Hace unas semanas que Aqua Security, una compañía que proporciona tecnología de seguridad cloud nativa, lanzó 2023 Cloud Native Threat Report, que recoge las observaciones de los investigadores de la compañía en torno a tres áreas clave: cadena de suministro; postura de riesgo, que incluye vulnerabilidades y malas configuraciones; y protección en tiempo de ejecución. Uno de los hallazgos más significativos demuestra que los actores de amenazas están invirtiendo mucho en recursos para evitar la detección y establecer un punto de apoyo más fuerte en los sistemas comprometidos. Según los datos de Aqua Nautilus, en comparación con los datos del informe del año anterior ha habido un aumento del 1400 % en los ataques sin archivos o basados en la memoria, también llamados Fileless Attacks, que explotan el software, las aplicaciones y los protocolos existentes para realizar actividades maliciosas.
Aqua Nautilus, el equipo de investigadores de Aqua Security, recoge en el informe que los ataques contra la cadena de suministro de software crecieron más de un 300 % año tras año. Explican en el estudio que los sistemas de software basados en la nube son altamente interdependientes y constan de múltiples capas de componentes que interactúan entre sí. “Son las capas las que resultan difíciles de proteger, pero es la interdependencia lo que hace que los ataques de la cadena de suministro de software sean tan atractivos para los atacantes”, dicen, añadiendo que no solo ofrecen una puerta de entrada a datos confidenciales sino la posibilidad de moverse lateralmente a otros servicios e infraestructura de nube privada.
También la nube requiere una práctica sólida a la hora de detectar y reparar vulnerabilidades, así como localizar y corregir configuraciones incorrectas. Aseguran los expertos que si bien Log4Shell puede haber ganado los titulares más importantes, las 10 principales vulnerabilidades escaneadas en 2022 estaban relacionadas principalmente con la capacidad de realizar la ejecución remota de código (RCE), lo que refuerza la idea de que los atacantes buscan acceso inicial y ejecutar código malicioso en sistemas remotos.
La protección de los entornos de tiempo de ejecución requiere al menos un enfoque de supervisión que incluya el análisis de archivos maliciosos conocidos y comunicaciones de red, y luego bloquearlos y alertar cuando aparezcan. Sin embargo, esto sigue siendo insuficiente. Una mejor solución incluye la monitorización de indicadores o marcadores que también sugieran un comportamiento malicioso, por ejemplo, comportamientos como intentos no autorizados de acceder a datos confidenciales, intentos de ocultar procesos mientras se elevan los privilegios y la apertura de puertas traseras a direcciones IP desconocidas.
La mayor evidencia de los crecientes y exitosos esfuerzos de los actores de amenazas para evadir las soluciones sin agentes se encontró a principios de 2023. Los investigadores de Aqua Nautilus descubrieron HeadCrab, un malware sigiloso de última generación basado en Redis que comprometió a más de 1200 servidores. Destaca también el informe que la protección de las cargas de trabajo en entornos de tiempo de ejecución es fundamental para garantizar la seguridad y la integridad de los datos y las aplicaciones empresariales. Aquí es donde se ejecuta el código, y los actores de amenazas se dirigen cada vez más a estos entornos para robar datos o interrumpir las operaciones comerciales.
