguridad. Se desplazan a través de identidades, API, cargas de trabajo, servicios y rutas de red, lo que obliga a los defensores a establecer demasiadas conexiones, de forma demasiado manual y demasiado tarde.
Cloud presenta un problema de correlación
A la mayoría de las organizaciones no les faltan datos cloud . Disponen de informes sobre el estado de seguridad, alertas de identidad, cloud nativos cloud , señales de cargas de trabajo, telemetría de red y eventos SIEM. El problema es que estas señales suelen encontrarse en diferentes herramientas, pertenecen a distintos equipos y utilizan el lenguaje propio de cloud distintos cloud .
Esa fragmentación da pie a que los ataques pasen desapercibidos. Una identidad comprometida, un cambio en los permisos, una nueva carga de trabajo o una conexión saliente inusual pueden aparecer cada uno en un lugar distinto. Por separado, cada uno de ellos puede parecer justificable. En conjunto, pueden indicar que se está produciendo un ataque que se propaga por el entorno.
Para los responsables de riesgos y los responsables de seguridad, esto crea una ilusión peligrosa: la organización puede ver muchas partes de la cloud sigue sin percibir cómo se está desarrollando el riesgo. Para los profesionales, supone una carga diaria que les obliga a alternar entre consolas, reconstruir cronologías, interpretar registros específicos de cada proveedor y decidir si eventos aparentemente inconexos representan una secuencia de comportamientos de los atacantes que se ajustan al MITRE ATT&CK . Lo que pueden parecer señales aisladas representa, en realidad, actividades de reconocimiento, acceso a credenciales, escalada de privilegios, movimiento lateral o persistencia que se desarrollan a lo largo de la cloud. El problema no es la visibilidad en un único lugar, sino la falta de correlación entre los distintos lugares por los que se mueven los atacantes.
cloud más difícil ignorar la falta de visibilidad
La mayoría de las empresas no operan en una única cloud aislada. Utilizan AWS y Azure, recurren a GCP para el análisis de datos o la inteligencia artificial, confían en OCI para las aplicaciones empresariales o incorporan nuevos cloud a través de adquisiciones.
Cada cloud su propio modelo de identidad, formato de registro, abstracción de red y lenguaje operativo, lo que dificulta la correlación manual precisamente cuando los defensores necesitan que sea más rápida. Justo cuando un equipo empieza a comprender lo que está haciendo un atacante en una cloud, es posible que el ataque ya se esté desarrollando en otro lugar.
.jpg)
Los atacantes se aprovechan de esto. Se ha observado que UNC3944, también conocido como Scattered Spider, ataca a proveedores de identidad, vulnerabilidades de seguridad en servicios SaaS y cloud como Azure, AWS y GCP, haciendo un uso indebido de los permisos, las plataformas de virtualización y las herramientas cloud para desplazarse lateralmente y robar datos.cloud no son la causa del problema. El problema ya existe.cloud lo agravan.
cloud híbrido ycloud rara vez respeta cloud de las organizaciones o cloud . El atacante sigue las identidades, los permisos, las cargas de trabajo y las relaciones de confianza allá donde le lleven. El reto para los defensores es que la investigación suele fragmentarse entre las distintas herramientas cloud, aunque el ataque en sí siga estando interconectado.
Y ese reto se vuelve cada vez más difícil a medida que los atacantes actúan con mayor rapidez. Investigaciones recientes han demostrado que un sistema autónomo de inteligencia artificial es capaz de aprovechar vulnerabilidades, recopilar credenciales y desplazarse lateralmente por cloud sin intervención humana. Actividades que antes se prolongaban durante horas o días pueden llevarse a cabo, cada vez más, en cuestión de minutos. Los defensores no solo se enfrentan a una visibilidad fragmentada, sino que disponen de menos tiempo para atar cabos.
Descubre más sobre cómo actúan los atacantes con nuestro libro electrónico.
