Cyber Kill Chain para explotar los servicios cloud

Desarrollado por Lockheed Martin, el marco Cyber Kill Chain es utilizado para la identificación y prevención de ciberamenazas, o ciberataques. El modelo identifica lo que los adversarios deben completar para lograr su objetivo y lo que ha hecho Netskope utilizar este modelo para analizar cómo se están explotando los servicios cloud dentro de cada etapa de esta cadena.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Dice Paolo Passeri, Arquitecto de Soluciones Globales de Netskope, que “el modelo Cyber Kill Chain ha acrecentado los temores de los cautelosos responsables de seguridad al respecto de los servicios cloud. Si no se protegen adecuadamente estos servicios, la superficie de ataque de una organización puede verse amplificada”.

A través de un post el ejecutivo de Netskope analiza los siete eslabones de la cadena y cómo cada una de las fases puede acercar al ciberdelincuente si no se toman las medidas adecuadas.

La fase de reconocimiento puede albergar múltiples métodos para obtener información de una víctima, incluyendo la investigación de los elementos vulnerables de la infraestructura o de los seres humanos, como recursos cloud mal configurados o información confidencial compartida en servicios cloud en apariencia inofensivos.

Tras estudiar a la víctima, llega la militarización; el actor malicioso crea la infraestructura necesaria para realizar su trabajo (páginas de phishing, puntos de distribución de malware…) y -si así lo estima- aloja estos recursos en servicios cloud, aprovechando su resistencia y disponibilidad, escalabilidad y su facilidad para permitir la creación de recursos rápidamente.

No obstante, quizás lo más importante es que los servicios cloud no suelen ser inspeccionados o se incluyen en la lista blanca de las tecnologías tradicionales. Por ello, si un ciberdelincuente decide explotar una vulnerabilidad para ejecutar código en el sistema de la víctima, utilizará los servicios cloud: un sistema adaptado al contexto advertiría que los datos están siendo introducidos en una instancia de AWS o Azure externa a la organización, sin embargo, las tecnologías de seguridad tradicionales no pueden hacer esto.

Las páginas de phishing también pueden ser gestionadas desde la nube. De hecho, una carga útil maliciosa entregada desde un servicio cloud conocido tiene mayor probabilidad de ser ejecutada. Del mismo modo, los servicios cloud pueden ser utilizados como redireccionadores a sitios de distribución de malware utilizados para ataques dirigidos.

Tras la fase de entrega, el malware se instala en el sistema comprometido para después conectarse a la infraestructura de comando y control (Callback) del atacante. Con esta conexión, el atacante puede filtrar información, utilizar un endpoint para lanzar ataques DDoS o campañas de spam, o establecer una base de apoyo para profundizar en la organización víctima. En este punto, los atacantes pueden utilizar servicios de confianza como AWS y Google Drive o aplicaciones como Twitter o Slack para ocultar el canal de comunicación. La inspección SSL requiere muchos recursos para las tecnologías locales heredadas, e introduce latencia, por lo que es muy probable que no sea realizada.

Por último, tiene lugar la persistencia. Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración de los servicios críticos alojados en la nube, aumentar los privilegios para obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas instancias con fines maliciosos, como el criptojacking. Las credenciales robadas, las cuentas filtradas o la mala configuración de los servicios en la nube son formas típicas que utilizan los atacantes para entrar en los servicios cloud y moverse lateralmente.

Netskope, que evoluciona de un proveedor de CASB a un proveedor de seguridad cloud, propone el uso de su plataforma para encontrar amenazas híbridas y aplicar políticas de uso tanto para servicios no autorizados como para instancias no autorizadas de servicios cloud aceptados. Este mayor control, a través de una interfaz nativa de la nube, permite a los clientes beneficiarse “de la protección de datos 360 grados vigilando los datos en todas partes y ofreciendo protección frente a amenazas avanzadas y deteniendo ataques esquivos”.