Resumen Ejecutivo
Los ataques contra la infraestructura alojada en la nube van en aumento, y la prueba está en el análisis de las tendencias de las alertas de seguridad. Una investigación reciente revela que las organizaciones vieron casi cinco veces más alertas diarias basadas en la nube a finales de 2024 en comparación con el comienzo del año. Esto significa que los atacantes han intensificado significativamente su enfoque en atacar y comprometer la infraestructura de la nube.
Estas alertas no son simple ruido. Hemos observado los mayores aumentos en las alertas de mayor severidad, lo que significa que los indicadores de los ataques se dirigen con éxito a los recursos críticos de la nube, como se explica en la Tabla 1.
| Recursos en la Nube | Porqué es Fundamental |
| Gestión de identidades y accesos (IAM) | La filtración de credenciales puede abrir la puerta a la infraestructura en la nube de una organización. |
| Almacenamiento | Puede contener datos sensibles de la organización o de los clientes. |
| Máquinas virtuales | A menudo conectado a servicios internos adicionales, ofreciendo oportunidades de movimiento lateral a los atacantes. |
| Contenedores | La explotación del host del contenedor puede permitir a los atacantes ejecutar contenedores maliciosos. |
| Serverless | Las funciones “serverless”están diseñadas para fines automatizados concretos. No deben producirse ejecuciones remotas de la línea de comandos. |
Cuadro 1. Criticidad de determinados recursos de la nube.
Cabe destacar que los atacantes se dirigían con frecuencia a los tokens IAM serverless lo que permite el uso remoto de la línea de comandos. Son importantes porque pueden utilizarse para obtener acceso al entorno de nube más amplio de una organización. Como parte del aumento de alertas en la nube, hubo tres veces más eventos de acceso remoto a la línea de comandos utilizando tokens de acceso y gestión de identidades (IAM), y credenciales que son utilizadas por funciones “serverless” en la nube.
También identificamos otras tendencias al alza en las alertas:
- Un aumento del 116% en las alertas de "eventos de viaje imposibles" basadas en IAM (es decir, eventos de inicio de sesión desde zonas geográficas distantes dentro de un estrecho margen de tiempo).
- Aumento del 60% de las solicitudes de interfaz de programación de aplicaciones (API) de IAM procedentes de regiones exteriores para recursos de computación (máquina virtual en nube).
- Un aumento máximo del 45% en el número de exportaciones de copias instantáneas de la nube durante Noviembre de 2024
- Un aumento del 305% en el número de descargas sospechosas de múltiples objetos de almacenamiento en la nube.
La identidad es el perímetro de defensa de la infraestructura en la nube. Los atacantes tienen como objetivo los tokens y credenciales IAM, ya que contienen las claves del reino de la nube, permitiendo a los atacantes moverse lateralmente, escalar sus permisos y realizar operaciones maliciosas adicionales. El aumento del número de intentos de acceso y el uso de cuentas de servicios IAM sensibles significa que los atacantes de todo el mundo tienen sus objetivos puestos en los recursos de la nube.
Los atacantes tienen como objetivo los servicios de almacenamiento en la nube, ya que a menudo contienen datos confidenciales. Hemos observado un notable aumento del número de descargas sospechosas de objetos de almacenamiento en la nube y de exportaciones de copias instantáneas de imágenes. Las alertas de descarga sospechosa de objetos de almacenamiento en la nube se activan cuando una única identidad basada en IAM descarga un gran número de objetos de almacenamiento dentro de un estrecho margen de tiempo. Esto puede significar operaciones maliciosas como ransomware o extorsión. Las copias instantáneas de imágenes son el objetivo de los atacantes, ya que pueden contener datos confidenciales relativos a la infraestructura de la nube y credenciales de IAM que podrían permitir al atacante escalar permisos y moverse lateralmente dentro del entorno en la nube de una víctima.
Estos ejemplos ilustran la necesidad inmediata de proteger los entornos en la nube, no sólo con herramientas básicas de gestión de la postura de seguridad en la nube (CSPM), sino en cooperación con herramientas que detecten y eviten las operaciones maliciosas en tiempo de ejecución a medida que se producen.
