Federico Mor Gimeno

Sales Manager- Cloud Business Unit Iberia McAfee

Nuestra última publicación sobre la adopción del Cloud y el riesgo, determina que el 83% de las 1000 compañías entrevistadas almacenan datos confidenciales en Cloud. Gracias a un estudio interno donde analizamos billones de eventos de Cloud anonimizados, podemos observar que el 66% de los datos confidenciales se encuentran en servicios regulados y permitidos SaaS, el 24% en Infraestructuras como servicio IaaS y plataformas como servicio PaaS, y el 10% restante en servicios Cloud no controlados ni regulados por los departamentos de ciberseguridad o riesgo, también conocidos como Shadow IT.

La gran mayoría de las organizaciones han elaborado una estrategia madura y bien desarrollada con respecto a la fuga de información en los equipos y las redes durante los últimos años. La situación en la Nube es diferente. Nuestra última publicación revela que solo el 36% de las organizaciones puede aplicar políticas de prevención de fuga de información en la Nube.

El contexto actual sobre el manejo de los datos en la Nube añade una capa adicional de requerimientos a la estrategia de seguridad de la información. Cuando se sube un archivo desde un equipo controlado a la Nube, la mayoría de las tecnologías DLP On-premise (Data Loss Prevention) son capaces de ver y controlar la actividad. Cuando ese mismo documento es compartido con otro usuario en la Nube, no existe una traza en los equipos ni en la red. La actividad pasa desapercibida por lo que, si ese documento es confidencial y es compartido con un tercero, se introduce un factor de riesgo asociado a la perdida de información confidencial. Adicionalmente, también existe la posibilidad de crear datos de forma nativa en la Nube, así como el acceso a datos confidenciales por parte de empleados con sus dispositivos personales. En ninguno de los casos las tecnologías de DLP On-premise serían capaces de evitar una posible fuga de información. La utilización de herramientas tradicionales basadas en el puesto y la red para afrontar retos de seguridad en la Nube son ineficientes.

Recientemente, se ha dado a conocer una importante brecha de seguridad en una institución financiera americana donde los ciberdelincuentes, a través de una vulnerabilidad en una aplicación corporativa en la Nube, expusieron PII (Información Personalmente Identificable) de más de 100 millones de clientes, incluyendo 140.000 números de Seguridad Social y 80.000 números de cuenta. El crecimiento exponencial en cuanto a utilización de servicios e infraestructuras en Cloud, convierte a los departamentos de ciberseguridad en una pieza fundamental de negocio en proyectos de transformación digital. Los profesionales en ciberseguridad necesitan obtener una visibilidad completa y transversal de los datos entre las aplicaciones SaaS, IaaS y Shadow IT, para así poder proveer a sus compañías de una política de prevención de fuga de información compacta. Cada vez son más las organizaciones que confían en herramientas CASB (Cloud Access Security Broker) para obtener visibilidad y control en la Nube, estableciendo una conexión directa vía API y/o Reverse Proxy con los diferentes servicios, con el objetivo de ofrecer una estrategia “frictionless” que se adapte de la forma más sencilla a la organización y a las necesidades específicas de cada departamento.

El incremento de las brechas de seguridad nativas en Cloud

Cloud-Native Breach vs Traditional Breach

Las brechas de seguridad nativas en la Nube, también conocidas por el mercado como Cloud-Native Breach (CNB), tienen pocas similitudes con las brechas de seguridad On-premise a las que estamos acostumbrados, donde el malware, aprovechándose de vulnerabilidades existentes, toma el control de los equipos y extrae la información a través de las órdenes recibidas por servidores de mando y control.

McAfee define una brecha de seguridad nativa en Cloud como una serie de acciones ocasionadas por un actor adversario donde es capaz de “aterrizar” (land) un ataque explotando normalmente errores de configuración en la arquitectura Cloud, sin utilizar malware. Posteriormente, es capaz de “expandir” (expand) su acceso a través de interfaces configuradas débilmente, localizando datos valiosos para “exfiltrarlos” (exfiltrate) a sistemas de almacenamiento externos.

Centrándonos específicamente en la fase inicial de un ataque, el punto más común para la acción de “aterrizaje” por parte del atacante, suele ser una incorrecta configuración nativa en un recurso IaaS.  El crecimiento con respecto a la adopción por parte de las organizaciones en IaaS del 36,9% supera incluso el crecimiento en servicios SaaS del 22,2% en los últimos 3 años. La tendencia creciente en la utilización de infraestructuras IaaS por parte de las organizaciones para mantener y desarrollar aplicaciones críticas de negocio, se relaciona directamente con la necesidad de utilización de herramientas de seguridad que continuamente monitoricen y auditen los errores en configuraciones nativas de seguridad en entornos IaaS, aportando una reducción del riesgo y asegurando el compliance con respecto a regulaciones externas y políticas internas. Este tipo de herramientas, conocidas por la consultora Gartner como Cloud Security Posture Management (CSPM), ayudan a los profesionales en seguridad a minimizar el riesgo de factor de entrada o aterrizaje para así prevenir y remediar las brechas de seguridad nativas en Cloud.  Una vez más, como comentamos con anterioridad: “los profesionales en ciberseguridad necesitan obtener una visibilidad completa y transversal de los datos entre las aplicaciones SaaS, IaaS y Shadow IT”. Una estrategia correcta es aquella que unifica esta visión en una única consola de administración.

