El advenimiento de las aplicaciones en la nube ha provocado cambios en el modelo Cyber Kill Chain, que fue diseñado para ayudar a mitigar los ataques más avanzados de la red. Por ello es que Netskope, compañía enfocada en la seguridad de la nube, se encuentra analizando la manera en que se explotan los servicios cloud dentro de cada etapa de esta cadena.
“Con algunos ejemplos notorios de campañas maliciosas que han utilizado la nube para evadir las tecnologías de seguridad tradicionales, el modelo Cyber Kill Chain ha acrecentado los temores de los cautelosos responsables de seguridad. Si no se protegen adecuadamente estos servicios, la superficie de ataque de una organización puede verse amplificada”, afirmó Paolo Passeri, Arquitecto de Soluciones Globales de Netskope.
“Asimismo, es vital no descuidar otras puertas de entrada como la web o el correo electrónico. En Netskope utilizamos el término “amenazas híbridas” para definir ataques que aprovechan este enfoque mixto para permanecer bajo el radar de las soluciones de seguridad tradicionales”, agregó.
La fase de reconocimiento puede albergar múltiples métodos para obtener información de una víctima, incluyendo la investigación de los elementos vulnerables de la infraestructura o de los seres humanos, como recursos cloud mal configurados o información confidencial compartida en servicios en la nube que, en apariencia, son inofensivos.
El ciberatacante crea la infraestructura necesaria para realizar su trabajo (páginas de phishing, puntos de distribución de malware…) y -si así lo estima- aloja estos recursos en servicios cloud, aprovechando su resistencia, disponibilidad, escalabilidad y facilidad para permitir la creación de recursos rápidamente.
Las páginas de phishing también pueden ser gestionadas desde la nube. Del mismo modo, los servicios cloud pueden ser utilizados como redireccionadores a sitios de distribución de malware utilizados para ataques dirigidos.
Tras la fase de entrega, el malware se instala en el sistema comprometido para después conectarse a la infraestructura de comando y control (Callback) del atacante. Con esta conexión, el atacante puede filtrar información, utilizar un “endpoint” para lanzar ataques DDoS o campañas de spam, o establecer una base de apoyo para profundizar en la organización víctima.
Por último, tiene lugar la persistencia. Tras acceder al servicio cloud, los atacantes pueden cambiar la configuración de los servicios críticos alojados en la nube, aumentar los privilegios para obtener un mayor acceso, robar datos y borrar sus rastros, y generar nuevas instancias con fines maliciosos, como el criptojacking.