Mediante el despliegue de las herramientas de seguridad en la nube en tiempo de ejecución de Cortex Cloud -también denominadas Cloud Detection and Response (CDR), los equipos de seguridad pueden identificar y prevenir eventos maliciosos dentro de los entornos en la nube.
Si piensas que podrías haber sido comprometido o tienes un asunto urgente, contacta con el equipo de respuesta a incidentes de la Unit 42.
Ataques en la Nube a Escala
En una reciente publicación de Unit 42, publicamos detalles de una campaña de ransomware y extorsión que apuntaba directamente a archivos de variables de entorno expuestos. El actor malicioso de la campaña cosechó con éxito más de 90.000 credenciales de 110.000 dominios objetivo. Y lo que es más preocupante, también recopilaron casi 1.200 credenciales de IAM en la nube. Estas credenciales permitieron al actor malicioso realizar con éxito ataques de extorsión contra múltiples organizaciones.
Esta operación brinda la oportunidad de debatir sobre los mecanismos de seguridad existentes para proteger a las organizaciones. En concreto, esto nos permite determinar cómo emplear a la vez soluciones de seguridad de gestión de postura y de supervisión en tiempo de ejecución de forma transparente. Esto permite a las organizaciones construir un perímetro de defensa de seguridad en la nube lo suficientemente sólido y capaz de hacer frente a estas nuevas oleadas de atacantes.
Durante la investigación para este artículo, descubrimos que el número total medio de alertas en la nube experimentadas por una organización aumentó un 388% en 2024. Estas alertas proceden de operaciones de gestión de la postura y de detección de monitorización en tiempo de ejecución.
Aunque las alertas de severidad "informativa" representaron la mayoría de las alertas, es sumamente importante destacar que el cambio más significativo se produjo en el número de alertas de severidad elevada. Esta clasificación de alerta experimentó un aumento del 235% durante 2024. Las alertas de severidad media y baja también aumentaron un 21% y un 10%, respectivamente.
Qué Significan estas Tendencias en las Alertas
Los cambios que observamos en el número de alertas se alinean con nuestro Informe sobre el estado de la seguridad nativa de la nube 2024, que descubrió que el 71% de las organizaciones atribuyen el aumento de la exposición a vulnerabilidades a la aceleración de las implementaciones. Además, el 45% de esas organizaciones informan de un aumento de los ataques de amenazas persistentes avanzadas (APT) en el último año.
Un ejemplo de ello es la reciente investigación de Microsoft sobre Storm-2077, un actor en la nube (CTAG) basado en China que emplea complejas técnicas de recolección de credenciales IAM en la nube para obtener y mantener el acceso a los entornos en la nube de las víctimas. Rápidamente se hace evidente que tanto la gestión de la postura de la nube como la supervisión de la seguridad en tiempo de ejecución deben funcionar como una sola unidad para llevar a cabo una protección adecuada frente a la siguiente fase de amenazas en entornos en la nube. La sección Antecedentes que aparece a continuación proporciona información adicional sobre la gestión de postura y las detecciones de monitorización en tiempo de ejecución.
Una misión clave para los defensores de la nube es diseñar y desplegar una plataforma de seguridad en la nube que mejore la capacidad de detección. Esto permite a los administradores no sólo detectar errores de configuración y vulnerabilidades, sino también recopilar y analizar los eventos en tiempo de ejecución dentro de los entornos en la nube. Una plataforma de este tipo proporciona a los defensores una mejor visibilidad y permite una respuesta más rápida a las alertas.
Aunque la capacidad de identificar y detectar eventos maliciosos o sospechosos en la nube ha aumentado en la industría, también lo ha hecho la complejidad de las operaciones ofensivas en la nube de los actores maliciosos. Por ejemplo, en enero de 2024, el entorno en la nube promedio vio solo dos alertas para el uso remoto de línea de comandos de un token IAM de función “serverless”. Esta tendencia se mantuvo a lo largo del año. Sin embargo, en diciembre de 2024, el entorno de nube medio registró más de 200 de esas mismas alertas, una preocupante señal de aumento de la actividad. Tal como se compartió en el artículo Variables de Entorno Filtradas, esta operación en tiempo de ejecución es exactamente lo que ocurrió durante ese evento de extorsión maliciosa.
