«Una abrumadora mayoría de organizaciones carecen de controles adecuados de política de administración de identidad y acceso (IAM) para proteger de manera efectiva sus datos confidenciales en entornos de nube», dijo Palo Alto Networks, que publicó un informe hoy, «un enfoque ‘permisivo explícito’ para la política de IAM.
Palo Alto analizó más de 680 000 identidades en 18 000 cuentas en la nube en 200 organizaciones para comprender los patrones de configuración y uso, y describió sus hallazgos como «impactantes». John Morello, vicepresidente de Prisma Cloud Services de la compañía, dijo: «Sin políticas IAM efectivas, una organización nunca puede esperar estar segura en la nube debido a su naturaleza: dispersa, en rápida evolución y dinámicamente fluctuante dentro de una organización».
El problema se deriva principalmente de la mala gestión de las credenciales, dijo Palo Alto. Durante su investigación, descubrió que el 44 % de las organizaciones permiten la reutilización de contraseñas de IAM y el 53 % de los servicios en la nube permiten el uso de contraseñas débiles.
Sin embargo, junto con esto, la encuesta encontró que las identidades individuales en la nube pueden hacer mucho más de lo que necesitan. Palo Alto afirmó que el 99 % de las organizaciones, funciones, servicios y recursos de los usuarios finales están inflados con permisos que nunca se usan o permanecen sin usar durante largos períodos de tiempo.
Además, las organizaciones de usuarios finales tienden a abusar de las políticas de IAM integradas de los proveedores de servicios en la nube (CSP), otorgándoles en promedio 2,5 veces más permisos que las políticas que administran ellos mismos.
Esta combinación de permisos excesivos y políticas permisivas efectivamente entrega las llaves de la bóveda a los actores maliciosos, dijo Palo Alto.
Junto con la adopción estratosférica de plataformas en la nube durante la pandemia, los entornos en la nube ahora tienen una tentación que los adversarios no pueden resistir, abriendo la puerta a una nueva generación de actores de amenazas que «a través del acceso dirigido y sostenido a la nube, crean una amenaza para. .. Las empresas representan recursos de plataforma, servicios o metadatos integrados”.
Palo Alto dijo que el equipo de investigación de la Unidad 42 cree que los actores de amenazas en la nube merecen su propia definición, ahora que están comenzando a emplear y saber más sobre un conjunto significativamente diferente de tácticas, técnicas y procedimientos específicos de la nube. Hacen muy bien en administrar mal las políticas de IAM. son un talón de Aquiles casi universal.
Esto los ha llevado a expandir sus capacidades desde simplemente escanear instancias de almacenamiento en la nube expuestas o mal configuradas, o comprometer aplicaciones basadas en la nube expuestas y vulnerables, hasta incorporar días cero o días casi cero (como Log4Shell), que pueden ayudarlos a obtener sus manos sobre metadatos confidenciales de la nube, como acceso a CSP y claves secretas.
Una vez hecho esto, les resulta muy fácil desviarse de la plataforma de servicios en la nube en sí, pasando por alto las herramientas para monitorear contenedores aislados o respuestas de la nube virtual porque parecen legítimos. El informe cerrado completo, que se puede descargar aquí, proporciona ejemplos de grupos de ciberdelincuentes que están haciendo precisamente eso en este momento.
Palo Alto recomienda que las organizaciones se centren en fortalecer las políticas de IAM en un entorno de nube para eliminar permisos innecesarios o no utilizados. Las mejores prácticas en este sentido incluyen minimizar el uso de inicios de sesión de administrador y credenciales a largo plazo; Haga cumplir la autenticación multifactor, no solo ofrézcala; Configure políticas de contraseñas seguras de acuerdo con las pautas oficiales de organizaciones como el Centro Nacional de Seguridad Cibernética o el Instituto Nacional de Estándares y Tecnología de EE. UU.; Usar la administración de identidades federadas para administrar el control de acceso; Llevar a cabo auditorías constantes de los permisos de los usuarios según el principio de privilegios mínimos y agregar la remediación automática de tales auditorías de permisos según las cargas de trabajo en la nube que cambian rápida y frecuentemente; y finalmente, monitorear adecuadamente la actividad de IAM para identificar posibles ataques de fuerza bruta o inicios de sesión desde ubicaciones desconocidas.
Las organizaciones también pueden considerar la adopción de plataformas de protección de aplicaciones nativas de la nube, que son plataformas unificadas que consolidan capacidades previamente aisladas, como:
