12 Amenazas de Seguridad en la nube ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 1 © 2017 Cloud Security Alliance - Todos los derechos reservados Todos los derechos reservados. Puede descargar, almacenar, mostrar en su computadora, ver, imprimir y vincular a The Treacherous 12 - Las principales amenazas de Cloud Computing en 2016 en https://cloudsecurityalliance.org/download/the-treacherous-twelvecloud-computing-top-amenazas-en-2016 / , sujeto a lo siguiente: (a) el Informe puede usarse únicamente para su uso personal, informativo, no comercial; (b) el Informe no puede modificarse ni alterarse de ninguna manera; (c) el El informe no puede ser redistribuido; y (d) la marca registrada, los derechos de autor u otros avisos no pueden eliminarse. Puedes citar partes del Informe según lo permitido por las disposiciones de Uso Justo de la Ley de Derechos de Autor de los Estados Unidos, siempre que atribuye las porciones a The Treacherous 12 - Cloud Computing Top Threats en 2016. La ubicación permanente y oficial para la investigación de amenazas principales de Cloud Security Alliance es https://cloudsecurityalliance.org/group/top-threats/ Expresiones de gratitud................................................. .................................................. .............................................. 5 Resumen Ejecutivo................................................ .................................................. ............................................. 6 Metodología................................................. .................................................. .................................................. ........ 8 1) Violaciones de datos........................................... 9 2) Gestión insuficiente de identidad, credenciales y acceso ........................ 12 3) Interfaces inseguras y API ............................................................ 15 4) Vulnerabilidades del sistema ......................................... ........................ 17 5) Secuestro de cuenta ..................................................................... 19 6) Insiders maliciosos............. ................................. 21 7) Amenazas persistentes avanzadas........................................... .............. 23 8) Pérdida de datos..................................................................................... 25 9) Diligencia debida insuficiente ............................................... .................. 27 10. Abuso y uso nefasto de los servicios en la nube......................................... 30 11. Denegación de servicio ........................................................................... 32 12. Vulnerabilidades tecnológicas compartidas ........................................................ .... 34 Contenido Expresiones de gratitud.............................................................. 37 Resumen Ejecutivo................................................ ..................................................... 38 . Mal manejo de la caja de enlaces de invitación - Violaciones de datos...................... 39 Incumplimiento de Yahoo - Violaciones de datos........................................ 40 Falla de LinkedIn para saltear las contraseñas al hacer hash - Gestión de acceso de credenciales de identidad insuficiente............................................. ................. 41 Abuso de Instagram de recuperación de cuenta - Gestión de acceso de credenciales de identidad insuficiente............................................. ................ 42 Fuga de información de votantes mexicanos de MongoDB - Gestión de acceso de credenciales de identidad insuficiente ............................................. ................. 43 MongoDB sin protección, atacado por ransomware - Gestión de acceso de credenciales de identidad insuficiente ............................................. ................ 44 Aplicación móvil insegura Moonpig - Interfaz insegura y API ................ 45 Dirty Cow Linux vulnerabilidad de escalada de privilegios - Vulnerabilidades del sistema..................... 46 Implementación insegura de OAuth: Secuestro de cuenta ............................... 47 Ex empleados de Zynga alegan robo de datos - Insiders maliciosos........................ 48 Edición 2017: Perspectivas de la industria Página 5 ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 44 Robo de información de clientes de T-Mobile Insiders maliciosos ................................................ .................................................. ............................. 49 NetTraveler avanzó amenazas persistentes - Amenazas persistentes avanzadas (APT) ............................................ ................................................ 50 Virlock ransomware Pérdida de datos................................................ .................................................. .............................................. 51 Incumplimiento de Yahoo Diligencia debida insuficiente ............................................... .................................................. ............. 52 Malware que utiliza servicios en la nube para filtrar datos y evitar la detección. Abuso y uso nefasto de los servicios en la nube ........................................... ................................. 53 El ransomware Zepto se extendió y se alojó en servicios de almacenamiento en la nube: Abuso y uso nefasto de los servicios en la nube ........................................... ................................. 54 CloudSquirrel malware hosting comando y control (C&C) en Dropbox Abuso y uso nefasto de los servicios en la nube ........................................... ................................. 55 CloudFanta Malware usando almacenamiento en la nube para la entrega de malware Abuso y uso nefasto de los servicios en la nube ........................................... ................................. 56 Ataque Dyn DDoS Negación de servicio............................................... .................................................. ................................ 57 Australian Bureau of Statistics denegación de servicio Negación de servicio............................................... .................................................. ................................ 58 Cloudflare / Cloudbleed vulnerabilidad de desbordamiento del búfer Vulnerabilidades tecnológicas compartidas ............................................... ................................................ 59 Página 6 ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 55 Copresidentes Jon-Michael C. Brook Scott Field Dave Shackleford Colaboradores Jon-Michael Brook Scott Field Dave Shackleford Vic Hargrave Laurie Jameson Michael Roza Personal global de CSA Victor Chin Stephen Lumpe (Diseño) Capítulos CSA Capítulo CSA Greater Seattle Capítulo CSA Tailandia Expresiones de gratitud Página 7 ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 66 Resumen Ejecutivo A un ritmo sin precedentes, la computación en la nube ha transformado simultáneamente las empresas y el gobierno, y creó nuevos desafíos de seguridad. El desarrollo del modelo de servicio en la nube brinda apoyo empresarial tecnología más eficiente que nunca. El cambio del servidor al pensamiento basado en el servicio está transformando el forma en que los departamentos de tecnología piensan, diseñan y ofrecen tecnología y aplicaciones informáticas. Sin embargo, estos Los avances han creado nuevas vulnerabilidades de seguridad, así como amplificar las vulnerabilidades existentes, incluida la seguridad problemas cuyo impacto total finalmente se está entendiendo. Entre los riesgos de seguridad más importantes asociados con la computación en la nube es la tendencia a eludir los departamentos de tecnología de la información (TI) y los oficiales de información. Si bien el cambio a las tecnologías en la nube exclusivamente puede proporcionar ganancias de costo y eficiencia, hacerlo requiere que Se tienen en cuenta las políticas de seguridad de nivel empresarial, los procesos y las mejores prácticas. En ausencia de estos estándares, las empresas son vulnerables a las brechas de seguridad que pueden borrar cualquier ganancia obtenida por el cambio a la nube tecnología. Al ver tanto la promesa de la computación en la nube como los riesgos asociados con ella, Cloud Security Alliance (CSA) tiene creó estándares para la seguridad de la nube en toda la industria. En los últimos años, CSA lanzó la "Guía de seguridad para críticos Áreas en Cloud Computing ”y la“ Guía de implementación de seguridad como servicio ”. Estos documentos tienen convertirse rápidamente en el catálogo estándar de la industria de mejores prácticas para asegurar la computación en la nube, de manera integral abordar esto dentro de los trece dominios de Orientación CSA y diez categorías de servicio asociadas con el Serie de Guías de implementación de seguridad como servicio (SecaaS). Muchas empresas, organizaciones y gobiernos. han incorporado esta guía en sus estrategias de nube. Similar a los artefactos de investigación mencionados anteriormente, “The Treacherous 12 - Cloud Computing Top Threats in 2016 ”juega un papel crucial en el ecosistema de investigación CSA. El propósito del informe es proporcionar organizaciones con una comprensión actualizada e informada por expertos de las inquietudes de seguridad en la nube con el fin de crear riesgos informados decisiones de gestión sobre estrategias de adopción de la nube. El informe refleja el consenso actual entre expertos en seguridad de la comunidad CSA sobre los problemas de seguridad más importantes en la nube. Si bien existen muchos problemas de seguridad en la nube, este informe se centra en 12 específicamente relacionados con lo compartido, naturaleza a pedido de la computación en la nube. Para identificar las principales preocupaciones, CSA realizó una encuesta a expertos de la industria para compilar opiniones profesionales sobre los mayores problemas de seguridad dentro de la computación en la nube. Las principales amenazas trabajando El grupo utilizó estos resultados de la encuesta junto con su experiencia para elaborar el informe final de 2016. En esta edición más reciente del informe, los expertos identificaron los siguientes 12 problemas críticos para la seguridad de la nube (clasificados en orden de gravedad por resultados de la encuesta): 1. Violaciones de datos 2. Identidad débil, credenciales y gestión de