Otras pruebas que apoyan esta tendencia son las siguientes:
- Aumentan un 116% las alertas de viajes imposibles relacionadas con identidades en la nube
- Aumentan un 60% el número de llamadas API a la carga de trabajo de computación desde fuera de la región en la nube de la propia instancia.
- Aumentan un 45% el número de exportaciones de copias instantáneas en la nube.
- Aumentan un 305% el número de descargas sospechosas de múltiples objetos de almacenamiento en la nube.
Estos hallazgos en las alertas indican claramente que el propósito principal de los CTAG es tener como objetivo, recopilar y utilizar un token o credencial de IAM en la nube. Esto también indica que los atacantes utilizarán estos tokens o credenciales para operaciones potencialmente maliciosas.
Antecedentes
Las herramientas de gestión de la postura de seguridad en la nube (CSPM) constituyen la base de la seguridad en la nube. Sus operaciones se centran en la monitorización de los controles de seguridad para garantizar que los entornos en la nube mantienen configuraciones seguras y están libres de vulnerabilidades y configuraciones erróneas.
La monitorización de la gestión de la postura se basa tradicionalmente en el escaneo de seguridad específico en el tiempo de los recursos y las configuraciones de un entorno en la nube. Las alertas se activan cuando un recurso en la nube nuevo o modificado parece plantear riesgos potenciales para la seguridad.
Por ejemplo, se activará una alerta si una política IAM es demasiado permisiva y permite el acceso a otros recursos de la nube. También se activará si una instancia de computación en la nube o una función serverless contiene vulnerabilidades o configuraciones erróneas.
Las operaciones de escaneo de gestión de la postura se realizan de forma programada rutinaria, a menudo cada hora o cada día. Algunas herramientas de seguridad CSPM permiten también la supervisión de los registros de auditoría de la plataforma en la nube, lo que puede ayudar a detectar actividades sospechosas a medida que se producen dentro de una plataforma de servicios en la nube (CSP). Es fundamental que las organizaciones configuren su plataforma CSPM para recopilar los registros de auditoría de sus aplicaciones de software como servicio (SaaS) de terceros basadas en la nube para garantizar la visibilidad.
Las herramientas CDR proporcionan detecciones de monitorización en tiempo de ejecución mediante la recopilación, identificación e incluso prevención de las operaciones que se producen durante un evento concreto. Al recopilar los registros de las instancias de computación en la nube, los recursos de registros CSP y aplicaciones SaaS en nube de terceros, las herramientas de seguridad CDR pueden identificar, alertar y prevenir ante eventos maliciosos en la nube.
Ejemplos de estas operaciones incluyen la ejecución de una petición API contra una plataforma o aplicación en la nube como:
-
- Crear nuevos usuarios de la nube o cuentas de servicio
- Adjuntar políticas IAM a usuarios o roles IAM nuevos o establecidos
- Establecer conexiones de red desde un nodo de salida Tor o un host VPN
A diferencia de las herramientas de gestión de la postura de seguridad, las herramientas de monitorización en tiempo de ejecución supervisan continuamente el entorno de la nube y a menudo requieren un agente dedicado para mantener la visibilidad de los recursos de la nube. Cuando se instala un agente, las herramientas de seguridad de monitorización en tiempo de ejecución de la nube permiten detectar -e incluso prevenir- las operaciones maliciosas en la nube a medida que se producen.
Tendencias de las Alertas de Severidad Alta
Hemos observado un claro aumento del número de alertas en 2024, en correlación con el aumento de los ataques a entornos en la nube.
Las alertas de alta severidad en la nube aumentaron un 235% a lo largo de 2024. El mayor repunte en un solo mes (281%) se produjo en Mayo, y observamos el aumento más sustancial de estas alertas (204%, 247% y 122 %) en Agosto, Octubre y Diciembre, como muestra la Figura 1.
