11 de julio de 2024
Por Rodman Ramezanian - Asesor de seguridad de la nube empresarial, Skyhigh Security
Es una historia conocida. Las credenciales de un empleado son robadas por un pirata informático que las utiliza para acceder y exfiltrar montones de datos que contienen información confidencial sobre millones de clientes. El hacker vende los datos en la web oscura, dañando la reputación de la empresa y la privacidad de los datos de sus clientes. Las víctimas nunca son indemnizadas.
La brecha en Ticketmaster, de la que se informó a principios de julio de 2024, seguía esta línea argumental común. Presuntamente perpetrada por el notorio sindicato de ciberdelincuentes conocido como "ShinyHunters", la brecha comprometió 1,3 terabytes de información personal y datos de tarjetas de crédito de unos 560 millones de clientes. La culpa recayó en el proveedor externo de aplicaciones de datos en la nube de Ticketmaster, Snowflake. Supuestamente, los piratas informáticos utilizaron malware para robar las credenciales de acceso de los empleados de Snowflake. Una vez que los atacantes obtuvieron acceso, crearon tokens de sesión con las credenciales robadas para exfiltrar importantes volúmenes de datos de clientes de los sistemas de Snowflake.
Fundamentos de seguridad 101: Cómo las precauciones básicas de seguridad podrían haber evitado esta brecha
Según el Informe 2024 de Verizon sobre filtraciones de datos, el 68% de las filtraciones se deben a errores humanos y un tercio a errores de configuración y cuestiones relacionadas. En el caso de la brecha de Ticketmaster, Snowflake negó que hubiera alguna vulnerabilidad o mala configuración en su plataforma o cualquier debilidad de seguridad y afirmó que la brecha se ejecutó a través de credenciales de clientes comprometidas. Pero el informe de Mandiant posterior al incidente demostró lo contrario, revelando que las cuentas vulneradas en este incidente no disponían de protecciones de autenticación multifactor (MFA), y algunas de las credenciales utilizadas en el hackeo habían sido comprometidas años antes. Incluso algo tan sencillo como cambiar las contraseñas con regularidad podría haber evitado esta brecha.
Este escenario familiar pone de relieve el hecho de que las organizaciones no sólo están dejando caer la pelota en las precauciones básicas de seguridad y el cultivo de una mentalidad consciente de la seguridad entre los empleados, sino que están descuidando la integración de la seguridad de las aplicaciones en la nube en sus estrategias generales de seguridad.
¿Deben las organizaciones esforzarse más? ¿O ha llegado el momento de adoptar un nuevo enfoque?
La realidad es que las organizaciones siguen luchando por conseguir que los empleados se preocupen por la seguridad. Por eso muchas organizaciones punteras están adoptando soluciones sin contraseña y adoptando arquitecturas de Confianza Cero para sortear el problema del error humano.
Al adoptar la Confianza Cero, las organizaciones pueden evitar que los piratas informáticos utilicen las credenciales, incluso si han sido robadas de algún modo. Las credenciales son las joyas de la corona de la seguridad digital, y simplemente supervisando la forma en que se están utilizando, se pueden evitar muchas infracciones.
Proteger las joyas de la corona con Confianza Cero
En una arquitectura de confianza cero, las tecnologías avanzadas permiten la autenticación continua y la comprobación de la postura mediante la supervisión del contexto, el estado y las actividades de los usuarios más allá del punto inicial de autenticación para distinguir entre lo que es normal y lo que es anómalo.
En una arquitectura de confianza cero, los equipos de seguridad pueden aplicar las políticas adecuadas para controlar el acceso a las aplicaciones privadas, la web y los recursos en la nube, de modo que cuando se detecte un comportamiento anómalo, el acceso se bloquee automáticamente. Las políticas pueden definirse por tipo de dispositivo (gestionado o no gestionado), evaluación de la postura del dispositivo y privilegios de acceso. La MFA y otras políticas de acceso contextuales dentro de la arquitectura de confianza cero también ayudan a detener la reutilización de credenciales robadas de aplicaciones en la nube.
Más allá de la autenticación, Zero Trust Network Access (ZTNA) protege los datos
Además de fortificar las credenciales de los usuarios frente al uso indebido por parte de actores malintencionados, una arquitectura de confianza cero ofrece una inspección y clasificación profunda de los datos mediante data loss prevention en línea (DLP) para evitar el uso inapropiado de datos sensibles. La ZTNA de Skyhigh Security , líder del sector, unifica la DLP y la protección frente a amenazas para proporcionar a los equipos de seguridad una mayor visibilidad y control.
A medida que colectivos de piratas informáticos como ShinyHunters continúan innovando y mejorando sus técnicas, las organizaciones deberían hacer lo mismo con su seguridad, y el enfoque de la arquitectura de confianza cero es un ganador probado. Por eso, lo más probable es que el 25% de las empresas de la lista Fortune 500 que utilizan la ZTNA de Skyhigh para proteger sus datos dondequiera que se almacenen, utilicen y compartan no aparezcan en los informes posteriores a los incidentes ni en los artículos que describen los detalles de las violaciones. No permita que su organización se convierta en la próxima historia conocida que se vuelva a contar.
Para saber más sobre cómo Skyhigh Security puede proteger a su organización, participe en nuestra demostración interactiva o consulte nuestro resumen de la solución. Lea nuestro Intelligence Digest más reciente para saber más sobre el pirateo de Ticketmaster.
Volver a Blogs