acceso 3. API inseguras 4. Vulnerabilidades del sistema y la aplicación 5. Secuestro de cuenta 6. Insiders maliciosos 7. Amenazas persistentes avanzadas (APT) 8. Pérdida de datos Página 8 ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 77 9. Diligencia debida insuficiente 10. Abuso y uso nefasto de los servicios en la nube 11. Denegación de servicio 12. Vulnerabilidades tecnológicas compartidas La versión de 2016 Top Threats refleja las ramificaciones cambiantes de las malas decisiones de computación en la nube a través de los rangos gerenciales, en lugar de ser un problema de TI, ahora es un problema de la sala de juntas. Las razones pueden estar en maduración de la nube, pero lo más importante, decisiones estratégicas más altas por parte de los ejecutivos en la adopción de la nube. El 2013 la edición destacó a los desarrolladores y departamentos de TI que implementaron sus propios proyectos de TI de autoservicio Shadow, y el omitiendo los requisitos de seguridad organizacional. En 2016, la adopción de la nube puede estar efectivamente alineada con el estrategias ejecutivas para maximizar el valor para los accionistas. La naturaleza siempre activa de Cloud Computing afecta los factores eso puede sesgar las percepciones externas y, a su vez, las valoraciones de la empresa. Factores de arquitectura / diseño de mayor alcance de identidad, credenciales y gestión de acceso, API inseguras y vulnerabilidades de sistemas y aplicaciones aumentan en el encuesta, mientras que la pérdida de datos y el secuestro de cuentas individuales disminuyeron en comparación. Con descripciones y análisis de Treacherous 12, este informe sirve como una guía actualizada que ayudará 1 El modelo de amenaza STRIDE. https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx 2 Descripción general del Marco de gestión de riesgos (RMF) del NIST.http://csrc.nist.gov/groups/SMA/fisma/framework.html Hemos actualizado el documento con ejemplos y anécdotas recientes a partir de 2017. Encuentre más detalles a continuación. Página 9 ALIANZA DE SEGURIDAD EN LA NUBE Los 12 traicioneros: principales amenazas para la computación en la nube + perspectivas de la industria © 2017, Cloud Security Alliance. Todos los derechos reservados. 8 Los usuarios y proveedores de la nube toman decisiones informadas sobre la mitigación de riesgos dentro de una estrategia de nube. Esta amenaza el documento de investigación debe utilizarse junto con las guías de mejores prácticas, "Orientación de seguridad para Áreas críticas en Cloud Computing V.3 "y" Guía de implementación de seguridad como servicio ". Un análisis de amenazas fue también se realizó con el Modelo de amenaza STRIDE [1] y el grupo de trabajo recomienda la Gestión de riesgos NIST Marco [2] sobre orientación sobre cómo gestionar el riesgo de la tecnología de la información. Juntos, estos documentos ofrecerán orientación valiosa durante la formación de estrategias de seguridad en la nube completas y apropiadas. Metodología Al crear The Treacherous 12 - Top Computing Cloud Threats en 2016, el CSA Top Threats Working Group realizó investigaciones en dos etapas principales. Ambas etapas utilizaron encuestas y cuestionarios como instrumentos de estudio. En la primera etapa de la investigación, nuestro objetivo era crear una lista corta de problemas de seguridad en la nube. El grupo comenzó primero con una lista de 20 problemas de seguridad, actualizando los ocho problemas del año pasado y agregando 12 nuevos problemas. Presentamos los 20 preocupaciones a través de una serie de consultas pidiendo a los miembros del grupo de trabajo que indiquen la importancia de cada preocupación a su organización. Esta etapa de la investigación también brindó la oportunidad a los encuestados de sugerir otros preocupaciones Después de considerar todos los resultados de la encuesta e información adicional, el grupo de trabajo identificó Las 13 preocupaciones más importantes de seguridad en la nube. En la segunda etapa de la investigación, el objetivo principal del grupo era clasificar la seguridad en la nube anteriormente preseleccionada preocupaciones El grupo quería que el estudio capturara lo que la gente pensaba que era la seguridad en la nube más relevante preocupaciones; Se eligió una escala Likert de 4 puntos como instrumento de investigación. Una escala Likert es una medida cuantitativa popular método de investigación en encuestas y se utiliza para representar las actitudes de las personas sobre un tema. La escala es: 1 (irrelevante), 2 (Algo relevante), 3 (Relevante) y 4 (Muy relevante). Cada problema de seguridad fue calificado como 1, 2, 3 o 4 y asignado puntajes correspondientes. Por ejemplo, un problema de seguridad calificado como Irrelevante recibió un punto, un problema de seguridad calificado como algo relevante se le dieron dos puntos, y así sucesivamente. Se promediaron los puntos para cada categoría, y Las preocupaciones de seguridad se clasificaron según su media. El grupo de trabajo abandonó la seguridad preocupación que ocupó el último lugar, dejando los últimos 12. El grupo de trabajo también analizó las preocupaciones de seguridad utilizando el modelo de amenaza STRIDE, que fue desarrollado por Microsoft para evaluar las amenazas de seguridad de la información. Específicamente, las preocupaciones de seguridad discutidas en este documento son evaluado para determinar si pertenecen a alguna de las siguientes categorías de amenazas: • Identidad de suplantación (S) • Manipulación de datos (T) • Repudio (R) • Divulgación de información (I) • Denegación de servicio (D) • Elevación de privilegios (E) 1. Violaciones de datos En la encuesta, un total de 271 personas habían respondido al estudio. Acerca de la mitad eran de los Estados Unidos (48.95%) con el siguiente número más alto de encuestados de Australia (5.02%). De los encuestados que categorizaron sus organizaciones, 44.65% se reportaron como parte de la industria tecnológica; 15% se reportaron como parte de los servicios profesionales industria; y 9.30% se reportaron como parte del público sector. El resto estuvo representado por la educación, las finanzas, salud y otros sectores. De los encuestados que respondieron preguntas demográficas, 87.33% se identificaron como Especialistas en Seguridad, 12.22% como Especialista en Software y 9.95% como Especialista en Redes seguido por otras categorías 1.1 Descripción Una violación de datos es un incidente en el que es sensible, protegido o confidencial la información es divulgada, vista, robada o utilizada por un individuo que es no autorizado para hacerlo. Una violación de datos puede ser el objetivo principal de un ataque dirigido o simplemente puede ser el resultado de un error humano, aplicación vulnerabilidades o malas prácticas de seguridad. Una violación de datos puede involucrar cualquier tipo de información que no estaba destinada a divulgación pública, que incluye, pero no limitado a, información personal de salud, información financiera, información de identificación personal (PII), secretos comerciales e intelectuales propiedad. Los datos basados en la nube de una organización pueden tener valor para diferentes partes por diferentes razones. Por ejemplo, organizado El delito a menudo busca información financiera, de salud y personal para llevar a cabo una variedad de actividades fraudulentas. Competidores y los extranjeros pueden estar muy interesados en información de propiedad, propiedad intelectual y secretos comerciales. Es posible que los activistas deseen exponer información que pueda causar daños o ergüenza. Obtención de información privilegiada no autorizada Los datos dentro de la nube son una preocupación importante para las organizaciones. El riesgo de violación de datos no es exclusivo de la computación en la nube, pero se clasifica constantemente como una de las principales preocupaciones para los clientes de la nube. Un entorno de nube está sujeto a las mismas amenazas que una red corporativa tradicional, así como a nuevas vías de ataque. a través de recursos compartidos, personal del proveedor de la nube y sus dispositivos y socios externos del proveedor de la nube. Los proveedores de la nube son altamente accesibles y la gran cantidad de datos que alojan los convierte en un objetivo atractivo. 1.2 Impactos comerciales Aunque casi cualquier violación de datos puede ser problemática, la sensibilidad de los datos generalmente determina el alcance de dañar. En muchas partes del mundo, las leyes y reglamentos obligan a las organizaciones a ejercer ciertos estándares de atención para asegúrese de que la información confidencial esté protegida contra el uso no autorizado. Cuando se produce una violación de datos, las empresas pueden incurrir en grandes multas y también puede estar sujeto a demandas civiles y, en algunos casos, cargos penales. Una empresa también acumula costos relacionados con la investigación de una violación y la notificación a los clientes afectados. Algunos Las empresas contratan servicios legales y de consultoría profesional para ayudarles a gestionar la respuesta a la infracción. Es También es habitual que una empresa que sufre una violación de datos adquiera servicios de monitoreo de crédito para consumidores cuyos la información fue robada para alertarlos en caso de uso fraudulento. Impactos indirectos, como daños a la reputación de una marca y la pérdida resultante de negocios son mucho más difíciles de calcular. Medidas como la tasa a la que los clientes se van, y cualquier cambio en el costo de adquisición del usuario puede usarse para estimar esto. Los proveedores de la nube a menudo tienen buena seguridad para los aspectos de los que se responsabilizan pero, en última instancia, los clientes responsables de proteger sus datos en la nube. La mejor protección contra la violación de datos es una seguridad efectiva programa. Dos medidas de seguridad importantes que pueden ayudar a las empresas a mantenerse seguras en la nube son multifactoriales autenticación y encriptación. 