La nube es una tecnología emergente que ofrece numerosos beneficios a organizaciones de todos los tamaños, como costos de TI reducidos, escalabilidad, eficiencia, flexibilidad, etc. Pero tiene sus inconvenientes, principalmente en forma de amenazas y vulnerabilidades de seguridad.
A diferencia de las soluciones tradicionales en las que los peligros provienen de dos fuentes conocidas, ya sea dentro o fuera de la red, las amenazas a la seguridad en la computación en la nube pueden originarse en diferentes niveles: niveles de aplicación, red y usuario.
En esta publicación, veremos diferentes tipos de ataques en estos tres niveles: nivel de proveedor de servicios en la nube (CSP), nivel de red y nivel de usuario o host, y las formas de reducir su daño.
Problemas de seguridad a nivel de aplicación o proveedor de servicios en la nube
Los problemas de seguridad a nivel de aplicación (o ataques a nivel de CSP del proveedor de servicios en la nube) se refieren a la intrusión de los atacantes maliciosos debido a las vulnerabilidades de la naturaleza compartida de la nube. Algunas empresas alojan sus aplicaciones en entornos compartidos utilizados por múltiples usuarios, sin considerar las posibilidades de exposición a brechas de seguridad, tales como:
1. Inyección SQL
Un usuario no autorizado obtiene acceso a toda la base de datos de una aplicación mediante la inserción de código malicioso en un código SQL estándar. A menudo utilizado para atacar sitios web, la inyección de SQL se puede evitar mediante el uso de SQL generado dinámicamente en el código. También es necesario eliminar todos los procedimientos almacenados que rara vez se usan y asignar los mínimos privilegios posibles a los usuarios que tienen permiso para acceder a la base de datos.
2. Ataque de salto de invitados
En los ataques de salto de invitado, debido a la falla de separación entre infraestructuras compartidas, un atacante obtiene acceso a una máquina virtual penetrando en otra máquina virtual alojada en el mismo hardware. Una posible mitigación del ataque de salto de invitado son las herramientas forenses y de depuración de VM para observar cualquier intento de comprometer la máquina virtual. Otra solución es utilizar High Assurance Platform (HAP), que proporciona un alto grado de aislamiento entre máquinas virtuales.
3. Ataque de canal lateral
Un atacante abre un ataque de canal lateral colocando una máquina virtual maliciosa en la misma máquina física que la máquina de la víctima. A través de esto, el atacante obtiene acceso a toda la información confidencial en la máquina de la víctima. La contramedida para eliminar el riesgo de ataques de canal lateral en un entorno de nube virtualizado es garantizar que ninguna máquina virtual de usuario legítimo resida en el mismo hardware de otros usuarios.
4. Información privilegiada maliciosa
Un infiltrado malicioso puede ser un empleado o socio comercial actual o anterior que abusa de manera malintencionada e intencional de los privilegios y las credenciales del sistema para acceder y robar información confidencial de los clientes dentro de la red de una organización. La estricta planificación de privilegios y la auditoría de seguridad pueden minimizar este riesgo de seguridad que se origina dentro de una organización.
5. Envenenamiento por galletas
El envenenamiento de cookies significa obtener acceso no autorizado a una aplicación o página web modificando el contenido de la cookie. En un modelo SaaS, las cookies contienen información de credenciales de identidad del usuario que permite que las aplicaciones autentiquen la identidad del usuario. Las cookies se falsifican para hacerse pasar por un usuario autorizado. Una solución es limpiar la cookie y cifrar los datos de la cookie.
6. Opción de puerta trasera y depuración
La puerta trasera es una entrada oculta a una aplicación, que fue creada intencionalmente o no por los desarrolladores durante la codificación. La opción de depuración también es un punto de entrada similar, a menudo utilizado por los desarrolladores para facilitar la resolución de problemas en las aplicaciones. Pero el problema es que los piratas informáticos pueden usar estas puertas ocultas para eludir las políticas de seguridad e ingresar al sitio web y acceder a la información confidencial. Para evitar este tipo de ataque, los desarrolladores deberían desactivar la opción de depuración.
7. Seguridad del navegador en la nube
Un navegador web es una aplicación de cliente universal que utiliza el protocolo Transport Layer Security (TLS) para facilitar la privacidad y la seguridad de los datos para las comunicaciones por Internet. TLS cifra la conexión entre las aplicaciones web y los servidores, como los navegadores web que cargan un sitio web. Los navegadores web solo usan el cifrado TLS y la firma TLS, que no son lo suficientemente seguros para defenderse de los ataques maliciosos. Una de las soluciones es usar TLS y, al mismo tiempo, criptografía basada en XML en el núcleo del navegador.
8. Ataque de inyección de malware en la nube
Se inyecta una máquina virtual maliciosa o un módulo de implementación de servicios, como SaaS o IaaS, en el sistema de la nube, haciéndole creer que la nueva instancia es válida. Si tiene éxito, las solicitudes del usuario se redirigen automáticamente a la nueva instancia donde se ejecuta el código malicioso. La mitigación consiste en realizar una verificación de integridad de la instancia de servicio antes de usarla para las solicitudes entrantes en el sistema en la nube.