Las 10 Principales Alertas de alta Severidad
Un examen más detallado de las 10 alertas diarias de alta severidad más frecuentes revela un elevado número de alertas relacionadas únicamente con eventos centrados en el tiempo de ejecución. Estas alertas se activan por un acontecimiento singular o una secuencia de acontecimientos conectados. Esto hizo necesario un análisis casi en tiempo real o, en algunos casos, un análisis en tiempo real para la detección.
La Tabla 2 a continuación muestra que el uso remoto de la línea de comandos de los tokens IAM “serverless” es un evento que requiere análisis de logs en tiempo real para detectar y potencialmente prevenir. Por el contrario, la alerta de alta gravedad más frecuente, "protección contra el borrado de almacenamiento en la nube desactivada," puede detectarse y mitigarse con una herramienta CSPM.
| Nombre de la Alerta | Control en Tiempo de Ejecución o de Postura | Recuento Medio Diario |
| Uso de la línea de comandos remota del token “serverless” | Tiempo de ejecución | 24,68 |
| Una identidad realizó una descarga sospechosa de varios objetos de almacenamiento en la nube | Tiempo de ejecución | 21,09 |
| Protección contra borrado de almacenamiento en la nube desactivada | Postura y tiempo de ejecución | 20,19 |
| Asignación anormal de recursos de computación en un elevado número de regiones | Postura y tiempo de ejecución | 11,11 |
| Se utilizó una cuenta de servicio de nodo Kubernetes fuera del clúster desde una IP no perteneciente a la nube | Postura | 11 |
| Asignación anormal sospechosa de recursos de computación en varias regiones | Postura y tiempo de ejecución | 10 |
| Exportación de múltiples copias instantáneas en la nube | Tiempo de ejecución | 9,33 |
| Uso de la línea de comandos remota del rol “serverless” | Tiempo de ejecución | 7,79 |
| Asignación inusual de múltiples recursos de computación en la nube | Postura y tiempo de ejecución | 7,73 |
| Asignación anormal inusual de recursos de computación en varias regiones | Postura y tiempo de ejecución | 6,42 |
Tabla 2. Alerta de alta gravedad por incidencia media.
Para garantizar la protección de los objetos de almacenamiento en la nube dentro de un contenedor de almacenamiento cuya protección contra el borrado se haya desactivado, recomendamos firmemente desplegar una herramienta CDR. Estas herramientas pueden detectar y evitar que se borren objetos de almacenamiento en la nube como resultado de un evento de "protección desactivada."
Otras alertas notables de alta gravedad incluyen múltiples exportaciones de copias instantáneas en la nube y el uso sospechoso de una cuenta de servicio IAM. Ambos son indicadores clave de actividad maliciosa en un entorno de nube.
Ejemplos de operaciones maliciosas que podrían activar varias de estas alertas son la extorsión o los sucesos de ransomware centrados en la nube. Este tipo de eventos sólo pueden llevarse a cabo desactivando primero las protecciones del almacenamiento en la nube, como la protección contra borrado y las copias de seguridad automáticas. Una vez eliminadas estas protecciones, los actores maliciosos pueden borrar o exfiltrar objetos contenedores de almacenamiento en la nube, lo que aumenta la probabilidad de éxito de una operación de extorsión.
Algunas de estas alertas de alta gravedad también podrían activarse por el compromiso de recursos expuestos o vulnerables de instancias computacionales o “serverless.” Específicamente en términos del uso de la línea de comandos remota de un token IAM “serverless”, las funciones “serverless” están diseñadas para operar de forma autónoma e independiente.
El uso remoto o no autorizado del token IAM de una función serverless indica un compromiso y un posible movimiento lateral dentro del entorno de la nube. El mismo tipo de evento podría indicar el uso malicioso de un token IAM de una cuenta de servicio. Dado que los tokens IAM de las cuentas de servicio suelen estar destinados a un único propósito, cualquier uso anómalo de ese token debe considerarse sospechoso.
Tendencias de las Alertas de Severidad Media
A diferencia del repunte de las alertas de severidad alta de finales de año, a mediados de 2024 observamos un repunte sostenido de las alertas de severidad media. Este repunte incluyó un aumento inicial del 186% y otro posterior del 24%, antes de una tendencia a la baja hasta Diciembre, como muestra la Figura 2.