1.3 Anécdotas y ejemplos A mediados de 2015, a BitDefender, una empresa antivirus, le robaron un número no revelado de nombres de usuario y contraseñas de clientes debido a una vulnerabilidad de seguridad en su aplicación de nube pública alojada en AWS. El hacker responsable exigió un rescate de $ 15,000. La violación de más de 80 millones de registros de clientes de Anthem en 2015 comenzó con credenciales robadas en la empresa red. Se utilizó un servicio en la nube de terceros para transferir el enorme almacén de datos de la red de la compañía a nube pública donde los piratas informáticos podrían descargarla. El proveedor británico de telecomunicaciones TalkTalk reportó múltiples incidentes de seguridad en 2014 y 2015, que resultaron en el robo de información personal de cuatro millones de clientes. Las infracciones fueron seguidas por una serie de llamadas fraudulentas que intentaban extraer información bancaria de los clientes de TalkTalk. TalkTalk fue ampliamente criticado por su falla en el cifrado de clientes datos. 1.4 CCM v3.0.1 ID de control AIS-04: Seguridad de aplicaciones e interfaces: seguridad / integridad de datos CCC-02: Control de cambios y gestión de la configuración - Desarrollo subcontratado DSI-02: Seguridad de datos y gestión del ciclo de vida de la información - Inventario de datos / flujos DSI-05: Seguridad de datos y gestión del ciclo de vida de la información - Fuga de información DSI-06: Seguridad de datos y gestión del ciclo de vida de la información - Datos no relacionados con la producción DSI-08: Seguridad de datos y gestión del ciclo de vida de la información: eliminación segura EKM-02: Cifrado y gestión de claves - Generación de claves EKM-03: Cifrado y gestión de claves: protección de datos confidenciales EKM-04: Cifrado y gestión de claves: almacenamiento y acceso GRM-02: Gobierno y gestión de riesgos - Evaluaciones de riesgo de enfoque de datos GRM-10: Gobierno y gestión de riesgos - Evaluaciones de riesgos HRS-02: Recursos humanos - Análisis de antecedentes HRS-06: Recursos humanos - Gestión de dispositivos móviles IAM-02: Gestión de identidades y accesos - Ciclo de vida de credenciales / Gestión de aprovisionamiento IAM-04: Gestión de identidad y acceso - Políticas y procedimientos IAM-05: Gestión de identidad y acceso - Segregación de funciones IAM-07: Gestión de identidad y acceso - Acceso de terceros IAM-09: Gestión de identidad y acceso - Autorización de acceso de usuario IAM-12: Gestión de identidad y acceso - Credenciales de ID de usuario IVS-08: Infraestructura y seguridad de virtualización - Entornos de producción / no producción IVS-09: Infraestructura y seguridad de virtualización - Segmentación IVS-11: Infraestructura y seguridad de virtualización - Endurecimiento del hipervisor SEF-03: Gestión de incidentes de seguridad, E-Discovery y análisis forense en la nube - Informe de incidentes STA-06: Gestión de la cadena de suministro, transparencia y responsabilidad: evaluación de terceros 1.5 enlaces 1) El impacto de una violación de datos se puede minimizar a través del cifrado https://securityintelligence.com/the-impact-of-a-data-breach-can-be-minimized-through-encryption/ 2) Dropbox y Box filtran archivos en seguridad a través de la pesadilla de la oscuridad http://www.techrepublic.com/article/dropbox-and-box-leak-files-in-security-through-obscuritynightmare/ 3) La violación de Anthem y la ubicuidad de las credenciales comprometidas https://blog.cloudsecurityalliance.org/2015/02/09/not-alone-92-companies-share-anthems-vulnerability/ 4) Contraseñas robadas utilizadas en la mayoría de las violaciones de datos http://www.darkreading.com/stolen-passwords-used-in-most-data-breaches/d/d-id/1204615 5) Firma antivirus BitDefender admite incumplimiento, reclamaciones de piratas informáticos Las contraseñas robadas no están cifradas http://www.forbes.com/sites/thomasbrewster/2015/07/31/bitdefender-hacked/ 6) TalkTalk criticado por mala seguridad y manejo de ataque de pirateo http://www.theguardian.com/technology/2015/oct/23/talktalk-criticised-for-poor-security-and-handlingde ataque de pirateo 2. Identidad Insuficiente, credencial y gestión de acceso 2.1 Descripción Las violaciones de datos y la habilitación de ataques pueden ocurrir debido a la falta de sistemas de administración de acceso de identidad escalable, falla al usar multifactor autenticación, uso de contraseña débil y falta de automatización automatizada continua rotación de claves criptográficas, contraseñas y certificados. Las credenciales y las claves criptográficas no deben incrustarse en la fuente código o distribuido en repositorios públicos como GitHub, porque Existe una posibilidad significativa de descubrimiento y mal uso. Las llaves necesitan ser está adecuadamente protegida y una infraestructura de clave pública (PKI) bien asegurada necesario para garantizar que se realicen actividades de gestión de claves. Los sistemas de identidad deben escalar para manejar la gestión del ciclo de vida de millones de usuarios, así como los CSP. Los sistemas de gestión de identidad deben soportar retiro inmediato del acceso a los recursos cuando el personal se producen cambios, como la terminación del trabajo o el cambio de roles. Los sistemas de identidad están cada vez más interconectados, y federar identidad con un proveedor de la nube (por ejemplo, aserciones SAML) es cada vez más frecuente para aliviar la carga del mantenimiento del usuario. Las organizaciones que planean federar la identidad con un proveedor de la nube necesitan para comprender la seguridad en torno a la solución de identidad del proveedor de la nube, incluyendo procesos, infraestructura, segmentación entre clientes (en el caso de una solución de identidad compartida) e implementada por la nube proveedor. Se requieren sistemas de autenticación multifactor - tarjeta inteligente, OTP y autenticación de teléfono, por ejemplo - para usuarios y operadores de un servicio en la nube. Esta forma de autenticación ayuda a abordar el robo de contraseñas, donde es robado las contraseñas permiten el acceso a los recursos sin el consentimiento del usuario. El robo de contraseñas puede manifestarse en la red común lateral ataques de movimiento, como "pasar el hash". En los casos en que los sistemas heredados requieren solo el uso de contraseñas, el sistema de autenticación debe admitir políticas cumplimiento, como la verificación del uso de contraseñas seguras, así como las políticas de período de rotación definidas por la organización. Claves criptográficas, incluidos certificados TLS, claves utilizadas para proteger el acceso a los datos y claves utilizadas para cifrar datos en el descanso debe rotarse periódicamente. Hacerlo ayuda a abordar los ataques donde se accede a las claves sin autorización. Cuando se roban claves criptográficas, la falta de una política de rotación de claves puede aumentar drásticamente el incumplimiento efectivo transcurrido tiempo y alcance. Cualquier mecanismo de almacenamiento centralizado que contenga secretos de datos (por ejemplo, contraseñas, claves privadas, cliente confidencial), base de datos de contacto) es un objetivo de valor extremadamente alto para los atacantes. Elegir centralizar contraseñas y claves es una compromiso de que una organización debe sopesar el compromiso de conveniencia de la administración centralizada de claves con La amenaza que presenta la centralización de claves. Como con cualquier activo de alto valor, monitoreo y protección de identidad y clave Los sistemas de gestión deben ser una alta prioridad. 2.2 Impactos comerciales Los actores maliciosos que se hacen pasar por usuarios, operadores o desarrolladores legítimos pueden leer / filtrar, modificar y eliminar datos; emitir plano de control y funciones de gestión; espíe los datos en tránsito o libere software malicioso que parece originarse de una fuente legítima. Como resultado, la gestión de identidad, credenciales o claves insuficiente puede permitir el acceso no autorizado a los datos y daños potencialmente catastróficos a organizaciones o usuarios finales. 2.3 Anécdotas y ejemplos Los atacantes raspan GitHub para credenciales de servicio en la nube, secuestran una cuenta para extraer moneda virtual - "Servicio en la nube Las credenciales de proveedor incluidas en un proyecto de GitHub fueron descubiertas y mal utilizadas dentro de las 36 horas posteriores a la ejecución del proyecto. En Vivo." Praetorian lanza un servicio de descifrado de contraseñas basado en la nube: “Praetorian, un proveedor de soluciones de seguridad de la información, ha lanzado una nueva plataforma basada en la nube que aprovecha la potencia informática de Amazon AWS para descifrar hashes de contraseñas de una manera simple ". 2.4 CCM v3.0.1 ID de control IAM-01: Gestión de identidad y acceso - Acceso a herramientas de auditoría IAM-02: Gestión de identidades y accesos - Ciclo de vida de credenciales / Gestión de aprovisionamiento IAM-03: Gestión de identidad y acceso - Acceso a puertos de diagnóstico / configuración IAM-04: Gestión de identidad y acceso - Políticas y procedimientos IAM-05: Gestión de identidad y acceso - Segregación de funciones IAM-06: Gestión de identidad y acceso - Restricción de acceso al código fuente IAM-07: Gestión de identidad y acceso - Acceso de terceros IAM-08: Gestión de identidad y acceso - Fuentes confiables IAM-09: Gestión de identidad y acceso - Autorización de acceso de usuario IAM-10: Gestión de identidad y acceso - Revisiones de acceso de usuarios IAM-11: Gestión de identidad y acceso - Revocación de acceso de usuario IAM-12: Gestión de identidad y acceso - Credenciales de ID de usuario IAM-13: Gestión de identidad y acceso - Acceso a programas de utilidad HRS-01: Recursos humanos - Devolución de activos HRS-03: Recursos humanos - Acuerdos de empleo HRS-04: Recursos humanos - Terminación del empleo HRS-08: Recursos humanos - Uso aceptable de tecnología HRS-09: Recursos humanos - Capacitación / Concienciación HRS-10: Recursos humanos - Responsabilidad del usuario 2.5 enlaces 1) Los atacantes raspan GitHub para credenciales de servicio en la nube, secuestran una cuenta para extraer moneda virtual http://www.forbes.com/sites/runasandvik/2014/01/14/attackers-scrape-github-for-cloud-servicecredentials-hijack-account-to-mine-virtual-currency / 2) Dell lanza corrección para falla de certificado raíz http://www.bankinfosecurity.com/dell-releases-fix-for-root-certificate-fail-a-8701/op-1 3. Interfaces inseguras y API 3.1 Descripción Los proveedores de computación en la nube exponen un conjunto de interfaces de usuario de software (UI) o interfaces de programación de aplicaciones (API) que usan los clientes para gestionar e interactuar con servicios en la nube. Aprovisionamiento, gestión, La orquestación y la supervisión se realizan con estas interfaces. Los la seguridad y la disponibilidad de los servicios generales en la nube dependen de seguridad de estas API básicas. Desde autenticación y control de acceso hasta cifrado y monitoreo de actividad, estas interfaces deben estar diseñadas para proteger contra intentos accidentales y maliciosos de eludir política. Además, las organizaciones y terceros pueden construir sobre estos interfaces para ofrecer servicios de valor agregado a sus clientes. Esto introduce la complejidad de la nueva API en capas; También aumenta el riesgo, porque las organizaciones pueden ser obligadas a renunciar a sus credenciales a terceros fiestas para habilitar su agencia. Las API y las IU son generalmente la parte más expuesta de un sistema, quizás el único activo con una dirección IP disponible fuera de la organización confiable Perímetro. Estos activos serán el blanco de ataques pesados y adecuados Los controles que los protegen de Internet son la primera línea de defensa y detección. 