La autopsia del caso SolarWinds aún no termina. Conforme avanza el proceso, muchas versiones han circulado para tratar de explicar un aspecto: ¿en dónde inició el desastre? Hasta el momento, la pregunta no tiene una respuesta definitiva y, quizá por eso, la especulación no deja de fluir.
A principios de febrero, medios estadounidenses señalaron que la plataforma Office 365 (la suite de productividad que Microsoft comercializa desde la nube) podría haber sido el punto de entrada para los atacantes de SolarWinds. La empresa de Redmond, Washington desestimó la información, calificándola de imprecisa y mera conjetura. Todo parece indicar que el factor Office 365 no es el centro de la investigación, sino una teoría más que se ha considerado en el análisis del incidente.
En todo caso, más allá de polémicas y especulaciones, esta versión que viajó por la prensa nos ofrece un buen pretexto para reflexionar. En la estrategia de ciberseguridad de una organización, las soluciones de nube nunca deben ocupar un segundo plano. Un detalle que no todos tienen claro.
Por lo general, los problemas inician cuando la organización asume que la integridad del servicio Cloud es responsabilidad de alguien más: la compañía que provee la plataforma o aplicación de nube. Por desgracia, en fallas de seguridad en ambientes Cloud, el 95% de los casos remite a errores del usuario y no a fallas del proveedor. Peor aún, los cibercriminales trabajan incansablemente para confundir al usuario (con un correo electrónico de phishing, por ejemplo) y generar el error fatal que les permita entrar a los sistemas corporativos desde la nube.
Y en ese sentido, vale la pena recordar que, tan solo en los primeros cuatro meses de 2020 (con la crisis sanitaria ya recorriendo el mundo y miles de empresas usando soluciones Cloud para proteger a sus empleados y mantener las operaciones de negocio), los ataques externos a servicios de nube aumentaron en 630%.
El caso de Solarwinds ha dejado como evidencia que uno de los objetivos principales del atacante fue escalar los privilegios a las claves SAML desde los servidores ADFS y obtener acceso a los recursos en la nube de una organización. En un modo más simple simple, el atacante se movió de la infraestructura on-premise (dentro de la organización) a los recursos de nube para obtener información.
Dos armas que pueden caer desde la nube
En sus ataques dirigidos a un despliegue de nube, los adversarios digitales no aspiran simplemente a interrumpir un servicio o dañar el funcionamiento de una aplicación. Son mucho más ambiciosos y peligrosos: saben que a través de la nube pueden conseguir dos elementos, credenciales de usuario y Directorio Activo (Active Directory; AD), que les permitirán organizar un ataque más severo y mucho más rentable.
Una credencial de usuario es la relación que existe entre una persona y los medios que le habilitan el acceso a ciertos recursos de la red (nombre de usuario, contraseña, llaves de acceso, certificados digitales, cookies de sesión, etc.). Si obtiene una credencial de usuario, un grupo criminal puede aprovecharla para moverse lateralmente en la infraestructura -sin ser detectando y con tiempo suficiente para ubicar los activos más valiosos de la empresa- e ingresar a los servicios tecnológicos que son vitales para la organización.
Al parecer, este riesgo aún no se entiende a plenitud: en uno de cada dos despliegues de nube, se pueden encontrar credenciales desprotegidas en algún lugar de la infraestructura; y el dato se escucha peor si se toma en cuenta que el uso de credenciales perdidas o robadas, junto a los ataques de fuerza bruta, es un factor que interviene en el 80% de las fugas de información.
Por otro lado, al ser la guía detallada y el centro de gestión de todos los recursos disponibles en una red, el Directorio Activo se ha convertido en un objetivo principal de los cibercriminales. En el AD, encontrarán toda la información que requieren para fijar su presencia, incrementar sus privilegios de acceso, moverse lateralmente, identificar datos y usuarios valiosos, etc. Es decir, en él encuentran todos los ingredientes que requiere un ciberataque de gran magnitud (como un ataque de ransomware).
