- El informe advierte que las credenciales a largo plazo todavía representan un riesgo de seguridad importante
- Las claves de acceso heredadas aumentan las vulnerabilidades en las plataformas en la nube
- La gestión automatizada de credenciales es fundamental para la seguridad en la nube
como Computación en la nube La adopción continúa aumentando y las organizaciones dependen cada vez más de plataformas como Amazonas servicios web (AWS), microsoft azur, y Google Sin embargo, esto significa que sus riesgos de seguridad también son cada vez más complejos.
El último estado de seguridad en la nube de Datadog para 2024 El informe revela un problema particularmente preocupante: el uso de credenciales de larga duración, que plantean importantes amenazas a la seguridad en todos los principales proveedores de nube.
A pesar de los avances en las herramientas y prácticas de seguridad en la nube, muchas organizaciones todavía utilizan credenciales a largo plazo, que no caducan automáticamente.
La difusión de credenciales duraderas
Las credenciales de larga data, especialmente aquellas que ya no se administran de manera eficaz, pueden ser un blanco fácil para los atacantes. Si se filtra o se ve comprometido, podría proporcionar acceso no autorizado a datos o sistemas confidenciales. Cuanto más tiempo permanezcan estas credenciales en su lugar, sin rotación ni supervisión, mayor será el riesgo de que se produzca una violación de la seguridad.
El informe de Datadog revela que casi la mitad de las organizaciones (46%) todavía tienen usuarios no administrados con credenciales a largo plazo. Estas credenciales son particularmente problemáticas porque a menudo están integradas en varios activos, como el código fuente, imágenes de contenedores y registros de compilación. Si estas credenciales no se administran adecuadamente, pueden filtrarse o exponerse fácilmente, proporcionando un punto de entrada para que los atacantes accedan a sistemas y datos críticos.
Casi dos tercios del 62 % de las cuentas de Google Cloud, el 60 % de los usuarios de AWS Identity and Access Management (IAM) y el 46 % de las aplicaciones Microsoft Entra ID tienen claves de acceso que tienen más de un año.
En respuesta a estos riesgos, los proveedores de la nube han dado grandes pasos para mejorar la seguridad. El informe de Datadog señala que la adopción de barreras de seguridad en la nube va en aumento. Estas barreras de seguridad son reglas o configuraciones automatizadas diseñadas para hacer cumplir las mejores prácticas de seguridad y evitar errores humanos.
Por ejemplo, el 79% de los depósitos de Amazon S3 ahora tienen habilitados bloques de acceso público a nivel de cuenta o específicos del depósito, en comparación con el 73% del año anterior. Sin embargo, aunque estas medidas proactivas son un paso en la dirección correcta, las credenciales a largo plazo siguen siendo un importante punto ciego en los esfuerzos de seguridad en la nube.
Además, añade el informe, existe claramente una gran cantidad de recursos en la nube con configuraciones demasiado permisivas.
Se descubrió que alrededor del 18 % de las instancias AWS EC2 y el 33 % de las máquinas virtuales de Google Cloud tenían permisos confidenciales que podrían permitir a un atacante comprometer el entorno. En los casos en que una carga de trabajo en la nube se ve comprometida, estos permisos confidenciales pueden aprovecharse para robar las credenciales asociadas, lo que permite a los atacantes acceder al entorno de la nube más amplio.
Además, existe el riesgo de integraciones de terceros, que son comunes en los entornos de nube modernos. Se encontró que más del 10% de las integraciones de terceros examinadas en el informe tenían permisos de nube riesgosos, lo que podría permitir al proveedor acceder a datos confidenciales o controlar toda su cuenta de AWS.
Además, el 2% de estos roles de terceros no exigen el uso de identificadores externos, lo que los hace vulnerables a un ataque de “adjunto confuso”, un escenario en el que un atacante engaña a un servicio para que utilice sus privilegios para realizar acciones no deseadas.
“Mis hallazgos Estado de la seguridad en la nube 2024 “Esto sugiere que no es realista esperar que las credenciales a largo plazo puedan gestionarse de forma segura”, afirmó Andrew Krug, jefe de defensa de seguridad de Datadog.
“Además de que las credenciales a largo plazo presentan un riesgo significativo, el informe encontró que la mayoría de los incidentes de seguridad en la nube son causados por credenciales comprometidas. Para protegerse, las empresas necesitan proteger sus identidades con medios modernos”. Autenticación “Mecanismos que aprovechan credenciales de corta duración y monitorean cambios en las API comúnmente utilizadas por los atacantes”, agregó Krug.