Nube amenaza de la defensa

Cloud
Security
Trends
+ 14 Consejos para fortificar

Su Nube Pública de Medio Ambiente

Publicado por la edición RedLock CSI equipo

puede 2018
Tabla de
contenido

Introducción 3

Datos clave 6

01 - Cuenta, compromete alimentando nuevos vectores de ataque 7

02 - Cryptojacking va la corriente principal 9

03 - caz cumplimiento E ff debe ser omnipresentes 11

04 - Más allá del espectro del “Espectro” y “Deshielo” 13

Acerca del informe 15

Listo para tomar acción? dieciséis

© 2018 RedLock Inc. Todos los derechos reservados. 2

 Introducción

Esta edición de seguridad en la nube Tendencias de RedLock marca el primer

aniversario del informe, y que ha sido un año preocupante en términos de

nube pública infracciones, divulgaciones y ataques. Este informe pone de

relieve las principales enseñanzas de estos incidentes a lo largo de la

investigación por el equipo RedLock Nube de Inteligencia de Seguridad (CSI)

para arrojar luz sobre las tendencias que podemos esperar este año.

© 2018 RedLock Inc. Todos los derechos reservados. 3

 2018

abril

Feb

ene

2017

Ene

Mayo

junio

Oct
Oct

noviembre

2016

Oct

Dic

cuenta compromisos Cryptojacking

27% 25%
- Las principales empresas afectadas: Uber, OneLogin, - Las principales empresas afectadas:
Tesla, Aviva, Gemalto Tesla, Gemalto, Aviva
- resultados de la investigación RedLock: En promedio, 27% de las - RedLock resultados de la investigación: 25% de
organizaciones con experiencia posibilidad de comprometer la cuenta organizaciones que actualmente tienen cryptojacking

actividad en sus entornos

fi guraciones arriesgada vulnerabilidades

51% 24%
- Las principales empresas afectadas: - Las principales empresas afectadas:
Analítica profundos de raíz, Fedex, Under Armour MongoDB, Elasticsearch, Intel, Drupal
- resultados de la investigación RedLock: En promedio, 51% de las - RedLock resultados de la investigación: 24% de las

organizaciones expuestas públicamente al menos un servicio de organizaciones tienen anfitriones que faltan parches de alta

almacenamiento de una nube severidad en la nube pública

© 2018 RedLock Inc. Todos los derechos reservados. 4

La ausencia de una red límite físico a la Internet, el riesgo de exposición accidental por los usuarios con conocimientos limitados de seguridad, la

visibilidad descentralizada, y la naturaleza dinámica de la nube aumenta la superficie de ataque de una organización en órdenes de magnitud. El

modelo de responsabilidad compartida de seguridad en la nube define claramente las responsabilidades respectivas de los proveedores de

servicios en nube y sus clientes. El equipo de CSI RedLock le gustaría recordarle que las obligaciones de su organización en el modelo de

responsabilidad compartida incluyen:

* Monitoreo y remediación de configuraciones de recursos fi Miscon

* Detectar y remediar las actividades del usuario anómalos

* La detección y remediación de red sospechosa tra FFI c

* La identificación de los ejércitos vulnerables

© 2018 RedLock Inc. Todos los derechos reservados. 5

LLAVE
Datos clave

1. Cuenta compromisos de abastecimiento de combustible nuevos vectores de ataque

Mientras que las organizaciones están incrementando la seguridad e Orts ff para disuadir a los actores maliciosos roben las credenciales y claves de acceso, las nuevas

amenazas son siempre a mano, tales como las que se presentan a través de las API de instancia de metadatos.

2. Cryptojacking va la corriente principal

acceso sin restricciones a los recursos caros y de alta potencia de cómputo de nube pública está dando lugar a un aumento de los ataques

cryptojacking.

caz cumplimiento 3. E ff debe ser omnipresentes

Con fi dencial de datos se está moviendo a la nube y las organizaciones deben demostrar el cumplimiento. El empleo de controles adicionales, tales

como encriptación y seguridad marcos, como NISF CSF y CIS, todavía necesitan llevarse a la práctica.

4. Más allá del espectro del “Espectro” y “Deshielo”

La gestión de vulnerabilidades a escala es sumamente complejo en la nube y es un requisito clave de GDPR. Las organizaciones deben

considerar cómo van a abordar la cuestión de sus entornos de nube pública.