Las 10 Principales Alertas de Severidad Media
Las 10 principales alertas de severidad media, que figuran en la Tabla 3, difieren de las 10 principales alertas de severidad alta que figuran en la Tabla 2. La diferencia clave es que para todas menos una de las 10 alertas de severidad media, los eventos sólo pueden detectarse realizando algún tipo de análisis de protección en tiempo de ejecución.
El evento "transferencia inusual de grandes volúmenes de datos" puede activarse utilizando las detecciones tradicionales de CSPM de los recursos en la nube. Sin embargo, al igual que el evento de severidad alta "protección contra borrado de almacenamiento en la nube desactivada" comentado anteriormente, una herramienta CDR tendría mayor capacidad de detectar este evento de transferencia de volumen inusual mientras se estaba produciendo. También podría identificar los tipos de archivos y sus ubicaciones en archivos o directorios de almacenamiento en la nube. Estos detalles proporcionan a los equipos de seguridad los recursos más deseados para realizar su trabajo: tiempo y conocimiento.
| Nombre de la Alerta | Control en Tiempo de Ejecución o de Postura | Recuento Medio Diario |
| Una identidad IAM intentó múltiples acciones en recursos que fueron denegados | Tiempo de ejecución | 80 |
| Una identidad asociada a computación ejecuta llamadas a la API fuera de la región de la instancia | Tiempo de ejecución | 36,32 |
| Intento de acceso a una aplicación en la nube desde un tenant no habitual | Tiempo de ejecución | 21,69 |
| Una identidad realizó una descarga sospechosa de varios objetos de almacenamiento en la nube desde varios buckets | Tiempo de ejecución | 18,66 |
| Viaje imposible por una identidad de computación en nube | Tiempo de ejecución | 18,65 |
| ransferencia inusual de grandes volúmenes de datos de almacenamiento | Tiempo de ejecución | 15 |
| Actividad de la cuenta de servicio Kubernetes fuera del clúster desde una dirección IP no perteneciente a la nube | Tiempo de ejecución | 12,15 |
| Una aplicación en la nube realizó varias acciones que fueron denegadas | Tiempo de ejecución | 12,02 |
| Exportación de múltiples copias instantáneas en la nube | Tiempo de ejecución | 10 |
| Una identidad sospechosa descargó varios objetos de un bucket de almacenamiento de copias de seguridad | Tiempo de ejecución | 9,68 |
Tabla 3. Alerta de gravedad media por incidencia media.
Varias de las alertas enumeradas en la Tabla 3 podrían indicar que los actores maliciosos están atacando recursos de la nube, como cuentas de servicio de Kubernetes fuera del clúster o desde una dirección IP no perteneciente a la nube. Estas dos alertas en particular podrían indicar que los tokens de autenticación del clúster Kubernetes han sido comprometidos, ya que los tokens IAM de la cuenta de servicio están diseñados para un propósito singular. Cualquier operación que utilice estas credenciales desde fuera del clúster-o fuera del entorno de nube conocido- debe considerarse actividad sospechosa y debe mitigarse.
Otra alerta que es importante destacar es la exportación de múltiples copias instantáneas de la nube. Aunque puede haber un caso de uso legítimo para este tipo de evento como el despliegue de copias instantáneas o una copia de seguridad externa, los actores maliciosos también exportan copias instantáneas. Las copias instantáneas en la nube pueden contener información sensible, lo que las convierte en objetivo habitual de operaciones maliciosas.
Qué Pueden Hacer las Organizaciones
Hay varias medidas que las organizaciones pueden aplicar para protegerse mejor contra las operaciones maliciosas en la nube:
- Implantar una supervisión CDR eficaz en tiempo de ejecución
- Implantar una solución CDR de seguridad en la nube para todos sus entornos de nube
- Garantizar que todos los endpoints críticos en la nube dispongan de agentes habilitados en tiempo de ejecución para detectar operaciones de computación y contenedores en tiempo de ejecución.
- Asegurar que sus proveedores de CSP ofrezcan supervisión de los registros de auditoría de la nube en tiempo de ejecución.