Amenazas internas

Insider Threats

De acuerdo al estudio McAfee Grand Theft Data & Data Exfiltration, los empleados de las compañías son responsables del 43% de las fugas de información. Existe un consenso general en la industria de la seguridad por el que las brechas provocadas internamente tienen un impacto negativo mayor para las organizaciones que los originados por un atacante externo. La gran mayoría de las fugas originadas por amenazas internas son intencionadas donde solo un 28% son accidentales. Cuando analizamos las amenazas internas no solo debemos fijarnos en los empleados actuales. Los antiguos empleados, freelance y consultores pueden añadir un factor adicional de riesgo por lo que a fuga de información se refiere. Dado el elevado coste que podría ocasionar a las organizaciones y la dificultad para detectar incidentes, las amenazas internas deben convertirse en un elemento fundamental de análisis en cualquier estrategia de seguridad en Cloud.

Existen diferentes variantes, intencionales o accidentales, por las que los denominados insiders pueden poner los datos corporativos en riesgo:

• Un empleado con intenciones maliciosas descarga información de una aplicación de Cloud corporativa para luego subir la información a un sistema de almacenamiento personal en Cloud o extrae la información en un dispositivo físico.
• Un empleado no sospechoso descarga datos a un dispositivo personal y posteriormente pierde los datos cuando el dispositivo personal es atacado.
• Un empleado poco cuidadoso descarga datos corporativos desde un sistema Cloud corporativo y posteriormente comparte la información con un tercero.
• Un empleado pierde datos confidenciales debido a credenciales comprometidas por un ataque phishing o con passwords compartidos o débiles.
• Empleados con privilegios de administrador sobre un servicio de Cloud corporativo cambia la configuración de seguridad inapropiadamente creando una puerta de acceso para la exfiltración de datos.
• Un antiguo empleado accede a la red de la organización, ya que sus accesos a los datos y sistemas no fueron bloqueados, con la intención de robar datos por un beneficio económico personal.
• Un consultor que trabaja temporalmente en la organización accede y obtiene una copia de información confidencial maliciosamente o involuntariamente.

Tradicionalmente las compañías han confiado en herramientas de monitorización y gestión de eventos (SIEM) para detectar este tipo de amenazas. Dichas herramientas recogen los logs de una cantidad determinada de fuentes de información incluyendo firewalls, routers, switches, servidores aplicaciones y muchas otras, para analizar los logs buscando un match sobre reglas previamente definidas. Si existe un match, se crea un incidente.

Existen algunas limitaciones sobre la aplicación de esta estrategia cuando la utilizamos en Cloud. Si aplicamos la estrategia tradicional, cada patrón de comportamiento que puede indicarnos una amenaza debe ser añadido como una nueva regla. El experto en seguridad debería añadir, de forma continua y manual, un volumen elevado de reglas de correlación o en su defecto, manualmente reglar logs en bruto de diferentes fuentes para identificar una amenaza. Si el experto en seguridad no tiene suficiente conocimiento sobre el caso concreto, para así poder crear una regla específica sobre un comportamiento en Cloud, las herramientas tradicionales resultan poco efectivas para detectar este tipo de amenazas.

Consideremos todos los datos derivados del uso de la Nube en una gran organización. Los datos de interés serán las diferentes acciones que realizan los usuarios de la compañía. La composición de los datos incluye cada acción individual realizada, junto con metadatos sobre el usuario (geolocalización, IP, rol, departamento) y la acción (nombres de ficheros & objetos, enlaces compartidos).

Existe una tendencia creciente en utilizar herramientas de seguridad basadas en el comportamiento del usuario en la Nube, también conocidas por el mercado como tecnologías UEBA (User and Entity Behavior Analysis), las cuales permiten a las compañías construir modelos de comportamiento del usuario basados en su actividad en los distintos servicios en el Cloud. Los modelos se refinan mediante la continua adición de nuevos datos para crear perfiles actualizados sobre usuarios y grupos de usuarios.

Aunque los modelos de comportamiento pueden construirse para acciones y usuarios comúnmente observados, se convierte en un desafío capturar la previsibilidad en torno a acciones poco frecuentes y de uso escaso siendo necesario la monitorización de múltiples entidades y el desarrollo de algoritmos no supervisados, para la identificación de desviaciones en los patrones de comportamiento. Este motor de análisis es uno de los principales mecanismos para la identificación de las amenazas internas (Insider Threats).