© 2018 RedLock Inc. Todos los derechos reservados. 6

01
Cuenta
En relación con el año pasado, hemos visto una tendencia mixta con

respecto a la cuenta de compromisos. Las organizaciones están cada

compromete
vez más informados e implementar las mejores prácticas para evitar

compromisos de cuentas en la nube, pero los nuevos vectores de

alimentando nuevos ataque siguen a presentarse.

vectores de ataque
Además de hallazgo credenciales fugas en los repositorios de

GitHub, interfaces administrativas sin protección Kubernetes, y tablas

de Trello públicas, el equipo RedLock CSI encontró otro vector de

ataque - API instancia de metadatos de nube pública.

43% instancia de metadatos nube pública son datos acerca de la instancia que se

puede utilizar para con fi gura o es propietario de la instancia en ejecución. En

de acceso a las claves no han sido rotados esencia, los metadatos de un ejemplo se pueden consultar a través de una API
en los últimos 90 días
para obtener credenciales de acceso al entorno de nube pública por cualquier

proceso que se ejecuta en la instancia.

20%
La tendencia general, sin embargo, está claro; compromisos cuenta

seguirá evolucionando y las organizaciones deben estar alerta y

de las organizaciones están permitiendo tomar medidas para defenderse de estas amenazas.
las actividades del usuario root

Resultados clave

El más preocupante hallazgo del equipo de CSI fue que la necesidad de las

27% organizaciones para hacer un trabajo mucho mejor manejo de sus claves de

acceso, como se 43% de ellos no habían sido girado en más de 90 días. Esta es

una gran preocupación porque las claves de acceso tienden a tener acceso
de las organizaciones con potencial
compromisos de la cuenta excesivamente permisiva, creando así una mayor exposición. Es una práctica

de seguridad para rotar las teclas de acceso

© 2018 RedLock Inc. Todos los derechos reservados. 7

01
Cuenta
compromete
alimentando nuevos
vectores de ataque

significativamente a esta comprensión más amplia.

en un horario más frecuentes para limitar la exposición en caso de que

caigan en las manos equivocadas.

Investigación adicional por el equipo de CSI determina que RedLock 27% de

El equipo de CSI también encontró una tendencia alentadora; solamente 20% de las organizaciones que los usuarios cuyas cuentas potencialmente haber

las organizaciones están permitiendo que la cuenta de usuario root para ser sido comprometida. Este resultado es desde nuestro informe de

utilizado para realizar actividades abajo significativamente de 73% el año tendencias de febrero de 2018 mostró un 16%. Esta tendencia negativa

pasado. Esta tendencia indica que las organizaciones están recibiendo el pone de relieve que la seguridad sigue siendo un entorno de nube porosa.

mensaje sobre la gestión de cuentas de usuario root e informes de CSI

RedLock han contribuido

Consejos

• Eliminar el uso de cuentas root para las operaciones del día a día

• Aplicar la autenticación de factores múltiples en todas las cuentas de usuarios privilegiados

• Implementar una política para forzar automáticamente la rotación periódica de las claves de acceso

• desactivar automáticamente las cuentas no utilizadas y las claves de acceso

• Implementar soluciones de análisis de comportamiento de los usuarios entidad e identificar el comportamiento malicioso

© 2018 RedLock Inc. Todos los derechos reservados. 8

02
Cryptojacking va A pesar de las recientes subidas y bajadas de las valoraciones

criptomoneda, el interés en cryptomining ilícita sigue siendo alta.

Incluso con las recientes revelaciones de equipo de CSI de RedLock

en cryptomining en Tesla, la práctica de robar los recursos de

corriente principal computación en la nube a la mía criptomoneda parece haberse

acelerado. Una posible explicación para esto, según el equipo, es el

mercado ransomware se está saturando y caro, y los hackers están

fijando sus ojos en nuevas fuentes de ingresos - en este caso

cryptojacking.

