Cómo detener una cadena de ataque a la nube con Illumio CloudSecure
Más empresas están utilizando servicios en la nube que nunca, y está expandiendo la superficie de ataque a un ritmo alarmante. Hay muchas más oportunidades para que los atacantes entren en las redes y se muevan hasta que lleguen a sus activos críticos o instalen ransomware.
Pero las intrusiones en la nube pueden ser difíciles de detectar. Dado que los métodos modernos de cibercrimen no implementan malware, no hay un comportamiento anormal que llame la atención sobre ellos. Por lo general, utilizan puertos legítimos para moverse a través de la red hacia el destino.
Por eso es tan importante construir Zero Trust en la nube. Mueve el límite de confianza lo más cerca posible de los recursos críticos. En esta entrada de blog, camine a través de una verdadera cadena de ataque en la nube y aprenda cómo la Segmentación de Confianza Cero con Illumio CloudSecure puede ayudarle a detener las cadenas de ataque en la nube.
Ejemplo de la vida real: una cadena de ataque a la nube exitosa
La mayoría de las plataformas de seguridad de aplicaciones protegen la nube al encontrar y responder a las amenazas. Pero este método no es suficiente, muchos brechas de seguridad en la nube en los últimos años no fueron descubiertos por mucho tiempo. De hecho, el 47% de todas las brechas de datos en el último año se originaron en la nube, según una investigación de Vanson Bourne.
Es tan importante sobrevivir a las amenazas no detectadas como protegerse contra las que conocemos. Es necesario detener tanto las amenazas conocidas como las desconocidas.

¿Qué pasó? La cadena de ataque
Los atacantes utilizaron credenciales robadas de alto nivel para violar la red. La organización contaba con múltiples soluciones de seguridad, pero los atacantes crearon puertas traseras en la red para robar datos con éxito. Evitaron las herramientas de detección y no implementaron malware, dejando la brecha sin ser detectada durante meses.
Las herramientas de seguridad de la organización solo buscaban amenazas conocidas y comportamientos sospechosos. Dado que el comportamiento del atacante utilizó medios legítimos para acceder a la red, pudieron moverse fácilmente a través del entorno, o moverse lateralmente, para acceder a las aplicaciones.
La capa de red tenía cierto nivel de segmentación en su lugar utilizando grupos de seguridad, pero eran segmentos amplios. Una vez que los atacantes habían accedido a la aplicación inicial, les resultaba fácil trasladarse a otras aplicaciones.
¿Qué se pudo haber hecho? Detener el movimiento lateral
Habría sido mucho más difícil para los atacantes llegar a los recursos si no pudieran moverse entre aplicaciones. Limitando movimiento lateral habría protegido el entorno de la nube no solo de las brechas conocidas, sino también de las no detectadas y desconocidas.
Una arquitectura de seguridad exitosa necesita protegerse contra amenazas conocidas y desconocidas sin agregar complejidad operacional.
En el ejemplo anterior, solo los grupos de seguridad en los límites de la red en la nube estaban restringiendo el movimiento lateral. El problema con los grupos de seguridad en nubes privadas virtuales (VPC) o redes virtuales (VNets) es que son soluciones centradas en la red. Como muchos propietarios de aplicaciones no comprenden completamente las dependencias del tráfico entre sus aplicaciones, los grupos de seguridad a menudo se agregan a la red de manera muy amplia, o no lo hacen en absoluto. Esto permite que pase una amplia gama de tráfico, creando puertas abiertas por las que los atacantes pueden moverse fácilmente.
Confiando en herramientas tradicionales de seguridad de red no funciona en arquitecturas modernas de nube híbrida. Esto se debe a que los recursos giran constantemente hacia arriba y hacia abajo y se pueden mover entre hosts para un performance óptimo. El direccionamiento de red tradicional ya no es una forma confiable de identificar una aplicación en la nube.
Cómo la Segmentación de Confianza Cero aborda las cadenas de ataque en la nube
Es hora de separar la carga de trabajo en la nube y la seguridad de las aplicaciones de la seguridad centrada en la red. Tienen prioridades muy diferentes.
Segmentación de confianza cero (ZTS) actúa como el backstop a las cadenas de ataque en la nube. Utiliza controles de segmentación a nivel de aplicación sin depender de la segmentación tradicional centrada en la red.
La mayoría de los sistemas operativos modernos tienen puertos abiertos por defecto y en modo escucha, como Linux Secure Shell (SSH) y Protocolo de Escritorio Remoto (RDP) de Windows. Si los atacantes comprometen una carga de trabajo, pueden usar cualquiera de estos puertos para conectarse a un host vecino. Luego, pueden usarlos para obtener acceso a recursos críticos o entregar cargas útiles maliciosas.
Desde la perspectiva de los actores de amenazas, estos puertos abiertos son puertas desbloqueadas que son fáciles de atravesar a medida que se mueven por la red, buscando el objetivo deseado. ZTS detiene este acceso lateral innecesario entre aplicaciones. Esto significa que los atacantes quedan contenidos en su punto de entrada original y no pueden propagarse más en la red.
Cómo Illumio CloudSecure extiende ZTS a la multinúbe híbrida
Con Illumio CloudSecure, puede crear ZTS centrado en las aplicaciones a escala. Al centrarse en las necesidades de seguridad únicas de cada aplicación, CloudSecure reduce su superficie de ataque y detiene el movimiento lateral.
Estos son los tres pasos que CloudSecure toma para detener una cadena de ataque en la nube antes de que se extienda a través de sus aplicaciones.
1. Ver todo el tráfico en la nube y las dependencias de aplicaciones
No puedes hacer cumplir lo que no puedes ver. Por eso es crucial obtener visibilidad de extremo a extremo en todo el tráfico de aplicaciones en todo su entorno híbrido de múltiples nubes.
Como parte del Plataforma Illumio ZTS, CloudSecure mostrará todo el tráfico entre todas las cargas de trabajo para cualquier aplicación en su entorno de nube:

2. Definir el acceso con privilegios más ínimos entre aplicaciones
CloudSecure utiliza un modelo de políticas basado en etiquetas que asigna las etiquetas de nube existentes a las etiquetas multidimensionales de Illumio. Identifica las cargas de trabajo a lo largo de límites que tienen sentido para los propietarios de negocios y los propietarios de aplicaciones en lugar del direccionamiento centrado en la red. Estas etiquetas definen políticas en los hosts que pertenecen a las aplicaciones.
3. Implementar automáticamente políticas de seguridad en la nube
CloudSecure implementará estas políticas utilizando herramientas de seguridad nativas de la nube, como grupos de seguridad y grupos de seguridad de red (NSG).
Los equipos de seguridad no necesitan usar direcciones IP ni puertos para implementar políticas. CloudSecure coloca la política centrada en las aplicaciones en la sintaxis que los controles nativos de la nube pueden entender. Luego, descubre los controles nativos de la nube requeridos en los que necesita implementar esta política.

El uso de un modelo de políticas basado en etiquetas significa que cada recurso en la nube asociado con una aplicación tendrá la etiqueta correcta.
En el ejemplo de ataque a la nube anterior, si el sistema estuviera dividido en segmentos, habría hecho mucho más difícil para los atacantes pasar de una aplicación a otra. El ataque habría sido contenido a un pequeño grupo de recursos en lugar de extenderse rápidamente a todos ellos antes de ser detectado.
Comience su prueba gratuita de Illumino CloudSecure hoy. Contáctanos para obtener más información sobre cómo detener las brechas en su multinúbe híbrida con la plataforma Illumio ZTS.