El plano de control muestra cambios. Los registros de flujo muestran movimiento.
cloud suele comenzar en el plano de control: se autentica una identidad, cambia una política de gestión de identidades y accesos (IAM), se crea una clave, cambia un rol, se abre un grupo de seguridad o se inicia una carga de trabajo. Esas señales son importantes. Muestran quién hizo qué, qué ha cambiado y qué acceso puede ser posible ahora. Pero no siempre muestran lo que ese acceso permite.
El plano cloud muestra cómo se comunican las cargas de trabajo, los servicios, las aplicaciones y los usuarios: si una nueva carga de trabajo ha accedido a una base de datos confidencial, si un servicio se ha conectado con un destino desconocido o si se ha producido tráfico entre entornos que, en condiciones normales, no deberían interactuar entre sí.
En una investigación, esos detalles deben encajar rápidamente. Una nueva clave, una conexión que parece parte de la carga de trabajo habitual y un flujo saliente que parece inofensivo pueden ser fáciles de pasar por alto por separado. Sin embargo, si se relacionan en el tiempo, pueden revelar que se está utilizando una identidad para obtener acceso, desplazarse por el entorno y acceder a los datos.
Los paquetes proporcionan una visibilidad detallada cuando resulta práctico. Sin embargo, encloud dinámicos ycloud , la recopilación a gran escala de paquetes puede resultar compleja de diseñar, escalar y mantener. Los registros de flujos ofrecen una forma más escalable de observar el comportamiento cloud : qué sistemas se comunicaron, a través de qué puertos y protocolos, en qué dirección y con qué volumen o patrón.
Sin embargo, los registros de flujo no son más que otra señal a menos que se relacionen con la identidad, la actividad del plano de control, el contexto de la carga de trabajo y el comportamiento del atacante. Esa correlación convierte cloud en una detección que permite actuar antes de que se produzcan las fases de impacto.
El siguiente paso es cloud y la detección unificadas cloud
Una cloud que dependa de que cada equipo interprete a cada proveedor por separado tendrá dificultades para mantenerse al día. Incluso Zero Trust de una visibilidad conectada. Los responsables de la seguridad necesitan una visibilidad conectada para verificar que la identidad, los cambios en el plano de control y el comportamiento de las cargas de trabajo se ajusten a lo que ocurre en el plano cloud , donde las aplicaciones se comunican, los servicios interactúan, los datos se transfieren y el negocio opera realmente.
La respuesta no es otro panel de control, otro flujo de registros sin procesar ni otra alerta que vuelva a sumir a los analistas en el mismo bucle de investigación manual. Cloud debe pasar de recopilar datos de telemetría a establecer conexiones entre comportamientos.
Los equipos de seguridad necesitan saber, en tiempo real, si la actividad de las identidades, los cambios en el plano de control, el comportamiento de las cargas de trabajo y la comunicación cloud forman parte del mismo ataque. Las herramientas existentes son útiles, pero con demasiada frecuencia dejan a los defensores con información fragmentada: estado de seguridad, identidades, tráfico y registros. En un cloud que evoluciona rápidamente, la información fragmentada no es suficiente. Además, los equipos también necesitan capacidades cloud y respuesta cloud , respaldadas por herramientas de investigación basadas en IA y capacidades de respuesta que conviertan las señales conectadas en contexto, orientación y acción a la velocidad que exigen los ataques modernos.
Permite transmitir señales a gran velocidad entre planos y proveedores, de modo que los equipos de seguridad puedan visualizar la trayectoria del ataque mientras aún hay tiempo para actuar.
Esta es la fuerza motriz que impulsa las capacidades ampliadas de observabilidad cloud Vectra AI en Amazon Web Services (AWS), Microsoft Azure, Google Cloud (GCP) y Oracle Cloud (OCI). La Vectra AI aúna la visibilidad del plano de control y cloud, de modo que las organizaciones puedan detectar cloud como comportamientos interrelacionados en suscloud , y no como sucesos aislados.
Dado que los atacantes utilizan la inteligencia artificial para acortar los plazos y desplazarse entre dominios, cloud moderna cloud debe relacionar las señales adecuadas con la rapidez suficiente para comprender el ataque antes de que se convierta en una brecha de seguridad.
¿Quieres saber más sobre nuestro Vectra AI ? Descubre más sobrecloud con nuestro último podcast.