Otra razón cryptojacking continúa proliferando es que los atacantes

están utilizando técnicas de evasión avanzadas cuando la minería

85% cryptocurrencies. El equipo de CSI detalla algunas de estas habilidades

creativas, incluyendo en ella la entrada de blog.

de los recursos no restrinjan

saliente tra FFI c en absoluto

Resultados clave Sorprendentemente, 85% de los recursos asociados a los

grupos de seguridad no limitan tra fi c saliente en absoluto. Este refleja un

aumento de hace un año, cuando esa estadística fue del 80%. La

investigación encontró un número creciente de organizaciones no estaban

siguiendo las mejores prácticas de seguridad de la red y había Miscon fi

25% gurada o con fi guraciones de riesgo. mejores prácticas de la industria de

mandatos de acceso saliente que deben restringirse para evitar la pérdida

de datos accidental o ex filtración de datos en el caso de una violación.

de las organizaciones habían

cryptojacking actividad dentro de

sus entornos

En términos de cryptojacking, el equipo descubrió que 25% de las

organizaciones habían cryptojacking actividad dentro de sus entornos

frente al 8% último

© 2018 RedLock Inc. Todos los derechos reservados. 9

02
Cryptojacking va

corriente principal

trimestre. El equipo pronosticó que cryptojacking aumentaría, ya de con fi guración, la actividad del usuario, la red de tra FFI c, y el

que ganó fuerza en la comunidad hacker, pero este crecimiento seguimiento de la vulnerabilidad de acogida es necesario detectar

rápido, dramático aún era inesperado. amenazas avanzadas en entornos de nube pública.

El aumento de cryptojacking y aparentemente mal uso de los grupos de

seguridad pone de relieve la necesidad de un enfoque holístico a la

seguridad en la nube. Una combinación

Consejos

• Implementar un “denegar todo” la política predeterminada para llamadas salientes fi cortafuegos

• Monitorear norte-sur y este-oeste red de tra fi c para identificar cualquier actividad sospechosa incluyendo
cryptojacking

• Monitorear la actividad del usuario por cualquier comportamiento inusual o anormal, tales como los intentos inusuales para hacer girar o FF nuevas instancias de

cómputo

© 2018 RedLock Inc. Todos los derechos reservados. 10

03
caz
2018 continuó la tendencia de exposiciones de los datos significativos que

resultan de configuraciones fi nube Miscon de 2017. FedEx y MyFitnessPal

cumplimiento E (Under Armour) ambos reportan millones de registros de consumo

expuestas resultantes de los servicios de almacenamiento en la nube sin

ff debe ser garantía. Dada la prevalencia de seguridad cibernética CSF estándares

NIST, CIS, PCI, SOC2, HIPAA y pronto GDPR (Reglamento General de

omnipresente Política de datos), las organizaciones están bajo presión para garantizar el

cumplimiento en sus entornos de nube.

El equipo de CSI RedLock evaluó la preparación de las organizaciones

49% basadas en las mejores prácticas de seguridad fundamentales y los resultados

sugieren optimismo y la decepción. Por otra parte, los resultados ponen de

manifiesto que las organizaciones deben hacer mejor en todos los ámbitos,

de las bases de datos no son

como el cumplimiento irregular no es en absoluto el cumplimiento.
encriptado

Resultados clave

30% El análisis del equipo RedLock CSI descubierto algunas noticias

positivas; hay una tendencia cada vez mayor para cifrar las bases de

datos. Hace un año, el equipo encontró que el 82% de las bases de

del cumplimiento de la CEI

controles fallan
datos no cifrados. Hoy esa cifra es de 49% - una mejora del 67% en un

año. Como se discutió en RedLock informes anteriores de CSI, el

cifrado es una técnica importante que podría ayudar a cumplir con el

requisito de seudónimos para GDPR y deben aplicarse como una

23%
buena práctica de seguridad.

organizaciones de fallar evaluaciones de

cumplimiento CSF ​NIST
Una evaluación más amplia contra el cumplimiento de las normas de la

industria reveló que, en promedio,

© 2018 RedLock Inc. Todos los derechos reservados. 11

03
caz
cumplimiento E
ff debe ser
omnipresente

organizaciones fallan 30% Fundamentos de la CEI mejores prácticas, 50% de con respecto a sus objetivos de cumplimiento e intenciones. La velocidad de la

los requisitos de PCI, y 23% de los requisitos de LCR NIST. En innovación nube se está acelerando, con los proveedores de nube añadiendo

comparación con el análisis del año pasado, las mejoras son cientos de nuevas características cada año y los desarrolladores están

inconsistentes y todavía apuntan al hecho de que las organizaciones aprovechando estas características para agregar nuevas aplicaciones sobre

tienen mucho trabajo que hacer para que el cumplimiento de una realidad una base continua. Al final, sólo puede ser que las organizaciones se están

a través de sus entornos de nube. quedando atrás en su intento de mantener el cumplimiento y garantizar la

seguridad en este entorno de ritmo rápido.

