Búsqueda de rutas de ataque en entornos de nube


La adopción masiva de la infraestructura en la nube está plenamente justificada por innumerables ventajas. Como resultado, hoy en día, las aplicaciones comerciales, las cargas de trabajo y los datos más sensibles de las organizaciones están en la nube.

Los piratas informáticos, buenos y malos, se han dado cuenta de esa tendencia y han desarrollado de manera efectiva sus técnicas de ataque para que coincidan con este nuevo y tentador panorama de objetivos. Con la alta reactividad y adaptabilidad de los actores de amenazas, se recomienda asumir que las organizaciones están siendo atacadas y que algunas cuentas de usuario o aplicaciones ya pueden haber sido comprometidas.

Descubrir exactamente qué activos están en riesgo a través de cuentas comprometidas o activos violados requiere mapear posibles rutas de ataque a través de un mapa completo de todas las relaciones entre los activos.

Hoy en día, el mapeo de posibles rutas de ataque se realiza con herramientas de escaneo como AzureHound o AWSPX. Esas son herramientas basadas en gráficos que permiten la visualización de relaciones de activos y recursos dentro del proveedor de servicios en la nube relacionado.

Al resolver la información de la política, estos recopiladores determinan cómo las rutas de acceso específicas afectan los recursos específicos y cómo se puede usar la combinación de estas rutas de acceso para crear rutas de ataque.

Estos recopiladores basados ​​en gráficos muestran resultados topológicos que mapean todas las entidades alojadas en la nube en el entorno y las relaciones entre ellas.

Los vínculos entre cada entidad establecidos en el gráfico resultante se analizan en función de las propiedades del activo para extraer la naturaleza exacta de la relación y la interacción lógica entre activos en función de:

  • La dirección de la relación: es la dirección de conexión del activo X al activo Y o al revés.
  • El tipo de relación es activo X:
    • Contenido por activo Y
    • Puede acceder al activo Y
    • Puede actuar sobre el activo Y

El objetivo de la información proporcionada es ayudar a los equipos rojos a identificar posibles rutas de ataque de movimiento lateral y escalada de privilegios y a los equipos azules a encontrar formas de bloquear una escalada crítica y detener a un atacante.

La palabra clave en esa oración es “asistencia”. La salida de mapeo integral que generan es un resultado pasivo, ya que la información debe analizarse de manera precisa y oportuna y actuar en consecuencia para mapear de manera efectiva las posibles rutas de ataque y tomar medidas preventivas.

Aunque la información proporcionada por los recopiladores específicos de la nube arrojará luz sobre la configuración incorrecta en la administración de acceso privilegiado y las políticas defectuosas del administrador de acceso de identidad (IAM) y permitirá la acción correctiva preventiva, no detecta posibles capas secundarias de permisos que un atacante podría aprovechar para tallar un ruta de ataque.

Esto requiere capacidades analíticas adicionales capaces de realizar un análisis en profundidad, por ejemplo, de los activos contenedores y las relaciones pasivas relativas a los activos contenidos. Cymulate está desarrollando actualmente un conjunto de herramientas que pone en práctica un enfoque de descubrimiento más activo que realiza un análisis mucho más profundo.

Por ejemplo, si imaginamos una situación en la que el usuario privilegiado A tiene acceso al almacén de claves X, un recopilador basado en gráficos mapeará correctamente la relación entre el usuario A y el activo X.

En este caso, no existe una relación directa entre el usuario A y los secretos contenidos en el almacén de claves X. Según la clasificación anterior, si llamamos a los activos secretos Y(1 a norte), las relaciones descritas por el recopilador son:

  • El activo Y está contenido en el activo X
  • La dirección de la conexión entre el usuario A y el activo X es A ⇒ X.

Sin embargo, desde una perspectiva contradictoria, obtener acceso a la bóveda de claves tiene el potencial de obtener acceso a todos los activos accesibles a través de esos secretos. En otras palabras, el mapa de relaciones basado en gráficos no logra identificar las relaciones entre el usuario A y los activos Y(1 a norte). Esto requiere capacidades analíticas que permitan identificar las relaciones entre los activos contenidos dentro de otros activos y los activos externos al activo que los contiene.

En este caso, descubrir exactamente qué activos están potencialmente en riesgo por parte del usuario A requiere mapear todos los activos relacionados con los secretos almacenados en el almacén de claves X.

La amplia gama de capacidades de validación de seguridad continua de Cymulate unificadas en una plataforma de administración de postura de seguridad extendida (XSPM) ya es adoptada por los equipos rojos para automatizar, escalar y personalizar campañas y escenarios de ataque. Siempre buscando nuevas formas de ayudarlos a superar tales desafíos, Cymulate se compromete a enriquecer continuamente el conjunto de herramientas de la plataforma con capacidades adicionales.

Explorar Capacidades de XSPM libremente en su tiempo libre.

Nota: Este artículo fue escrito por Cymulate Laboratorios de investigación.



ttn-es-57