3.2 Impactos comerciales Si bien la mayoría de los proveedores se esfuerzan por garantizar que la seguridad esté bien integrada en sus modelos de servicio, es crítico para los consumidores de esos servicios para comprender las implicaciones de seguridad asociadas con el uso, gestión, orquestación y monitoreo de servicios en la nube. Dependencia en un conjunto débil de interfaces y API expone a las organizaciones a una variedad de problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y responsabilidad. Las aplicaciones y sistemas de modelado de amenazas, incluidos los flujos de datos y la arquitectura / diseño, se vuelven importantes regularmente partes del ciclo de vida del desarrollo. Además de las revisiones de códigos específicos de seguridad, se hacen rigurosas pruebas de penetración un requerimiento. 3.3 Anécdotas y ejemplos El incumplimiento del IRS y la importancia de la seguridad API adaptativa: “A mediados de 2015, el Servicio de Impuestos Internos (IRS) de EE. UU. expuesto más de 300,000 registros a través de una API vulnerable ("Obtener transcripción") ". Por qué las claves API expuestas y los datos confidenciales son una causa creciente de preocupación: la seguridad API implica más que solo asegurar la API en sí: implica proteger las claves API, las credenciales de la nube y otros datos confidenciales del público exposición: medidas de seguridad que los desarrolladores a veces pasan por alto. 3.4 CCM v3.0.1 ID de control AIS-01: Seguridad de aplicaciones e interfaces - Seguridad de aplicaciones AIS-04: Seguridad de aplicaciones e interfaces: seguridad / integridad de datos IAM-08: Gestión de identidad y acceso - Fuentes confiables IAM-09: Gestión de identidad y acceso - Autorización de acceso de usuario 3.5 Enlaces 1) Las implementaciones inseguras de API amenazan la nube http://www.darkreading.com/cloud/insecure-api-implementations-threaten-cloud/d/d-id/1137550 2) El inicio de sesión único de servicios web contiene un gran defecto http://www.darkreading.com/risk-management/web-services-single-sign-ons-contain-big-flaws/d/did / 1103454? 3) Infracción del IRS e importancia de la seguridad API adaptativa http://apigee.com/about/blog/technology/irs-breach-and-importance-adaptive-api-security 4) Proyecto de seguridad API OWASP https://owasp.org/index.php?title=OWASP_API_Security_Project&setlang=en 5) Su autenticación de API es insegura y le diremos por qué http://sakurity.com/blog/2015/03/04/hybrid_api_auth.html 6) Por qué las claves API expuestas y los datos confidenciales son una causa creciente de preocupación http://www.programmableweb.com/news/why-exposed-api-keys-and-sensitive-data-are-growing-causepreocupación / análisis / 2015/01/05 4. Vulnerabilidades del sistema 4.1 Descripción Las vulnerabilidades del sistema son errores explotables en los programas que los atacantes puede usar para infiltrarse en un sistema informático con el fin de robar datos, tomar el control del sistema o interrumpir las operaciones de servicio. Vulnerabilidades dentro de los componentes del sistema operativo: kernel, bibliotecas del sistema y herramientas de aplicación: ponga la seguridad de todos los servicios y datos en riesgo significativo. Este tipo de amenaza no es nada nuevo; los errores han sido siempre un problema desde la invención de las computadoras; se volvieron explotables de forma remota cuando se crearon las redes. Con el advenimiento de la multitenencia en computación en la nube, los sistemas de varias organizaciones se colocan en estrecha proximidad entre sí, y con acceso a memoria compartida y recursos, creando una nueva superficie de ataque. Si bien el daño resultante de los ataques a las vulnerabilidades del sistema puede ser considerable, tales ataques pueden mitigarse con procesos básicos de TI. Análisis regular de vulnerabilidades, seguimiento de amenazas del sistema reportadas y la instalación de parches de seguridad o actualizaciones ayudan mucho cerrando las brechas de seguridad dejadas abiertas por las vulnerabilidades del sistema. Seguro El diseño y la arquitectura pueden disminuir las posibilidades de que un atacante control de cada parte de un sistema de información al limitar quién tiene acceso a sistemas específicos. 4.2 Impactos comerciales El impacto de las vulnerabilidades del sistema sin parches en el sistema de información La seguridad es profunda y costosa. Sin embargo, los costos de protección son relativamente pequeño en comparación con otros gastos de TI, que pueden incluir limpieza después de ataques exitosos del sistema. Proveedores de sistemas operativos que actúan sobre la información de la investigación de amenazas la comunidad ofrece parches gratuitos, generalmente dentro de los días posteriores a los anuncios de vulnerabilidades y exposiciones comunes (CVE). Del mismo modo, el costo de implementar procesos de TI para descubrir y reparar vulnerabilidades es pequeño en comparación con daño potencial que pueden causar. Las organizaciones que están altamente reguladas (por ejemplo, instituciones gubernamentales y financieras) deben ser capaces de manejar parchear rápidamente y, cuando sea posible, de forma automática y recurrente. La gestión de seguridad debe establecer un función de inteligencia de amenazas, para llenar el vacío entre el momento en que se anuncia una vulnerabilidad (conocido como '0 días') y el vez que el proveedor proporciona un parche. Cambie los procesos de control que abordan el parcheo de emergencia de recursos críticos y varios escenarios de vulnerabilidad debe crearse para garantizar que las actividades de reparación de vulnerabilidades estén debidamente documentadas y revisadas por técnicos equipos antes de ser mitigados, validados y cerrados. Cualquier otro método para manejar la amenaza, como la eliminación, la transferencia o aceptación también debe documentarse y rastrearse. 4.3 Anécdotas y ejemplos Pérdidas magnificadas, necesidad amplificada de preparación ante ataques cibernéticos: "Heartbleed and Shellshock demostró que incluso las aplicaciones de código abierto, que se creían más seguras que sus contrapartes comerciales ..., eran vulnerables a las amenazas Afectaron particularmente los sistemas que ejecutan Linux, lo cual es preocupante dado que el 67.7% de los sitios web usan UNIX, en el que se basa el anterior (Linux) ". Informe de investigaciones de violación de datos de Verizon 2015: “El error Shellshock en Bash fue el segundo OSS tumultuoso de 2014 evento de vulnerabilidad, eclipsando rápidamente Heartbleed debido a muchos más ataques exitosos ". Informe de defensa de amenazas cibernéticas 2014: "El 75% de los ataques utilizan vulnerabilidades conocidas públicamente en software comercial que podría prevenirse mediante parches regulares". 4.4 CCM v3.0.1 ID de control AIS-01: Seguridad de aplicaciones e interfaces - Seguridad de aplicaciones AIS-02: Seguridad de aplicaciones e interfaces: requisito de acceso del cliente AIS-03: Seguridad de aplicaciones e interfaces - Integridad de datos AIS-04: Seguridad de aplicaciones e interfaces: seguridad / integridad de datos BCR-04: Gestión de continuidad del negocio y resiliencia operativa - Documentación CCC-03: Control de cambios y gestión de la configuración - Pruebas de calidad IVS-05: Administración de seguridad de infraestructura y virtualización - Administración de vulnerabilidades IVS-07: Infraestructura y gestión de seguridad de virtualización - Refuerzo de SO y controles básicos TVM-02: Gestión de amenazas y vulnerabilidades - Gestión de parches 4.5 Enlaces 1) Informe de defensa de ciberamenazas 2014 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-cyberedge-2014-cdr. pdf 2) Pérdidas magnificadas, necesidad amplificada de preparación ante ataques cibernéticos http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-magnified-lossesamplified-need-for-cyber-attack-prepareness.pdf 3) Informe de investigaciones de violación de datos de Verizon 2015 http://www.verizonenterprise.com/DBIR/2015/ 5. Secuestro de cuenta 5.1 Descripción El secuestro de cuenta o servicio no es nuevo. Métodos de ataque como el phishing, El fraude y la explotación de las vulnerabilidades de software todavía logran resultados. Las credenciales y contraseñas a menudo se reutilizan, lo que amplifica el impacto de tales ataques. Las soluciones en la nube agregan una nueva amenaza al paisaje. Si una el atacante obtiene acceso a sus credenciales, puede espiar su actividades y transacciones, manipular datos, devolver información falsificada y redirige a tus clientes a sitios ilegítimos. Su cuenta o servicio Las instancias pueden convertirse en una nueva base para los atacantes. A partir de aquí, pueden Aproveche el poder de su reputación para lanzar ataques posteriores. Las organizaciones deben ser conscientes de este tipo de ataques, así como Estrategias comunes de protección de defensa en profundidad para contener el daño - y posibles litigios - como resultado de una violación. Las organizaciones deberían buscar prohibir el intercambio de credenciales de cuenta entre usuarios y servicios y aprovechar fuertes técnicas de autenticación de dos factores donde sea posible. Todas las cuentas y actividades de la cuenta deben ser monitoreadas y rastreable para un propietario humano, incluso cuentas de servicio. 