Estos resultados decepcionantes no necesariamente indican que

las organizaciones son poco sincera

Consejos

• Asegúrese de recursos de la nube se detectan automáticamente cuando se crean, y supervisados ​por el cumplimiento en todos
los entornos de nube.

• Implementar las barandas de política para asegurar que los recursos fi guraciones se adhieren a los estándares de la industria tales como NIST CSF,
CIS, SOC 2, PCI, HIPAA y.

• Integrar alertas con fi guración de cambio en DevOps y SecOps flujos de trabajo para resolver los problemas de forma automática.

© 2018 RedLock Inc. Todos los derechos reservados. 12

04
Más allá del Ahora estamos a pocos meses de la realidad de vivir con las

vulnerabilidades Specter y la crisis, y ahora entendemos sus

espectro del impactos a largo plazo y los proveedores de tecnología lanzando

“Espectro” y
soluciones. Por ejemplo, Intel anunció cambios en el Xeon y

procesadores Core especí fi camente diseñada para proteger

“Deshielo” contra estas vulnerabilidades. Amazon, Microsoft y Google

parcheado con prontitud y actualizan sus entornos para asegurar

un entorno de trabajo más seguro.

Pero lo más proactivos la industria ha sido, es sólo cuestión de tiempo hasta

que nos enfrentamos a la siguiente amenaza global vulnerabilidad de

acogida. De acuerdo con ello, el equipo RedLock CSI evaluó la gestión de

24% vulnerabilidad anfitrión en la nube para determinar el estado de una aires ff.

de las organizaciones han anfitriones

que faltan parches críticos
Resultados clave
en la nube pública
La investigación reveló que 24% de las organizaciones tienen

anfitriones que faltan parches de alta severidad en la nube pública, que

aparentemente confirma los datos del informe de febrero de 2018 el

83% de los ejércitos vulnerables recibían sospechoso tra fi c de la

Internet.

39%
Mientras que muchas organizaciones tienen las herramientas tradicionales de

análisis de vulnerabilidades hechas para los centros de datos y redes en las

de los ejércitos vulnerables fl agged tan
comprometida por Amazon instalaciones, las organizaciones son incapaces de asignar los datos de estas
Guardia
herramientas para ganar contexto en la nube específica. Por ejemplo, la

identificación de recursos de la nube que se están comunicando con IPs externas

o IPs sospechosas en un ambiente efímero es un problema de herramientas de

escaneo de vulnerabilidad tradicional no fueron diseñados para resolver.

© 2018 RedLock Inc. Todos los derechos reservados. 13

04
Más allá del
espectro del
“Espectro” y
“Deshielo”
La integración de RedLock con Amazon GuardDuty, un servicio de
La gestión de vulnerabilidades a escala es extremadamente
detección de amenazas lanzado en noviembre complejo en la nube y es un requisito clave de GDPR. En este entorno

2017, indica que 39% de estos anfitriones son en realidad exhibir dinámico, a menudo es difícil determinar especí fi cos cuestionables recursos de

patrones de actividad asociados con instancia compromiso o de la nube, o entender la posibilidad de aprovechamiento real y riesgos asociados

reconocimiento por los atacantes. Este es un aumento de 160% es de con ellos. Tradicionales herramientas de análisis de vulnerabilidades se quedan

aproximadamente 6 meses. Este aumento se explica por la mayor cortos en la entrega de acciones concretas los resultados a los usuarios.

aceptación de GuardDuty desde su lanzamiento; sin embargo, también Además, los datos de vulnerabilidad host necesita estar correlacionado con la

indica que las organizaciones necesitan ser más proactivo con la estafa de acogida configuraciones fi en la nube que pueden ayudar a identificar

administración de vulnerabilidades en la nube. el propósito del negocio del huésped y ayudar a priorizar parches.