- Asegurar que sus aplicaciones SaaS integradas en la nube recopilan:
- Proveedores de identidad (IdP)
- Integraciones CI/CD
- Repositorios de código fuente
- Plataformas de ticketing
- Poner límites a las regiones CSP en las que se permite operar a las funciones de computación y serverless.
- Es una práctica común para los actores de amenazas crear recursos en la nube dentro de regiones CSP extranjeras para realizar una forma básica de ofuscación de operaciones
- Identificar y prevenir que las cuentas de servicio IAM realicen operaciones fuera de sus funciones previstas.
- Seguir el diseño de arquitectura de mínimo privilegio para credenciales IAM puede ayudar en gran medida a combatir el movimiento lateral y las operaciones de escalada de privilegios si una credencial IAM se ve comprometida.
- Asegurar que todos los contenedores de almacenamiento en la nube dispongan de versionado y cifrado.
- El control de versiones y el cifrado son configuraciones gratuitas para cada contenedor de almacenamiento en nube de cada uno de los tres principales proveedores de servicios en nube
- Estas dos características también aumentan significativamente las dificultades que los actores de amenazas encontrarán al tratar de robar su valiosa y sensible información.
En caso de duda, recuerde que las defensas de supervisión en tiempo de ejecución de CDR deben estar presentes para combatir eficazmente la mayoría de las amenazas a las que se enfrentan los entornos en la nube.
Conclusión
La supervisión en tiempo de ejecución CDR es un aspecto crítico para mantener un entorno seguro de nube, nube híbrida y nube múltiple. Como demuestran los datos de tendencias de alertas de severidad alta y media analizados en este artículo, hubo un aumento del 388% en el número medio de alertas que los entornos de nube presenciaron durante 2024.
Un número significativo de estas alertas son el resultado directo de la detección de operaciones en tiempo de ejecución, que no pueden detectarse únicamente con las herramientas de gestión de la postura (CSPM). Las herramientas CDR proporcionan capacidades de detección en tiempo de ejecución en la nube, lo que permite la detección de eventos maliciosos que ocurren en instancias de computación en la nube, hosts de contenedores o funciones serverless.
Dadas las crecientes amenazas dirigidas a los entornos de nube, la única defensa real para estos entornos es exigir agentes basados en la nube para los endpoints críticos y expuestos públicamente en la nube, el registro de auditorías de los CSP y las aplicaciones SaaS de terceros en la nube. El uso de una herramienta de análisis CDR permite a los defensores recopilar, detectar y prevenir la ejecución de operaciones maliciosas que puedan afectar a cualquiera de estos recursos. La combinación de supervisión, análisis y respuesta en tiempo de ejecución para el registro de eventos de recursos en la nube es esencial para garantizar que no se permitan las operaciones maliciosas en entornos en la nube.
Si cree que puede haberse visto comprometido o tiene un asunto urgente, póngase en contacto con el Equipo de Respuesta a Incidentes de la Unidad 42, o llame al:
- América del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
- REINO UNIDO: +44.20.3743.3660
- Europa y Oriente Medio: +31.20.299.3130
- Asia: +65.6983.8730
- Japón: +81.50.1790.0200
- Australia: +61.2.4062.7950
- India: 00080005045107
Palo Alto Networks ha compartido estos resultados con nuestros compañeros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar rápidamente protecciones para sus clientes y desbaratar sistemáticamente a los ciberagentes malintencionados. Ontenga más información acerca de Cyber Threat Alliance.
Referencias
- Variables de entorno filtradas permiten operaciones de extorsión a gran escala en entornos cloud - Unidad 42, Palo Alto Networks
- Informe sobre el estado de la seguridad nativa de la nube 2024 - Palo Alto Networks
- Microsoft comparte la inteligencia más reciente sobre actores de amenazas norcoreanos y chinos en CYBERWARCON - Threat Intelligence blog, Microsoft
- ¿Qué es la CSPM? | Explicación de la gestión de posturas de seguridad en la nube - Cyberpedia, Palo Alto Networks
- ¿Qué es la detección y respuesta en la nube (CDR)? - Cyberpedia, Palo Alto Networks
- Definición de gestión de identidades y acceso (IAM) - Glosario de tecnologías de la información de Gartner.
Reciba las novedades de Unit 42 