Hace veinte años, Amazon Web Services (AWS) lanzó su Servicio de Almacenamiento Simple (S3), seguido pocos meses después por la apertura de su servicio Elastic Compute Cloud (EC2) para pruebas beta públicas. Estos hitos dieron inicio a una nueva era del almacenamiento y la computación en la nube a demanda, transformando la manera en que las organizaciones gestionan su infraestructura de TI.
Hoy en día, es difícil encontrar empresas que no hayan «levantado y trasladado» al menos parte de sus cargas de trabajo a la nube o que no planeen hacerlo en un futuro cercano. Algunas organizaciones operan completamente en la nube, mientras que otras combinan cargas de trabajo en la nube, frecuentemente en configuraciones multicloud, con recursos locales que no serán retirados pronto.
Sin embargo, un problema recurrente entre estas organizaciones es la proliferación descontrolada de máquinas virtuales (VM), un fenómeno que requiere una atención urgente. Los proveedores de servicios en la nube facilitan la provisión de nuevas VMs de manera casi instantánea, pero el desmantelamiento de las mismas rara vez recibe la misma urgencia. Esto ha llevado a un incremento de cargas de trabajo que operan fuera de las medidas estándar de seguridad. Muchas de estas máquinas no reciben actualizaciones del sistema operativo y suelen estar desprotegidas y sin supervisión.
Solo alrededor del 23% de las organizaciones reportan tener una visión completa de su huella en la nube, lo que acentúa el problema del «espacio no controlado» de activos, incluyendo flotas de VMs. Situaciones como configuraciones incorrectas de almacenamiento y APIs expuestas son comunes y generan alarmas, mientras que el abuso de las VMs suele ocurrir de manera más sutil, en entornos que no activan las mismas alertas de seguridad.
Un informe reciente de la Cloud Security Alliance identificó como principales amenazas las configuraciones incorrectas y la falta de control de cambios, seguidas de debilidades en la gestión de identidad y acceso. Existe una disparidad significativa entre la cantidad de identidades asignadas a las VMs y aquellas asignadas a humanos, una brecha que continúa creciendo a medida que las organizaciones generan más recursos computacionales.
La realidad diaria revela que, tras la provisión de una VM para tareas de procesamiento de datos, esta puede recibir permisos amplios por razones de conveniencia. Una vez que el proyecto se finaliza, estas VMs a menudo quedan «abandonadas», creando un riesgo potencial. Un VM olvidada puede ser explotada por actores maliciosos para ganar acceso inicial a la red, pudiendo comunicarse con otras instancias internas y acceder a bases de datos o recursos que debería resguardar.
Ejemplos de ataques reales que involucran VMs no son difíciles de encontrar. En un caso, atacantes se movieron entre instancias de AWS EC2 utilizando el Protocolo de Escritorio Remoto (RDP), mientras que en otro, se documentó una campaña donde cuentas de Azure comprometidas se utilizaron para crear VMs de corta duración como infraestructura de ataque. En ambos casos, la falta de monitoreo adecuado permitió que las intrusiones pasaran desapercibidas.
Ante estos desafíos, es crucial que las organizaciones tomen medidas proactivas. La necesidad de auditar los permisos de las VMs, así como la implementación de herramientas de seguridad adecuadas, se vuelve imperativa. Si bien los equipos de TI y seguridad a menudo son pequeños y deben gestionar diversas responsabilidades, adoptar tecnologías que proporcionen visibilidad integral de las operaciones en la nube resulta esencial para prevenir amenazas.
En un entorno donde los riesgos pueden intensificarse rápidamente, las organizaciones deben asegurarse de que su seguridad pueda seguir de cerca el comportamiento de las VMs al igual que lo harían con los endpoints de sus empleados. Solo así podrán tener una visión completa y proteger adecuadamente sus datos en múltiples entornos.
Fuente: WeLiveSecurity by eSet.