Consejos

• los datos de vulnerabilidades se correlacionan con los datos con fi guración de recursos para identificar hosts vulnerables.

• Correlacionar los datos de red tra FFI c para determinar si las vulnerabilidades son en realidad red explotable y priorizar
remediación en consecuencia.

• Correlacionar los datos de vulnerabilidades con datos de la nube con fi guración y tra fi c red para identificar los activos de mayor riesgo, y
determinar si las vulnerabilidades son explotables en realidad a través de Internet.

© 2018 RedLock Inc. Todos los derechos reservados. 14

ACERCA DE
Acerca del
informeAcerca del informe

RedLock equipo de CSI

RedLock permite ff e caz defensa contra amenazas a través de Amazon Web Services, Microsoft Azure, y entornos de Google Cloud. La nube RedLock

360 ™ plataforma toma un nuevo enfoque impulsado por la IA que correlaciona los datos de seguridad dispares establece para proporcionar una

visibilidad completa, detectar amenazas, y permitir una respuesta rápida a través de entornos de nubes fragmentadas. Con RedLock, las organizaciones

pueden asegurar el cumplimiento, gobernar la seguridad, y permitir operaciones de seguridad en entornos de nube pública.

El equipo RedLock Nube de Inteligencia de Seguridad (CSI) se compone de los analistas de seguridad de élite, los científicos e ingenieros de datos, de datos con

experiencia en seguridad de profundidad. La misión del equipo es permitir a las organizaciones con fi dientemente adoptar la nube pública mediante la investigación de las

amenazas en la nube, asesorar a las organizaciones de seguridad en la nube las mejores prácticas, y con frecuencia la publicación de las políticas fuera de la caja en la

plataforma de nube RedLock 360 ™.

El equipo de CSI ha descubierto millones de registros expuestos que contienen datos sensibles pertenecientes a las organizaciones que van desde

pequeñas empresas hasta compañías Fortune 50 docenas. El equipo de notificación fi ca las organizaciones ejadas un ff y publica avisos de seguridad para

aumentar la conciencia acerca de los problemas.

informe Metodología

Los datos en este informe se basa en el análisis a través de los entornos de nube públicas monitorizados por RedLock, que comprende de más

de doce millones de recursos que se están procesando petabytes de red tra FFI c. Además, el equipo también investigó activamente el Internet

en busca de vulnerabilidades en entornos de nube pública.

© 2018 RedLock Inc. Todos los derechos reservados. 15

ACCIÓN
Listo para
¿Tomar acción?

Obtener una evaluación de riesgos gratuito

Comienza en cuestión de minutos y obtener una evaluación de riesgos libre a través de su huella de nube sin obstaculizar el desarrollo ágil. Además,

proporcionará los siguientes puntos de vista:

¿Hay recursos con con fi guraciones de riesgo?

Hay anfitriones no actualizados en su entorno? ¿Ha habido

alguna intrusiones en la red?

¿Hay alguna amenazas internas?

¿alguno cuentas sido comprometida?

Más información: https://info.redlock.io/cloud-risk-assessment

Descargar Guía de seguridad en la nube del comprador

Descargar la Guía del comprador de seguridad en la nube para obtener 20 + consejos basados ​en el Marco de Ciberseguridad NIST y

gestionar los riesgos en todo el entorno de computación en nube pública.

Más información: https://info.redlock.io/lp-nist-csf-cloud-security

© 2018 RedLock Inc. Todos los derechos reservados. dieciséis

 “Con RedLock, tenemos una visibilidad completa de lo que podemos estar seguros de

nuestro entorno en la nube es segura, el riesgo se reduce y las amenazas que se presentan

puede ser remediado de inmediato”

David Pace

Mundial de Información de Seguridad de Western

Asset Management (WAM)

Aprender más:
Llamar a: +1.650.665.9480, Visita: www.redlock.io © 2018 RedLock

Inc. Todos los derechos reservados.

RedLock y el logotipo RedLock son marcas comerciales estadounidenses de RedLock Inc.

RedLock nube 360 ​es una marca comercial de RedLock Inc. Todas las demás marcas registradas son propiedad de sus respectivos dueños.