5.2 Impactos comerciales El secuestro de cuentas y servicios, generalmente con credenciales robadas, permanece Una gran amenaza. Con credenciales robadas, los atacantes a menudo pueden acceder a elementos críticos áreas de servicios de computación en la nube, lo que les permite comprometer la confidencialidad, integridad y disponibilidad de esos servicios. Los atacantes pueden aprovechar el acceso a la cuenta para robar datos e impactar en la nube servicios y sistemas, dañan la reputación de los inquilinos y más. 5.3 Anécdotas y ejemplos En abril de 2010, Amazon experimentó un error de secuencias de comandos entre sitios (XSS) eso permitió a los atacantes secuestrar las credenciales del sitio. En 2009, numerosos sistemas de Amazon fueron secuestrados para ejecutar nodos de botnet Zeus. En junio de 2014, la cuenta de Amazon AWS de Code Spaces se vio comprometida cuando no pudo proteger la administración consola con autenticación multifactor. Todos los activos de la compañía fueron destruidos, quedando fuera del negocio. 5.4 CCM v3.0.1 ID de control IAM-02: Gestión de identidades y accesos - Ciclo de vida de credenciales / Gestión de aprovisionamiento IAM-08: Gestión de identidad y acceso - Fuentes confiables IAM-09: Gestión de identidad y acceso - Autorización de acceso de usuario IAM-10: Gestión de identidad y acceso - Revisiones de acceso de usuarios IAM-11: Gestión de identidad y acceso - Revocación de acceso de usuario IAM-12: Gestión de identidad y acceso - Credenciales de ID de usuario IVS-01: Infraestructura y seguridad de virtualización - Registro de auditoría / Detección de intrusiones SEF-02: Gestión de incidentes de seguridad, E-Discovery y Cloud Forensics - Gestión de incidentes 5.5 Enlaces 1) Amazon purga la amenaza de secuestro de cuenta del sitio http://www.theregister.co.uk/2010/04/20/amazon_website_treat/ 2) Zeus bot encontrado usando EC2 de Amazon como servidor C&C http://www.theregister.co.uk/2009/12/09/amazon_ec2_bot_control_channel/ 3) RIP de espacios de código: el proveedor de alojamiento de código deja de operar después de un ataque DDoS "bien orquestado" http://www.cloudcomputing-news.net/news/2014/jun/19/code-spaces-rip-code-hosting-provider-ceasestrading-after-well-orchestrated-ddos-attack / 6. Insiders maliciosos 6.1 Descripción El riesgo causado por personas maliciosas ha sido debatido en la seguridad industria. Si bien se deja debatir el nivel de amenaza, el hecho de que la información privilegiada La amenaza es un verdadero adversario no lo es. El CERN define una amenaza interna de la siguiente manera: "Una amenaza interna maliciosa para una organización es actual o anterior empleado, contratista u otro socio comercial que tiene o tuvo acceso autorizado a la red, sistema o datos de una organización y intencionalmente excedió o usó mal ese acceso de una manera que Afectó negativamente la confidencialidad, integridad o disponibilidad de información de la organización o sistemas de información ". 6.2 Impactos comerciales Un miembro malicioso, como un administrador del sistema, puede acceder potencialmente Información sensible. Desde IaaS hasta PaaS y SaaS, una información interna maliciosa puede tener cada vez más niveles de acceso a sistemas más críticos y eventualmente a datos. Sistemas que dependen únicamente del proveedor de servicios en la nube (CSP) para la seguridad están en mayor riesgo aquí. Las implementaciones que utilizan el cifrado proporcionado por el CSP siguen siendo vulnerable a ataques internos maliciosos, a pesar de que el servicio las tareas clave de gestión del proveedor están separadas del almacenamiento de datos administración en organizaciones maduras. El hallazgo clave aquí rodea los procesos auditables del CSP y cualquier observación ad hoc o menos Procedimientos medidos Los controles disponibles para limitar el riesgo de los expertos maliciosos incluyen el control del proceso de cifrado y las claves usted mismo, asegurando que el CSP tenga políticas adecuadas; segregación de deberes; minimizar el acceso por rol; y registro efectivo, monitoreo y Auditoría de las actividades de los administradores. Cabe señalar que la "amenaza interna" no siempre involucra a actores maliciosos. Los iniciados pueden no necesariamente ser malicioso pero "solo intentan hacer su trabajo". Por ejemplo, podrían subir accidentalmente un cliente base de datos a un repositorio público o copiar datos confidenciales entre jurisdicciones o países. 6.3 Anécdotas y ejemplos Amenazas internas para la computación en la nube: “En general, el 'trabajo interno' es responsable de la mayoría de la seguridad de la computación en la nube aflicciones Las empresas deben ser proactivas en la búsqueda de soluciones a sus amenazas de seguridad para proteger sus información." La brecha de identidad privilegiada de la nube intensifica las amenazas internas: “Las organizaciones deben controlar las cuentas compartidas y hacer un mejor trabajo para rastrear la actividad del usuario en las arquitecturas de nube ". 6.4 ID de control de CCM v3.0.1 DCS-04: Seguridad del centro de datos - Autorización fuera del sitio DCS-08: Seguridad del centro de datos - Entrada de personas no autorizadas DCS-09: Seguridad del centro de datos - Acceso de usuarios DSI-04: Seguridad de datos y gestión del ciclo de vida de la información - Política de manejo / etiquetado / seguridad DSI-06: Seguridad de datos y gestión del ciclo de vida de la información - Propiedad / Administración EKM-02: Cifrado y gestión de claves - Generación de claves EKM-03: Cifrado y gestión de claves: protección de datos confidenciales GRM-07: Gobernanza y gestión de riesgos - Aplicación de políticas GRM-10: Gobierno y gestión de riesgos - Evaluaciones de riesgos HRS-02: Recursos humanos - Análisis de antecedentes HRS-07: Recursos humanos - Roles / Responsabilidades IAM-05: Gestión de identidad y acceso - Segregación de funciones IAM-01: Gestión de identidad y acceso - Acceso a herramientas de auditoría IAM-08: Gestión de identidad y acceso - Fuentes confiables IAM-09: Gestión de identidad y acceso - Autorización de acceso de usuario IAM-10: Gestión de identidad y acceso - Revisiones de acceso de usuarios IVS-09: Infraestructura y seguridad de virtualización - Segmentación STA-09: Gestión de la cadena de suministro, transparencia y responsabilidad: auditorías de terceros 6.5 Enlaces 1) Amenazas internas a la computación en la nube http://www.cloudtweaks.com/2012/10/insider-threats-to-cloud-computing/ 2) La brecha de identidad privilegiada de la nube intensifica las amenazas internas http://www.darkreading.com/vulnerabilities---threats/clouds-privileged-identity-gap-intensifies-insideramenazas / d / d-id / 1138974 3) Amenazas internas para la computación en la nube: instrucciones para nuevos desafíos de investigación http://resources.sei.cmu.edu/asset_files/WhitePaper/2012_019_001_52385.pdf 4) La amenaza interna en la computación en la nube https://www.infosec.aueb.gr/Publications/CRITISCloud%20Insider.pdf 7. Amenazas persistentes avanzadas 7.1 Descripción Las amenazas persistentes avanzadas (APT) son una forma parasitaria de ciberataque que se infiltra en los sistemas para establecer un punto de apoyo en la informática infraestructura de empresas objetivo desde la cual pasan de contrabando datos y propiedad intelectual. Las APT persiguen sus objetivos sigilosamente durante un período prolongado períodos de tiempo, a menudo adaptándose a las medidas de seguridad destinadas a Defiéndete de ellos. Spearphishing, sistemas de piratería directa, entrega código de ataque a través de dispositivos USB, penetración a través de redes asociadas y el uso de redes no seguras o de terceros son puntos comunes de entrada para APTs. Una vez en su lugar, los APT pueden moverse lateralmente a través de los datos centrar redes y combinarse con el tráfico de red normal para lograr subjetivos Vale la pena que los departamentos de TI estén informados sobre los últimos avances ataques de ciberseguridad dirigidos a empresas y gobiernos organizaciones. Aunque los APT pueden ser difíciles de detectar y eliminar, algunos pueden detenerse con medidas de seguridad proactivas. Por ejemplo, es Es fundamental que los usuarios sean educados para reconocer y manejar la ingeniería social técnicas como la pesca submarina que se usan comúnmente para introducir APTs. Los programas de sensibilización que se refuerzan regularmente son uno de los mejores defensas contra este tipo de ataques, porque muchos de estos las vulnerabilidades requieren intervención o acción del usuario. El personal debe ser arraigado en pensar dos veces antes de abrir un archivo adjunto o hacer clic En un enlace. 7.2 Impactos comerciales Combatir APT complejos puede requerir controles de seguridad más avanzados, gestión de procesos, planes de respuesta a incidentes y capacitación del personal de TI, todo lo que puede conducir a mayores presupuestos de seguridad. Este costo debe sopesarse contra el daño económico infligido por ataques APT exitosos. 7.3 Anécdotas y ejemplos Carbanak: ¿Cómo habría detenido un ataque APT de $ 1 mil millones? - "... Carbanak, un ataque APT contra financiero instituciones de todo el mundo, bien pueden considerarse el mayor ciberheist hasta la fecha. ... A diferencia del cibercriminal habitual método de robar credenciales de consumidores o comprometer sesiones de banca en línea individuales con malware, el la pandilla descarada de Carbanak atacó los sistemas y operaciones internas de los bancos, lo que resultó en un robo multicanal que promedió $ 8 millones por banco ". Tendencias actuales en el mundo APT: "El supuesto ciberespionaje chino con sus APT provocó el robo de" 'cientos de terabytes de datos de al menos 141 organizaciones en un conjunto diverso de industrias, comenzando desde 2006. » " Tendencias actuales en el mundo de las APT: “El Departamento de Seguridad Nacional informa que las APT se dirigen hacia las empresas han creado una creciente demanda mundial de soluciones para combatir estas peligrosas amenazas emergentes ''. " 7.4 CCM v3.0.1 ID de control AIS-01: Seguridad de aplicaciones e interfaces - Seguridad de aplicaciones AIS-02: Seguridad de aplicaciones e interfaces: requisito de acceso del cliente AIS-03: Seguridad de aplicaciones e interfaces - Integridad de datos AIS-04: Seguridad de aplicaciones e interfaces: seguridad / integridad de datos BCR-04: Gestión de continuidad del negocio y resiliencia operativa - Documentación IVS-01: Infraestructura y seguridad de virtualización - Registro de auditoría / Detección de intrusiones IVS-02: Infraestructura y seguridad de virtualización - Detección de cambios IVS-05: Administración de seguridad de infraestructura y virtualización - Administración de vulnerabilidades IVS-07: Infraestructura y gestión de seguridad de virtualización - Refuerzo de SO y controles básicos IVS-13: Infraestructura y gestión de seguridad de virtualización - Arquitectura de red TVM-01: Gestión de amenazas y vulnerabilidades: software antivirus / malicioso TVM-02: Gestión de amenazas y vulnerabilidades - Gestión de vulnerabilidades / parches 7.5 Enlaces 1) Conciencia persistente avanzada. http://www.trendmicro.co.uk/media/misc/apt-survey-report-en.pdf 2)Tendencias actuales en el mundo APT. http://resources.infosecinstitute.com/current-trends-apt-world/ 3)Carbanak: ¿Cómo habría detenido un ataque APT de $ 1 mil millones? https://securityintelligence.com/carbanak-how-would-you-have-stopped-a-1-billion-apt-attack/ 4)Gestión de la seguridad de la información. http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf 5)Comprender y combatir las amenazas persistentes avanzadas y los ataques dirigidos. http://www.trendmicro.com/us/enterprise/challenges/advance-targeted-attacks/#what-happens-duringun ataque 8. Pérdida de datos 8.1 Descripción Tanto para los consumidores como para las empresas, la posibilidad de perder permanentemente los datos de uno son terroríficos. Los datos almacenados en la nube pueden perderse por otras razones que no sean maliciosas ataques Una eliminación accidental por parte del proveedor de servicios en la nube, o peor, Una catástrofe física, como un incendio o un terremoto, puede conducir a pérdida permanente de datos del cliente a menos que el proveedor o el consumidor de la nube toma medidas adecuadas para hacer una copia de seguridad de los datos, siguiendo las mejores prácticas en continuidad del negocio y recuperación ante desastres, así como respaldo diario de datos y posiblemente almacenamiento fuera del sitio. Además, la carga de evitar datos la pérdida no recae únicamente en los hombros del proveedor. Si un cliente cifra sus datos antes de subirlos a la nube pero pierde el cifrado clave, los datos también se perderán. Los consumidores de la nube deben revisar las disposiciones de pérdida de datos contratadas, preguntar sobre la redundancia de la solución de un proveedor y comprender qué entidad es responsable de la pérdida de datos y bajo qué condiciones. Algunos proveedores ofrecen soluciones para redundancia geográfica, respaldo de datos dentro de la nube y copias de seguridad de premisa a nube. El riesgo de confiar en el proveedor para almacenar, respaldar y proteger los datos debe ser considerado en contra de manejar esa función internamente, y la opción de hacer ambas cosas puede hacerse si los datos son muy críticos. 8.2 Impactos comerciales La información puede no ser vista como un activo crítico, pero es el alma de prácticamente todas las organizaciones modernas. Es el El activo más valioso que poseen la mayoría de las empresas. Incluso pequeñas empresas que venden productos físicos y afines, los servicios se basan en el acceso a los datos para las operaciones diarias: inventario, listas de proveedores y clientes, pedidos, programación, facturación, nómina, finanzas y más. La pérdida de datos puede ser catastrófica; más de una empresa se ha visto obligada a cerrar porque la administración no tomó medidas para garantizar que pudiera recuperar información crítica almacenada en la nube. Según las nuevas normas de protección de datos de la UE, la destrucción de datos y la corrupción de datos personales se consideran formas de violaciones de datos y requieren notificaciones apropiadas. Además, muchas políticas de cumplimiento requieren que las organizaciones retengan registros de auditoría u otra documentación. Si una la organización almacena estos datos en la nube, la pérdida de esos datos puede poner en peligro su estado de cumplimiento. 8.3 Anécdotas y ejemplos En abril de 2011, Amazon EC2 sufrió un bloqueo que provocó una pérdida significativa de datos para muchos clientes. En noviembre de 2014, los atacantes irrumpieron en Sony y filtraron información confidencial como PII e intercambios de correo electrónico, entre los empleados de Sony. En el primer trimestre de 2015, Sony reservó USD $ 15 millones para abordar los daños continuos del truco. En junio de 2014, Code Spaces, un proveedor de alojamiento en línea y publicación de código, fue pirateado, lo que llevó al compromiso y completa destrucción de la mayoría de los datos del cliente. La compañía finalmente no pudo recuperarse de este ataque y salió del negocio. 8.4 CCM v3.0.1 ID de control BCR-04: Gestión de continuidad del negocio y resiliencia operativa - Política de retención BCR-05: Gestión de continuidad del negocio y resiliencia operativa - Riesgos ambientales BCR-06: Gestión de continuidad del negocio y resistencia operativa - Ubicación del equipo GRM-02: Gobierno y gestión de riesgos - Evaluaciones de riesgo de enfoque de datos 8.5 Enlaces 1) Symantec encuentra que los usuarios de Cloud Computing están perdiendo datos http://www.investors.com/cloud-computing-data-loss-high-in-symantec-study/ 2) Elimine la contraseña: ¿Por qué una cadena de caracteres ya no puede protegernos? http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/ 3) RIP de espacios de código: el proveedor de alojamiento de código deja de operar después de un ataque DDoS "bien orquestado" http://www.cloudcomputing-news.net/news/2014/jun/19/code-spaces-rip-code-hosting-provider-ceasestrading-after-well-orchestrated-ddos-attack / 4) Todo lo que siempre quiso saber sobre el bloqueo de Amazon EC2 http://siliconangle.com/blog/2011/04/29/everything-you-ever-wanted-to-know-about-the-amazon-ec2choque/ 5) Dentro del truco del siglo http://fortune.com/sony-hack-part-1/ 9. Diligencia debida insuficiente 9.1 Descripción Cuando los ejecutivos crean estrategias comerciales, tecnologías en la nube y CSP debe ser considerado. Desarrollar una buena hoja de ruta y una lista de verificación para el vencimiento la diligencia al evaluar tecnologías y CSP es esencial para Mayor posibilidad de éxito. Una organización que se apresura a adoptar la nube tecnologías y elegir CSPs sin realizar exposiciones de debida diligencia a una miríada de comerciales, financieros, técnicos, legales y de cumplimiento riesgos que ponen en peligro su éxito. Esto se aplica si la empresa es considerar mudarse a la nube o fusionarse o adquirir una empresa que se ha movido a la nube o está considerando hacerlo. 9.2 Impactos comerciales Comercial: servicios al cliente anticipados o de nuevo diseño que confían en el CSP para desarrollar nuevos sistemas y procesos puede no ser una prioridad para o una experiencia del CSP. Técnico: pueden surgir problemas operativos y arquitectónicos desconocidos cuando diseñadores y arquitectos que no están familiarizados con las tecnologías en la nube están diseñando aplicaciones empujadas a la nube. Legal: datos en uso, en movimiento o en reposo en ubicaciones extranjeras durante la normalidad operaciones o incluso durante la recuperación pueden someter a la empresa a reparación regulatoria. Cumplimiento: aplicaciones móviles que dependen de la red "interna" Los niveles de privacidad de datos y controles de seguridad en la nube son peligrosos cuando esos controles desaparecen. El resultado final para las empresas y organizaciones que se mudan a una nube modelo de tecnología es que deben realizar una diligencia debida extensa para comprender los riesgos que asumen al adoptar este modelo tecnológico y comprometer a los proveedores que lo proporcionan. 9.3 Anécdotas y ejemplos Recursos / controles / políticas con capacidad: en 2012, la nube pública de Amazon Web Service (AWS), en la que se basa Netflix para transmitir contenido a los clientes, experimentó una interrupción en su región este de EE. UU. (que abarca varias zonas en AWS), debido a la eliminación accidental de información que controla el equilibrio de carga, puede significar que los procedimientos de seguridad normales caen por las grietas. Viabilidad financiera y de contratos: en 2013, Nirvanix, un almacenamiento en la nube especialista que alojó datos para IBM, Dell y sus propios clientes, archivó para el Capítulo 11 de bancarrota y cerró sus operaciones. Clientes tuvieron menos de dos semanas para mover sus datos a otro servicio, que destacó los siguientes problemas: • Pérdida de datos: qué pasaría con los datos de los clientes de Nirvanix, si no pudo reclamarlo dentro de dos semanas? • Interrupciones operativas: estudio de producción de cine y televisión Relativit y Los medios estaban usando la nube de Nirvanix como un centro a través del cual los empleados en sus ubicaciones globales podría colaborar y compartir digital masivo archivos para acelerar la producción. • Violaciones de seguridad: un proveedor de servicios con problemas de liquidez puede escatimar en tecnología de seguridad y personal, y una frenética reducción • Incumplimiento: los servicios de salud y financieros deben conservar los datos para cumplir con las regulaciones gubernamentales de cumplimiento. Si se pierden los datos, estos servicios dejan de ser compatibles. M&A: en 2011, Facebook resolvió los cargos de la FTC de que engañaba a los consumidores al no cumplir con sus promesas de privacidad. Según los términos de la orden de la FTC, Facebook debe obtener el consentimiento afirmativo del consumidor antes de realizar cambios que anular su configuración de privacidad, entre otros requisitos. Jason Weinstein, ex fiscal general adjunto adjunto del Departamento de Justicia de EE. UU., Resumió el tema de diligencia debida de ciberseguridad de manera sucinta cuando dijo: “Cuando compras una empresa, estás comprando sus datos y tú podría estar comprando sus problemas de seguridad de datos ". En otras palabras, "el riesgo cibernético debe considerarse junto con consideraciones de debida diligencia financiera y legal". 