28 de octubre de 2022
Por Thyaga Vasudevan - VP de Gestión de Productos, Skyhigh Security
Bautizada como "BlueBleed", una reciente brecha de Microsoft descubierta por el proveedor de inteligencia sobre amenazas SOCRadar arroja luz sobre los riesgos de los cubos de almacenamiento en la nube mal configurados y demuestra que las empresas no pueden confiar totalmente en que los proveedores de servicios en la nube (CSP) proporcionen y asuman la responsabilidad de garantizar la seguridad. Los errores de configuración siguen siendo una causa predominante de las brechas, según el Informe sobre investigaciones de brechas de datos 2022 de Verizon, que muestra que fueron la causa del 13% de las brechas del año pasado. Dado que los errores de configuración son el resultado de un error humano, debe asumirse que ningún CSP es totalmente seguro.
¿Qué ha pasado?
En su respuesta del 19 de octubre, el Centro de Respuesta de Seguridad de Microsoft (MSRC) dijo que se había producido un "error de configuración involuntario" que provocó el "posible acceso no autenticado" de datos de clientes, que según la organización contenían "nombres, direcciones de correo electrónico, contenido de correos electrónicos, nombres de empresas y números de teléfono y pueden haber incluido archivos adjuntos relacionados con negocios entre un cliente y Microsoft o un socio autorizado de Microsoft". El MSRC no proporcionó más detalles sobre el número de empresas afectadas y aparentemente restó importancia al incidente.
Según SOCRadar, en un seguimiento al día siguiente de la publicación original, la filtración afectó a seis grandes buckets en la nube que contenían datos sensibles pertenecientes a 150.000 empresas de 123 países. El mayor de esos buckets mal configurados contenía 2,4 TB de datos pertenecientes a 65.000 entidades de 111 países.
El 20 de octubre, el conocido investigador de ciberseguridad Kevin Beaumont informó de que el cubo de Microsoft había sido indexado y leído públicamente durante meses por servicios como Grayhat Warfare. Afirmó que la declaración oficial de MSRC demuestra que no tenía "ni idea de cómo funciona la ciberseguridad en el mundo real" y que su aparente fracaso a la hora de notificar a los reguladores y su negativa a decir a los clientes qué datos fueron sustraídos tiene el "sello distintivo de una gran chapuza de respuesta."
Un artículo del 21 de octubre de The Hacker News informa: "No hay pruebas de que los actores de amenazas accedieran indebidamente a la información antes de la revelación", pero señala a continuación que este tipo de filtraciones podrían aprovecharse con fines maliciosos.
Por qué es importante
Los datos filtrados podrían incluir cierta información sensible sobre la infraestructura y la configuración de red de los clientes y posibles clientes de Microsoft. Los piratas informáticos que buscan vulnerabilidades en cualquiera de las infraestructuras de las organizaciones afectadas posiblemente encontrarían estos datos valiosos y podrían utilizarlos para explotar sus redes.
Qué puede hacer al respecto
Empiece por reconocer que los CSP tienen el potencial de aumentar la superficie de ataque de su organización. Debe revisar cuidadosamente su Acuerdo de Nivel de Servicio (SLA) con su CSP para entender quién es responsable de qué y para aclarar las responsabilidades de cada parte. Esto suele esbozarse en un Modelo de Responsabilidad Compartida, un marco de seguridad y cumplimiento que desglosa las responsabilidades de seguridad para cada aspecto del entorno de la nube. Esto incluye el hardware, la infraestructura, los puntos finales, los datos, las configuraciones, los ajustes, el sistema operativo, los controles de red y los derechos de acceso. En la práctica, tanto el CSP como el cliente desempeñan un papel a la hora de garantizar la seguridad, pero hay determinados activos sobre los que una de las partes tiene el control directo y la responsabilidad total, ya que la otra parte no tendría visibilidad sobre ellos. Este modelo de seguridad compartida es complejo pero ofrece las ventajas de la eficacia, la protección reforzada y la experiencia.
Las tareas y funciones de seguridad variarán en función del modelo de prestación de servicios en la nube: Software como servicio (SaaS), Plataforma como servicio (PaaS) o Infraestructura como servicio (IaaS). Aunque los entornos IaaS y PaaS ofrecen a los clientes mayores posibilidades de elección y flexibilidad, también presentan mayores riesgos de seguridad si no se configuran adecuadamente.
Según Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report, el 99% de las configuraciones erróneas de IaaS pasan desapercibidas. Security Service Edge (SSE) ayuda a los profesionales de la seguridad a detectar las configuraciones de riesgo antes de que se conviertan en una amenaza en la producción. Al poner de relieve los hallazgos de seguridad antes de que se conviertan en incidentes de seguridad, SSE también puede ayudar a mejorar el cumplimiento de los marcos normativos y reducir la probabilidad de pérdida de datos, abuso o multas asociadas a controles de seguridad inadecuados.
El tiempo dirá qué será de la filtración de BlueBleed. Si no quiere arriesgarse a verse afectado por este tipo de filtraciones, la tecnología de Skyhigh Security Service Edge puede ayudarle. Sus capacidades únicas de CSPM consciente de los datos permiten a los clientes detectar configuraciones erróneas y ayudan a señalar aquellas áreas críticas de la infraestructura de la nube pública que contienen datos sensibles y que son más vulnerables a las fugas de datos.
Volver a Blogs