Fundamentos del movimiento lateral en Cloud

En el vasto y dinámico mundo de la ciberseguridad, el movimiento lateral se destaca como una técnica crucial que los atacantes emplean para navegar a través de redes y sistemas, buscando acceder a datos sensibles y expandir su huella dentro de un entorno comprometido. Este post se adentra en las técnicas de movimiento lateral, con un enfoque particular en cómo estas se manifiestan y explotan dentro de los entornos de nube, comparando sus peculiaridades frente a los escenarios tradicionales en entornos locales.

En los entornos de nube, el movimiento lateral no solo es posible, sino que presenta desafíos y oportunidades únicas tanto para los atacantes como para los defensores. Se puede lograr mediante el aprovechamiento de las APIs de la nube y el acceso a instancias de cómputo, donde el acceso a nivel de nube puede extenderse y potenciar el acceso a nivel de host o instancia.

Los atacantes a menudo utilizan diversas técnicas de movimiento lateral para acceder a datos sensibles dentro de la red de una organización, y muchas de las estrategias discutidas aquí podrían encontrar paralelismos en situaciones locales. Sin embargo, nuestro enfoque se centra en cómo estas técnicas se emplean específicamente en entornos de nube, con el objetivo de ayudar a los defensores a prepararse mejor y mejorar su postura de seguridad en la nube.

En entornos de nube, los atacantes operan en dos niveles: el host o instancia y la infraestructura de la nube. Esta estrategia les permite combinar de manera fluida técnicas tradicionales de movimiento lateral con métodos específicos de la nube.

Los proveedores de servicios en la nube ofrecen medidas como la segmentación de red y la gestión granular de IAM (Identity and Access Management) para limitar el movimiento lateral, junto con el registro centralizado para detectar este movimiento. Sin embargo, las APIs de la nube todavía brindan mecanismos adicionales que los atacantes podrían abusar, y las configuraciones incorrectas pueden abrir más oportunidades para comportamientos maliciosos.

Explorar el movimiento lateral en la nube en comparación con los entornos locales revela diferencias notables. Cada entorno presenta sus propios desafíos para los defensores. En los entornos de nube, las políticas de acceso excesivamente permisivas y la configuración incorrecta de los recursos pueden ampliar las oportunidades para que los actores de amenazas abusen de las características de la nube.

Estas oportunidades introducen un conjunto diferente de técnicas de movimiento lateral. Cuando se combinan con el poderoso acceso a APIs dentro de la nube, esto podría resultar en el acceso a instancias de cómputo que operan dentro del entorno.

En los servicios de nube, las APIs desempeñan un papel crucial en la comunicación, así como en la facilitación del movimiento lateral. Cuando los atacantes cuentan con los permisos de nube adecuados, típicamente de escritura, pueden interactuar directamente con los servicios de nube ejecutando llamadas a APIs. En tales casos, la barrera entre el acceso dentro de la nube y el acceso a instancias de cómputo puede no ser particularmente fuerte, lo que permite a los atacantes crear o modificar recursos en la nube, facilitando así el movimiento lateral de manera efectiva.

La escalabilidad de los entornos de nube – que permite la provisión de recursos bajo demanda – simplifica este proceso, ya que los atacantes pueden crear nuevas instancias de cómputo sin esfuerzo para expandir sus operaciones y tomar control de las existentes.