9.4 CCM v3.0.1 ID de control AIS-01: Seguridad de aplicaciones e interfaces - Seguridad de aplicaciones AIS-04: Seguridad de aplicaciones e interfaces: seguridad / integridad de datos AAC-01: Auditoría, Garantía y Cumplimiento - Planificación de Auditoría AAC-02: Auditoría, Garantía y Cumplimiento - Auditorías independientes AAC-03: Auditoría, Garantía y Cumplimiento - Información. Mapeo Regulatorio del Sistema BCR-01: Gestión de Continuidad de Negocio y Resiliencia Operacional - Planificación de Continuidad de Negocio BCR-02: Gestión de continuidad del negocio y resistencia operativa - Pruebas de continuidad del negocio BCR-03: Gestión de continuidad del negocio y resiliencia operativa - Servicios de centro de datos / Entorno. Condiciones BCR-04: Gestión de continuidad del negocio y resiliencia operativa - Documentación BCR-05: Gestión de continuidad del negocio y resiliencia operativa - Riesgos ambientales BCR-06: Gestión de continuidad del negocio y resistencia operativa - Ubicación del equipo BCR-07: Gestión de continuidad del negocio y resistencia operativa - Mantenimiento de equipos BCR-08: Gestión de continuidad del negocio y resiliencia operativa - Fallas de energía del equipo BSR-09: Gestión de continuidad del negocio y resiliencia operacional - Análisis de impacto BCR-10: Gestión de continuidad del negocio y resiliencia operativa - Política BCR-11: Gestión de continuidad del negocio y resiliencia operativa - Política de retención GRM-01: Gobierno y gestión de riesgos: requisitos de referencia GRM-02: Gobierno y gestión de riesgos - Evaluaciones de riesgo de enfoque de datos GRM-03: Gobierno y gestión de riesgos - Supervisión de la gestión GRM-04: Gobierno y gestión de riesgos - Programa de gestión GRM-05: Gobierno y gestión de riesgos - Apoyo / participación de la gerencia GRM-06: Gobierno y gestión de riesgos - Política GRM-07: Gobierno y gestión de riesgos - Aplicación de políticas GRM-08: Gobernanza y gestión de riesgos: impacto de las políticas en las evaluaciones de riesgos GRM-09: Gobierno y gestión de riesgos - Revisiones de políticas GRM-10: Gobierno y gestión de riesgos - Evaluaciones de gestión de riesgos GRM-11: Gobierno y gestión de riesgos - Marco de gestión de riesgos IVS-06: Infraestructura y seguridad de virtualización - Seguridad de red IVS-09: Infraestructura y seguridad de virtualización - Segmentación 9.5 Enlaces 1) Tecnología: la falta de diligencia debida sigue siendo una de las principales amenazas en la nube http://www.insidecounsel.com/2013/12/06/technology-a-lack-of-due-diligence-still-a-top-thr 2) Due Diligence: 50 preguntas para proveedores de computación en la nube http://www.techbridge.org/documents/TechBridge%20-%20Due%20Diligence%20-%2050%20 Preguntas% 20 para% 20Cloud% 20Providers.pdf 3) Con toda la debida diligencia http://www.tierpoint.com/index.php/download_file/364 4) Evaluación de proveedores de servicios en la nube y diligencia debida http://blog.itil.org/2015/01/itil/cloud-service-vendor-evaluation-and-due-diligence/ 5) Catálogo de normas ISO http://www.iso.org/iso/catalogue_detail?csnumber=56269 6) ¿Cuánto tiempo pasarán los clientes de renombre como Netflix con las interrupciones en la nube de Amazon? http://www.networkworld.com/article/2162488/cloud-computing/how-long-will-big-name-customerslike-netflix-put-up-with-amazon-cloud-outages-.html 7) Resumen del evento de Amazon ELB del 24 de diciembre de 2012 en la región este de EE. UU. http://aws.amazon.com/message/680587/?tag=viglink125435-20 8) Evitar las consecuencias de una quiebra en la nube http://www.cruxialcio.com/nirvanix-bankruptcy-2037 9) FTC notifica a Facebook, WhatsApp de las obligaciones de privacidad a la luz de la adquisición propuesta https://www.ftc.gov/news-events/press-releases/2014/04/ftc-notifies-facebook-whatsapp-privacyobligaciones-luz-propuesta 10. Abuso y nefasto - Uso de servicios en la nube 10.1 Descripción Implementaciones de servicios en la nube mal aseguradas, pruebas gratuitas de servicios en la nube y los registros fraudulentos de cuentas a través del fraude de instrumentos de pago exponen la nube modelos informáticos como IaaS, PaaS y SaaS para ataques maliciosos. Los actores maliciosos pueden aprovechar los recursos de computación en la nube para dirigirse a los usuarios, organizaciones u otros proveedores de la nube. Ejemplos de mal uso de la nube los recursos basados en servicios incluyen el lanzamiento de ataques DDoS, correo electrónico no deseado y campañas de phishing; "Minería" para moneda digital; a gran escala automatizada fraude de clics; ataques informáticos de fuerza bruta de bases de datos de credenciales robadas; y alojamiento de contenido malicioso o pirateado. Las mitigaciones por el mal uso de los servicios en la nube incluyen la detección de pago por parte de CSP fraude de instrumentos y uso indebido de ofertas en la nube, incluidos ejemplos de ataques de DoS de red entrantes y salientes. Un proveedor de la nube debe tener un marco de respuesta a incidentes para abordar el mal uso de los recursos, así como un medio para que los clientes denuncien abusos originados por un proveedor de la nube. Un proveedor de la nube debe incluir controles relevantes que permitan a un cliente para monitorear el estado de su carga de trabajo en la nube. 10.2 Impactos comerciales El uso malicioso de los recursos del servicio en la nube puede reducir la capacidad disponible para Clientes legítimos alojados por proveedores de servicios en la nube. Respondiendo al uso malicioso también puede reducir la disponibilidad de recursos de respuesta para abordar otros problemas de soporte al cliente. El uso fraudulento de instrumentos de pago puede ocasionar el aumento de los costos a las partes inocentes, como las instituciones o proveedores de la nube y, en última instancia, a clientes y otros. Los ataques DDoS que se originan o se dirigen a un proveedor de la nube pueden conducir a la falta de disponibilidad, interrupción del negocio y pérdida de ingresos para otros sitios que están alojados en la misma plataforma en la nube. Aunque la organización misma no esté realizando ninguna de estas acciones, debido a la naturaleza compartida de En algunos servicios en la nube, este tipo de amenaza presenta problemas de disponibilidad de datos y servicios a una organización. 10.3 Anécdotas y ejemplos Los DDoS que casi rompieron Internet: “Los atacantes pudieron generar más de 300 Gbps de tráfico probable con una red propia que solo tenía acceso a 1/100 de esa cantidad de tráfico ”. Los piratas informáticos regresan sigilosamente a AWS para DDoS Launch Hub: “La división de Elastic Cloud Computing de Amazon estaba sufriendo de un ataque altamente sofisticado de un grupo de piratas informáticos desconocidos, que habían encontrado una manera de realizar pruebas de ingeniería inversa de código conceptual y crear una puerta trasera de fácil acceso para ellos en el enorme banco de Amazon disponible poder de procesamiento." 10.4 CCM v3.0.1 ID de control HRS-01: Recursos humanos - Devolución de activos HRS-02: Recursos humanos - Análisis de antecedentes HRS-03: Recursos humanos - Acuerdos de empleo HRS-04: Recursos humanos - Terminación del empleo HRS-07: Recursos humanos - Roles / Responsabilidades HRS-08: Recursos humanos - Uso aceptable de tecnología HRS-10: Recursos humanos - Responsabilidad del usuario SEF-01: Gestión de incidentes de seguridad, E-Discovery y análisis forense de la nube - Contacto / Mantenimiento de la autoridad SEF-02: Gestión de incidentes de seguridad, E-Discovery y Cloud Forensics - Gestión de incidentes SEF-03: Gestión de incidentes de seguridad, E-Discovery y análisis forense en la nube - Informe de incidentes SEF-04: Gestión de incidentes de seguridad, descubrimiento electrónico y análisis forense en la nube: preparación legal 10.5 Enlaces 1) Los DDoS que casi rompieron Internet https://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/ 2) Descifrado de contraseñas en la nube http://www.networkworld.com/article/2194881/cloud-computing/password-cracking-in-the-cloud.html 3) Los piratas informáticos vuelven a colarse en AWS para DDoS Launch Hub https://vpncreative.net/2014/07/29/hackers-sneak-back-aws-ddos-launch-hub/ 4) Praetorian lanza servicio de descifrado de contraseñas basado en la nube http://www.securityweek.com/praetorian-launches-cloud-based-password-cracking-service 11. Denegación de servicio 11.1 Descripción Los ataques de denegación de servicio (DoS) son ataques destinados a evitar que los usuarios de un servicio de poder acceder a sus datos o sus aplicaciones. Por obligando al servicio en la nube objetivo a consumir cantidades excesivas de recursos finitos del sistema, como la potencia del procesador, la memoria, el espacio en disco o el ancho de banda de la red, el atacante, o los atacantes, como es el caso en ataques distribuidos de denegación de servicio (DDoS): provoca una intolerable ralentización del sistema y deja a todos los usuarios legítimos del servicio confundidos y enojado por qué el servicio no responde. Mientras que los ataques DDoS tienden a generar miedo y atención de los medios, especialmente cuando los perpetradores actúan por un sentido de "hacktivismo" político - de ninguna manera son la única forma de ataque DoS. Aplicación asimétrica Los ataques DoS de nivel aprovechan las vulnerabilidades en los servidores web, bases de datos u otros recursos en la nube, lo que permite a un individuo malintencionado sacar una aplicación con una carga útil de ataque extremadamente pequeña, en algunos casos de menos de 100 bytes de longitud. Otros ataques pueden apuntar igualmente recursos confinados: un DoS económico pone en peligro el flujo de caja de una empresa, usando la naturaleza dinámica de la nube para abrumar la capacidad de pago de una startup. Del mismo modo, el capital humano de una organización puede estar ligado rápidamente en trabajo legal para un DoS burocrático y dejar a una empresa igualmente incapaz de Proveer un servicio. 11.2 Impactos comerciales Experimentar un ataque de denegación de servicio es como quedar atrapado en un atasco de tráfico en las horas pico: no hay forma de llegar a su destino, y no hay nada que pueda hacer al respecto, excepto sentarse y esperar. Como consumidor, las interrupciones del servicio no solo frustrarlo, pero también obligarlo a considerar si mover sus datos críticos a la nube para reducir la infraestructura los costos realmente valieron la pena. Peor aún, porque los proveedores de la nube suelen facturar a los clientes en función de los ciclos de cálculo y el disco, espacio, un atacante puede no ser capaz de eliminar completamente su servicio de Internet, pero puede hacer que se consuma tanto tiempo de procesamiento que se verá obligado a eliminarlo usted mismo. En algunos casos, los ataques DDoS han servido como una cortina de humo para los ataques que tienen lugar en otras partes del medio ambiente. mientras que los defensores están ocupados con los DDoS. Desde el punto de vista del riesgo, los ataques DoS pueden ser más probables en la nube porque otros inquilinos están bajo fuego. Sin embargo, los proveedores de la nube pueden estar mejor equipados para mitigar DoS ataques en general. Los ataques DDoS primero deben ser visibles, por lo que se necesita detección. Notar que el sitio web es lento no es una forma adecuada de detección para una empresa. Una vez detectado, la clave para mitigar un ataque DDoS se está preparando para uno antes de que ocurra ocurre; Los administradores del sistema deben poder acceder de inmediato a los recursos que se pueden utilizar como mitigación. 