Una nueva investigación de la firma de seguridad en la nube Ermetic muestra que casi todas las empresas tienen identidades que, si se ven comprometidas, pondrían en riesgo al menos el 90 por ciento de los cubos S3 en su cuenta de AWS.
Ermetic realizó el estudio para determinar las circunstancias que permitirían que el ransomware llegara a los cubos de Amazon S3. La investigación reveló un potencial muy alto para el ransomware en los entornos de las organizaciones.
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos que ofrece escalabilidad, disponibilidad de datos, seguridad y rendimiento. Los clientes de todos los tamaños e industrias pueden usarlo para almacenar y proteger cualquier cantidad de datos para una variedad de casos de uso, según Amazon. Estos casos de uso incluyen lagos de datos, sitios web, aplicaciones móviles, copia de seguridad y restauración, archivo, aplicaciones empresariales, dispositivos IoT y análisis de big data.
Amazon S3 proporciona funciones de administración fáciles de usar para que los suscriptores puedan organizar los datos y configurar controles de acceso ajustados con precisión para cumplir con requisitos empresariales, organizacionales y de cumplimiento específicos. Amazon S3 está diseñado para un 99,9 por ciento (11 9) de durabilidad y almacena datos para millones de aplicaciones para empresas de todo el mundo, afirma Amazon.
Los depósitos de AWS S3 se consideran altamente confiables y se usan con gran confianza. Pero las partes interesadas en la seguridad de la nube no se dan cuenta de que los cubos de S3 enfrentan un gran riesgo de seguridad de una fuente inesperada: las identidades, escribió Lior Zatlavi, arquitecto sénior de la nube de Ermetic al hablar sobre el informe técnico de la compañía «Nueva investigación: la amenaza del ransomware para los cubos de S3». en su informe de octubre.
“Una identidad comprometida con una combinación tóxica de derechos puede realizar fácilmente ransomware en los datos de una organización”, escribió.
Tabla de Contenidos
Resultados destacados
Los investigadores buscaron identidades con permisos que tuvieran la capacidad y carecieran de una mitigación y exposición efectivas a un factor de riesgo. Esas condiciones permitieron a los atacantes realizar ransomware en al menos el 90 por ciento de los depósitos S3 en una cuenta de AWS.
Los resultados revelaron un alto potencial de penetración de ransomware cuando no se utilizan los controles de mitigación de AWS. Los hallazgos incluyen:
- Cada entorno muestreado tenía al menos una cuenta de AWS en la que una identidad (y, a menudo, muchas más de una) cumplía con los criterios anteriores.
- En más del 70 por ciento de los entornos, las instancias EC2 cumplieron con los criterios anteriores, siendo el factor de riesgo la exposición pública a Internet.
Además, los permisos que otorgaban acceso a los cubos eran excesivos. Podrían haberse reducido significativamente sin perjudicar las operaciones comerciales simplemente eliminando los permisos innecesarios.
- En más del 45 % de los entornos, los roles de IAM (Administración de identidad y acceso) estaban disponibles para uso de terceros a los que se les permitió elevar sus privilegios a administrador.
- Este hallazgo es increíble y aterrador por razones de seguridad en la nube más allá del ransomware. Significa que los cubos S3 en el entorno estuvieron expuestos a ransomware.
- En más del 95 % de los entornos, los usuarios de IAM cumplieron con los criterios anteriores, siendo el factor de riesgo las claves de acceso habilitadas pero sin rotar durante 90 días.
- En casi el 80 % de los entornos, los usuarios de IAM cumplieron con los criterios anteriores, siendo el factor de riesgo las claves de acceso habilitadas pero inactivas durante más de 180 días.
- En casi el 60 % de los entornos, los usuarios de IAM que cumplían con los criterios anteriores tenían como factor de riesgo el acceso a la consola habilitado pero sin el requisito de usar MFA al iniciar sesión.
Más del 96 % de los entornos tenían roles de IAM inactivos y casi el 80 % de los entornos tenían usuarios de IAM inactivos que cumplían con los criterios anteriores.
