La adopci\u00f3n masiva de la infraestructura en la nube est\u00e1 plenamente justificada por innumerables ventajas. Como resultado, hoy en d\u00eda, las aplicaciones comerciales, las cargas de trabajo y los datos m\u00e1s sensibles de las organizaciones est\u00e1n en la nube.<\/p>\n
Los piratas inform\u00e1ticos, buenos y malos, se han dado cuenta de esa tendencia y han desarrollado de manera efectiva sus t\u00e9cnicas de ataque para que coincidan con este nuevo y tentador panorama de objetivos. Con la alta reactividad y adaptabilidad de los actores de amenazas, se recomienda asumir que las organizaciones est\u00e1n siendo atacadas y que algunas cuentas de usuario o aplicaciones ya pueden haber sido comprometidas.<\/p>\n
Descubrir exactamente qu\u00e9 activos est\u00e1n en riesgo a trav\u00e9s de cuentas comprometidas o activos violados requiere mapear posibles rutas de ataque a trav\u00e9s de un mapa completo de todas las relaciones entre los activos. <\/p>\n
Hoy en d\u00eda, el mapeo de posibles rutas de ataque se realiza con herramientas de escaneo como AzureHound o AWSPX. Esas son herramientas basadas en gr\u00e1ficos que permiten la visualizaci\u00f3n de relaciones de activos y recursos dentro del proveedor de servicios en la nube relacionado.<\/p>\n
Al resolver la informaci\u00f3n de la pol\u00edtica, estos recopiladores determinan c\u00f3mo las rutas de acceso espec\u00edficas afectan los recursos espec\u00edficos y c\u00f3mo se puede usar la combinaci\u00f3n de estas rutas de acceso para crear rutas de ataque.<\/p>\n
Estos recopiladores basados \u200b\u200ben gr\u00e1ficos muestran resultados topol\u00f3gicos que mapean todas las entidades alojadas en la nube en el entorno y las relaciones entre ellas.<\/p>\n
Los v\u00ednculos entre cada entidad establecidos en el gr\u00e1fico resultante se analizan en funci\u00f3n de las propiedades del activo para extraer la naturaleza exacta de la relaci\u00f3n y la interacci\u00f3n l\u00f3gica entre activos en funci\u00f3n de: <\/p>\n
- \n
- La direcci\u00f3n de la relaci\u00f3n: es la direcci\u00f3n de conexi\u00f3n del activo X al activo Y o al rev\u00e9s.<\/li>\n
- El tipo de relaci\u00f3n es activo X:<\/li>\n
- \n
- Contenido por activo Y<\/li>\n
- Puede acceder al activo Y<\/li>\n
- Puede actuar sobre el activo Y<\/li>\n
- \u2026<\/li>\n<\/ul>\n<\/ul>\n
El objetivo de la informaci\u00f3n proporcionada es ayudar a los equipos rojos a identificar posibles rutas de ataque de movimiento lateral y escalada de privilegios y a los equipos azules a encontrar formas de bloquear una escalada cr\u00edtica y detener a un atacante.<\/p>\n
La palabra clave en esa oraci\u00f3n es “asistencia”. La salida de mapeo integral que generan es un resultado pasivo, ya que la informaci\u00f3n debe analizarse de manera precisa y oportuna y actuar en consecuencia para mapear de manera efectiva las posibles rutas de ataque y tomar medidas preventivas.<\/p>\n
Aunque la informaci\u00f3n proporcionada por los recopiladores espec\u00edficos de la nube arrojar\u00e1 luz sobre la configuraci\u00f3n incorrecta en la administraci\u00f3n de acceso privilegiado y las pol\u00edticas defectuosas del administrador de acceso de identidad (IAM) y permitir\u00e1 la acci\u00f3n correctiva preventiva, no detecta posibles capas secundarias de permisos que un atacante podr\u00eda aprovechar para tallar un ruta de ataque.<\/p>\n
Esto requiere capacidades anal\u00edticas adicionales capaces de realizar un an\u00e1lisis en profundidad, por ejemplo, de los activos contenedores y las relaciones pasivas relativas a los activos contenidos. Cymulate est\u00e1 desarrollando actualmente un conjunto de herramientas que pone en pr\u00e1ctica un enfoque de descubrimiento m\u00e1s activo que realiza un an\u00e1lisis mucho m\u00e1s profundo. <\/p>\n
Por ejemplo, si imaginamos una situaci\u00f3n en la que el usuario privilegiado A tiene acceso al almac\u00e9n de claves X, un recopilador basado en gr\u00e1ficos mapear\u00e1 correctamente la relaci\u00f3n entre el usuario A y el activo X.<\/p>\n
En este caso, no existe una relaci\u00f3n directa entre el usuario A y los secretos contenidos en el almac\u00e9n de claves X. Seg\u00fan la clasificaci\u00f3n anterior, si llamamos a los activos secretos Y(1 a norte<\/em>), las relaciones descritas por el recopilador son:<\/p>\n
- \n
- El activo Y est\u00e1 contenido en el activo X<\/li>\n
- La direcci\u00f3n de la conexi\u00f3n entre el usuario A y el activo X es A \u21d2 X.<\/li>\n<\/ul>\n
Sin embargo, desde una perspectiva contradictoria, obtener acceso a la b\u00f3veda de claves tiene el potencial de obtener acceso a todos los activos accesibles a trav\u00e9s de esos secretos. En otras palabras, el mapa de relaciones basado en gr\u00e1ficos no logra identificar las relaciones entre el usuario A y los activos Y(1 a norte<\/em>). Esto requiere capacidades anal\u00edticas que permitan identificar las relaciones entre los activos contenidos dentro de otros activos y los activos externos al activo que los contiene.<\/p>\n
En este caso, descubrir exactamente qu\u00e9 activos est\u00e1n potencialmente en riesgo por parte del usuario A requiere mapear todos los activos relacionados con los secretos almacenados en el almac\u00e9n de claves X.<\/p>\n
La amplia gama de capacidades de validaci\u00f3n de seguridad continua de Cymulate unificadas en una plataforma de administraci\u00f3n de postura de seguridad extendida (XSPM) ya es adoptada por los equipos rojos para automatizar, escalar y personalizar campa\u00f1as y escenarios de ataque. Siempre buscando nuevas formas de ayudarlos a superar tales desaf\u00edos, Cymulate se compromete a enriquecer continuamente el conjunto de herramientas de la plataforma con capacidades adicionales.<\/p>\n
Explorar Capacidades de XSPM<\/a> libremente en su tiempo libre.<\/p>\n
Nota: Este art\u00edculo fue escrito por <\/em>Cymulate<\/em><\/a> Laboratorios de investigaci\u00f3n.<\/em><\/p>\n
<\/p>\n<\/div>\n