Con el fin de facilitar la gestión y el aprovisionamiento de servicios, muchos proveedores de plataformas Cloud (como Amazon Web Service, Microsoft Azure o Google Cloud) permiten que la infraestructura de AD sea hospedada en la nube, e incluso brindan herramientas para protegerla. Sin embargo, este modelo de protección tiende a caer en una trampa terrible: no distinguir entre una consulta (query) de AD legítima y una que realiza un adversario que ya logró penetrar en la red –quien, quizás aprovechando una credencial robada, sólo está recopilando datos para diseñar e implementar un ataque.
A esto, habría que añadir otro detalle. En términos de resistencia ante agresiones o fallas, el AD no ostenta un récord envidiable: una mala gestión del Directorio Activo expone al 90% de las empresas a sufrir una fuga de información; hay herramientas de acceso público que ofrecen una fácil explotación de AD; y en escenarios de prueba, los intentos por penetrar en el Directorio Activo casi siempre son exitosos.
Superar a los adversarios en su juego: el engaño
Cuando logra abrirse camino en un despliegue Cloud, la apuesta del adversario siempre será por el engaño. Asumir una identidad digital que parece legítima, la cual le permite hacer consultas al AD (facilitándole, como se ha señalado, la preparación del ataque). Una treta que nadie en la empresa detecta –o que se descubre demasiado tarde.
Sin embargo, el engaño no tiene que caer siempre en el mismo lado, y esa es la oportunidad que ofrece la Tecnología de Engaño (Deception Technology; DT). En despliegues de nube, tal como ocurre en plataformas on-premise, DT es un recurso de ciberseguridad sumamente eficiente. A través de capacidades innovadoras, estas soluciones no sólo detectan rápidamente la presencia de adversarios (pueden identificar acciones sospechosas, que sugieren la presencia de criminales), al mismo tiempo, a través de distintos mecanismos de engaño, los alejan de los activos críticos de la empresa y terminan por confinarlos en un entorno donde serán deshabilitados. Todo este proceso, sin afectar la operación cotidiana de la infraestructura y obteniendo valiosa información sobre los hábitos, las herramientas y las tácticas de los cibercriminales.
Por ejemplo, en una plataforma de nube que hospeda datos de AD, una solución de Tecnología de Engaño lograría acciones como:
· Detectar una consulta de AD no autorizada. Como esto sugiere actividad maliciosa, los componentes reales del Directorio Activo son ocultados y las consultas son respondidas con información falsa, la cual dirige al adversario en una dirección que lo aleja de los activos críticos.
En el caso de una credencial disponible en la plataforma, la tecnología de engaño permite tomar medidas como:
· Identificar cuando una credencial, llaves SSH y tokens AWS se está utilizando en forma sospechosa; detectar y eliminar credenciales que se han abandonado en sistemas (y que podrían usarse maliciosamente); y por supuesto, engañar: crear credenciales de usuario falsas, las cuales funcionan como anzuelo para los adversarios, quienes al encontrarlas y usarlas, revelan su presencia y sus movimientos en la red –lo que facilita su rápida contención.
Adicionalmente permitiría:
· Proyectar señuelos nativos en la nube, como contenedores señuelos y cubos de S3 en AWS detectando eficientemente el reconocimiento y el movimiento lateral.
Con esta clase de funciones de DT, una plataforma de nube adquiere un perfil totalmente distinto en términos de ciberseguridad. Deja de ser un entorno esencialmente defensivo (que sólo reacciona a alarmas o incidentes) y asume una visión en la que buscar e inmovilizar adversarios –usando recursos de engaño– siempre será la mejor opción. Y dar ese paso es algo que vale la pena: entre “poner la trampa” y “caer en la trampa” hay un mundo de diferencia.
Juan Carlos Vázquez, Gerente para Latinoamérica de Attivo Networks.