Resultados alarmantes
Estos hallazgos se enfocan en operaciones de «aplastar y agarrar» que involucran una identidad única comprometida. Revelan una situación grave, según Zatlavi.
“En campañas dirigidas, los malos actores pueden moverse lateralmente para comprometer múltiples identidades y usar sus permisos combinados, mejorando en gran medida su capacidad para ejecutar ransomware”, explicó.
En resumen, según las muestras investigadas, millones de empresas que actualmente usan S3 como almacenamiento de datos confiable están en peligro de sufrir ataques de ransomware. La alta posibilidad de exposición incluso a operaciones simples de ransomware es un claro llamado a la acción para que las partes interesadas en la seguridad de la nube tomen medidas de mitigación, advirtió.
AWS S3 se ha convertido durante mucho tiempo en un estándar para almacenar datos de objetos de archivos. A pesar de los muchos esfuerzos para hacer que S3 sea seguro, el monitoreo de seguridad continúa mostrando datos en cubos privados expuestos o explotados de formas novedosas, ofreció Erkang Zheng, fundador y CEO de JupiterOne.
“¿De cuántas maneras puedo tropezar con mis propios baldes y derramar los datos? La respuesta corta es demasiados”, dijo a TechNewsWorld.
Los servicios en la nube de hoy en día se basan casi por completo en herramientas de terceros. Piense en roles de CI/CD, herramientas de monitoreo, servicios de plataforma para almacenes de datos, lambdas y ML. Todos tienen una pequeña medida de las identidades específicas de una empresa, agregó Mohit Tiwari, cofundador y director ejecutivo de Symmetry Systems.
“Estas identidades pueden escribir en los datos y, por lo tanto, obviamente también pueden ransomware. Este hecho por sí solo probablemente explica la cantidad de identidades que suenan riesgosas en el informe”, dijo a TechNewsWorld.
Bolsa mixta de amenazas de cubo
Los expertos en seguridad han visto un aumento significativo recientemente en los cubos S3 abiertos que se ven comprometidos simplemente debido a una mala configuración. Si los usuarios ni siquiera pueden configurar un depósito en la nube básico y seguro con el cifrado, la autorización y la autenticación adecuados, seremos aún peores para asegurar las vulnerabilidades reales en los propios sistemas de almacenamiento de datos, observó Zheng.
“Aunque AWS protege la infraestructura entre bastidores, también hace que sea muy flexible para configurar los recursos y su acceso. Comprender esta flexibilidad y aplicar los controles correctamente es su responsabilidad. Sin embargo, esta cantidad de flexibilidad a veces puede interferir y complicar las cosas. Es por eso que durante mucho tiempo he sido un defensor del uso de un modelo de datos de gráfico y análisis de datos automatizado para ayudar”, dijo.
Saber qué activos cibernéticos existen en un momento dado es difícil debido a la naturaleza efímera de la infraestructura de la nube, agregó. Las organizaciones necesitan un monitoreo continuo de sus activos cibernéticos para brindar la vigilancia necesaria para evitar que estas revelaciones accidentales ocurran en el futuro.
Los cubos de S3 a los que tenían acceso las identidades no estaban protegidos por funciones de AWS listas para usar y efectivas para mitigar la exposición, según Zatlavi de Ermetic.
Los terceros por sí solos no son riesgosos. Las identidades propias pueden ser suplantadas o explotadas y ser riesgosas. Los números probablemente mostrarán que los ataques OWASP (Open Web Application Security Project) y las identidades suplantadas han sido amenazas extremadamente duraderas, dijo Tiwari.
“Finalmente, los informes que crean miedo, incertidumbre y dudas sobre la IAM en la nube desmienten el hecho de que al proporcionar una interfaz abierta y programable para permisos, la nube permite que las mejores herramientas de seguridad se escalen en toda la organización. Las organizaciones que adopten la automatización de la seguridad, y comiencen con lo que importa, sus datos, encontrarán que la nube es mucho más segura que los entornos locales inestables”, sugirió.