9. Envenenamiento por ARP
El envenenamiento del Protocolo de resolución de direcciones (ARP) ocurre cuando un atacante explota alguna debilidad del protocolo ARP para asignar una dirección IP de red a una MAC maliciosa y luego actualiza el caché ARP con esta dirección MAC maliciosa. Es mejor usar entradas ARP estáticas para minimizar este ataque. Esta táctica puede funcionar para redes pequeñas como nubes personales, pero es más fácil usar otras estrategias como funciones de seguridad de puertos en nubes a gran escala para bloquear un solo puerto (o dispositivo de red) a una dirección IP particular.
Ataques de seguridad a nivel de red
La computación en la nube depende en gran medida de la infraestructura de red existente, como LAN, MAN y WAN, lo que la expone a algunos ataques de seguridad que se originan en usuarios fuera de la nube o en un infiltrado malicioso. En esta sección, centrémonos en los ataques de seguridad a nivel de red y sus posibles contramedidas.
10. Ataques al sistema de nombres de dominio (DNS)
Es un exploit en el que un atacante aprovecha las vulnerabilidades en el sistema de nombres de dominio (DNS), que convierte los nombres de host en las direcciones de Protocolo de Internet (IP) correspondientes utilizando un esquema de base de datos distribuida. Los servidores DNS están sujetos a varios tipos de ataques, ya que casi todas las aplicaciones en red utilizan DNS, incluido el correo electrónico, la navegación web, el comercio electrónico, la telefonía por Internet y más. Incluye ataques de inundación TCP SYN, ataques de inundación UDP, ataques de direcciones de origen falsificadas/LAND, ataques de envenenamiento de caché y ataques de intermediario.
11. Secuestro de dominio
El secuestro de dominio se define como cambiar el nombre de un dominio sin el conocimiento o permiso del propietario o creador. El secuestro de dominios permite a los intrusos obtener datos comerciales confidenciales o realizar actividades ilegales como el phishing, donde un dominio se sustituye por un sitio web similar que contiene información privada. Una forma de evitar el secuestro de dominios es forzar un período de espera de 60 días entre un cambio de registro y una transferencia a otro registrador. Otro enfoque es utilizar el Protocolo de aprovisionamiento extensible (EPP), que utiliza una clave de autorización exclusiva del registrante del dominio como medida de protección para evitar cambios de nombre no deseados. Otro enfoque es utilizar el Protocolo de aprovisionamiento extensible (EPP), que utiliza una clave de autorización exclusiva del registrante del dominio como medida de protección para evitar cambios de nombre no autorizados.
12. Suplantación de IP
En la suplantación de IP, un atacante obtiene acceso no autorizado a una computadora fingiendo que el tráfico se originó en una computadora legítima. La suplantación de IP se utiliza para otras amenazas, como Denegación de servicio y Middle Attack Man:
a. Ataques de denegación de servicio (DoS)
Es un tipo de ataque que intenta hacer que un sitio web o recurso de red no esté disponible. El atacante inunda el host con una gran cantidad de paquetes en un corto período de tiempo que requieren un procesamiento adicional. Hace que el dispositivo objetivo pierda tiempo esperando una respuesta que nunca llega. El objetivo se mantiene tan ocupado lidiando con paquetes maliciosos que no responde a las solicitudes entrantes de rutina, dejando a los usuarios legítimos con el servicio denegado.
Un atacante puede coordinar cientos de dispositivos a través de Internet para enviar una cantidad abrumadora de paquetes no deseados a un objetivo. Por lo tanto, rastrear y detener DoS es muy difícil. La inundación TCP SYN es un ejemplo de un ataque DoS en el que el intruso envía una inundación de paquetes TCP SYN falsificados a la máquina víctima. Este ataque explota las limitaciones del protocolo de enlace de tres vías para mantener conexiones semiabiertas.
b. Hombre en el ataque medio (MITM)
Un ataque man-in-the-middle (MITM) es una intrusión en la que el intruso transmite de forma remota o probablemente cambia mensajes entre dos entidades que creen que se comunican directamente entre sí. El intruso utiliza protocolos de detección, filtrado y transmisión de paquetes de red para obtener acceso al tráfico de la red. El ataque MITM explota el procesamiento en tiempo real de transacciones, conversaciones o transferencia de otros datos. Se puede reducir utilizando técnicas de filtrado de paquetes por cortafuegos, cifrado seguro y autenticación de origen.
Ataques a nivel de usuario final/host
Los ataques a nivel de host o usuario final de la nube incluyen phishing, un intento de robar la identidad del usuario que incluye nombres de usuario, contraseñas e información de tarjetas de crédito. El phishing consiste en enviar al usuario un correo electrónico que contiene un enlace a un sitio web falso que parece uno real. Cuando el usuario usa el sitio web falso, su nombre de usuario y contraseña se enviarán al pirata informático que puede usarlos para atacar la nube.
Otro método de phishing es enviar un correo electrónico al usuario que dice ser de la empresa de servicios en la nube o, por ejemplo, decirle al usuario que proporcione su nombre de usuario y contraseña para fines de mantenimiento. Las contramedidas de phishing son el uso de filtros de spam y bloqueadores de spam en los navegadores. También puede capacitar a los usuarios para que no respondan a ningún correo electrónico falsificado y no proporcionen sus credenciales a ningún sitio web.