11.3 Anécdotas y ejemplos A medida que crece el uso de la nube, también lo hará la tasa de ataques DDoS: "Los proveedores de la nube se enfrentan a un número creciente de ataques DDoS, [similar a aquellos que] los centros de datos privados ya manejan hoy " Feedly noqueado por DDoS Attack tras los ataques de Evernote y Deezer: "En lo que parece una serie de ciberataques ordenados por una banda criminal, tres servicios principales basados en la nube han sido desconectados en los últimos años dias. El agregador de noticias Feedly, la aplicación de toma de notas Evernote y el servicio de transmisión de música Deezer se han visto afectados. ataque de delincuentes en los últimos días que condujo a las tres interrupciones del servicio. 11.4 CCM v3.0.1 ID de control AIS-01: Seguridad de aplicaciones e interfaces - Seguridad de aplicaciones BCR-08: Gestión de continuidad del negocio y resiliencia operativa - Fallas de energía del equipo GRM-01: Gobierno y gestión de riesgos: requisitos de referencia IVS-04: Seguridad de virtualización de infraestructura - Documentación del sistema de información 11.5 Enlaces 1) A medida que crece el uso de la nube, también lo hará la tasa de ataques DDoS http://www.infoworld.com/article/2613310/cloud-security/as-cloud-use-grows--so-will-rate-of-ddosataques.html 2) Computerworld: DDoS es el talón de Aquiles de seguridad en la nube (15 de septiembre de 2011) http://www.computerworld.com.au/article/401127/ddos_cloud_security_achil les_heel 3) OWASP: Solicitud de denegación de servicio https://www.owasp.org/index.php/Application_Denial_of_Service 4) Radware DDoSpedia http://security.radware.com/knowledge-center/DDoSPedia/ 5) Ataques DDoS, la necesidad de la defensa multicapa https://blog.arbornetworks.com/ddos-attacks-the-necessity-of-multi-layered-defense/ 6) Ola de ataques DDoS a los servicios basados en la nube http://www.darkreading.com/attacks-breaches/wave-of-ddos-attacks-down-cloud-based-services/d/did / 1269614 7) Cómo afectan los nuevos tipos de DDoS a la nube http://www.datacenterknowledge.com/archives/2014/10/22/as-apps-move-to-the-cloud-ddos-attackstomar nueva forma / 8) Feedly noqueado por el ataque DDoS después de los ataques Evernote y Deezer http://www.ibtimes.co.uk/feedly-knocked-offline-by-ddos-attack-following-evernote-deezerataques-1452237 12. Vulnerabilidades tecnológicas compartidas 12.1 Descripción Los proveedores de servicios en la nube brindan sus servicios de manera escalable al compartir infraestructura, plataformas o aplicaciones. La tecnología en la nube divide el Oferta "como servicio" sin cambiar sustancialmente la lista de productos hardware / software, a veces a expensas de la seguridad. Subyacente componentes (por ejemplo, cachés de CPU, GPU, etc.) que comprenden la infraestructura Es posible que la implementación de servicios en la nube no haya sido diseñada ofrecen fuertes propiedades de aislamiento para una arquitectura multiempresa (IaaS), replataformas desplegables (PaaS) o aplicaciones multicliente (SaaS). Esto puede conducir a vulnerabilidades tecnológicas compartidas que potencialmente pueden ser explotadas en todos los modelos de entrega. Se recomienda una estrategia de defensa en profundidad y debe incluir cómputo, almacenamiento, red, aplicación y seguridad del usuario cumplimiento y monitoreo, ya sea que el modelo de servicio sea IaaS, PaaS o SaaS. La clave es que una sola vulnerabilidad o configuración incorrecta puede conducir a un compromiso en la nube de un proveedor completo. Deben implementarse mitigaciones para evitar una brecha en los recursos compartidos, como la autenticación multifactor en todos los hosts, la intrusión basada en host Sistema de detección (HIDS) y sistemas de detección de intrusos basados en red (NIDS en redes internas, aplicando conceptos de redes menos privilegio y segmentación, y mantener parcheados los recursos compartidos. 12.2 Impactos comerciales Un compromiso de una pieza integral de tecnología compartida como el hipervisor, un componente de plataforma compartida o una aplicación en un SaaS el entorno expone más que solo el cliente comprometido; más bien, expone todo el entorno a un potencial de compromiso y incumplimiento. Esta vulnerabilidad es peligrosa porque puede afectar potencialmente una nube entera a la vez. 12.3 Anécdotas y ejemplos Canales laterales de VM cruzada y su uso para extraer claves privadas: “… construcción de un canal lateral controlado por acceso ataque por el cual una máquina virtual maliciosa (VM) extrae información detallada de una VM víctima que se ejecuta en la misma computadora física ". Comprensión de la vulnerabilidad de VENOM: “La vulnerabilidad de búfer no verificada (CVE-20153456) ocurre en el código para el controlador de disquete virtual de QEMU. Un ataque de esbordamiento de búfer exitoso que explota esta vulnerabilidad puede permitir a un atacante ejecutar su código en el ontexto de seguridad del hipervisor y escapar del invitado sistema operativo para obtener control sobre todo el host ". 12.4 CCM v3.0.1 ID de control DSI-04: Seguridad de datos y gestión del ciclo de vida de la información - Política de manejo / etiquetado / seguridad EKM-03: Cifrado y gestión de claves: protección de datos confidenciales GRM-01: Gobierno y gestión de riesgos: requisitos de referencia IAM-02: Gestión de identidades y accesos - Ciclo de vida de credenciales / Gestión de aprovisionamiento IAM-05: Gestión de identidad y acceso - Segregación de funciones IAM-12: Gestión de identidad y acceso - Credenciales de ID de usuario IVS-01: Infraestructura y seguridad de virtualización - Registro de auditoría / Detección de intrusiones IVS-09: Infraestructura y seguridad de virtualización - Segmentación TVM-02: Gestión de amenazas y vulnerabilidades - Gestión de vulnerabilidades / parches 12.5 Enlaces Ejemplos de tecnología compartida para aislamiento de virtualización / ejecución de metal desnudo: 1) Actualización de mantenimiento EC2 https://aws.amazon.com/blogs/aws/ec2-maintenance-update/ 2) El error VENOM "escape de máquina virtual": lo que necesita saber https://nakedsecurity.sophos.com/2015/05/14/the-venom-virtual-machine-escape-bug-what-you-need-tosaber/ 3) Escapar de la estación de trabajo VMWare a través de COM1 https://docs.google.com/document/d/1sIYgqrytPK-CFWfqDntraA_Fwi2Ov-YBgMtl5hdrYd4/preview 4) En serio, ¡sal de mi nube! Cross-VM RSA Key Recovery en una nube pública https://eprint.iacr.org/2015/898.pdf Edición 2017: Perspectivas de la industria Los 12 traicioneros: principales amenazas para la computación en la nube Resumen Ejecutivo Este apéndice sirve como una actualización de anécdotas para la investigación publicada por Cloud Security Alliance (CSA) Grupo de trabajo sobre amenazas principales en 2016 titulado The Treacherous 12: Cloud Computing Principales amenazas en 2016. Esto Edición 2017: el documento de Industry Insights contiene 21 ideas de la industria sobre incidentes o desarrollos recientes que se relacionan con las 12 categorías de problemas de seguridad mencionados en el documento de 2016. Las ideas de la industria mencionadas en este documento incluyen: • Mal manejo de la caja de enlaces de invitación - Violaciones de datos • Incumplimiento de Yahoo - Violaciones de datos • Falla de LinkedIn para saltear las contraseñas al hacer hash - Gestión de acceso de credenciales de identidad insuficiente • Abuso de Instagram en la recuperación de la cuenta - Gestión de acceso de credenciales de identidad insuficiente • Implementación insegura de OAuth: secuestro de cuenta • Ex empleados de Zynga alegan robo de datos - Insiders maliciosos • Incumplimiento de Yahoo - Diligencia debida insuficiente • Fuga de información de votantes mexicanos en MongoDB: gestión de acceso de credenciales de identidad insuficiente • Dyn DDoS attack - Denegación de servicio • Vulnerabilidad de escalada de privilegios de Dirty Cow Linux: vulnerabilidades del sistema • Robo de información del cliente de T-Mobile - Insiders maliciosos • MongoDB sin protección, atacado por ransomware - Gestión de acceso de credenciales de identidad insuficiente • Malware que utiliza servicios en la nube para filtrar datos y evitar la detección: abuso y uso nefasto de la nube Servicios • Australian Bureau of Statistics denegación de servicio - Denegación de servicio • Virlock ransomware - Pérdida de datos • El ransomware Zepto se extendió y se alojó en servicios de almacenamiento en la nube: abuso y uso nefasto de la nube Servicios • Comando y control de alojamiento de malware CloudSquirrel (C&C) en Dropbox - Abuso y uso nefasto de servicios en la nube • Malware CloudFanta que utiliza almacenamiento en la nube para la entrega de malware: abuso y uso nefasto de la nube Servicios • Aplicación móvil insegura Moonpig: interfaz insegura y API • Vulnerabilidades de desbordamiento del búfer en Cloudflare / Cloudbleed - Vulnerabilidades de tecnología compartida • NetTraveler amenazas persistentes avanzadas - Amenazas persistentes avanzadas (APT) El Grupo de trabajo de Top Threats espera proporcionar una actualización de los conocimientos de la industria relacionados con la seguridad 12 Los temas citados en el informe de 2016 proporcionarán a los lectores un contexto relevante que se actualiza y está en línea con lo que Actualmente está sucediendo en la industria de la seguridad. - Grupo de trabajo CSA Top Threats Mal manejo de la caja de enlaces de invitación Violaciones de datos Un investigador de seguridad que utiliza motores de búsqueda en línea encontró enlaces de colaboración a privados datos pertenecientes a varias cuentas, tanto de naturaleza corporativa como individual. UN El enlace de colaboración permite el acceso compartido de archivos y carpetas a los usuarios, con permiso para descargar, cargar, ver, editar y renombrar archivos. Por defecto, los enlaces de colaboración fueron generados con permisos de editor. Box.com atribuyó el problema a los usuarios que compartió y publicó los enlaces de invitación, pero también tomó medidas para garantizar que el público los enlaces de invitación de colaboración no serían indexados por los motores de búsqueda en el futuro. Incumplimiento de Yahoo Violaciones de datos Yahoo confirmó en septiembre de 2016 que más de mil millones de cuentas de usuario eran comprometido en agosto de 2013. Posteriormente, 500 millones de cuentas de usuario fueron violado en 2014. Cuando se combinan, estas fallas de seguridad constituyen el único La mayor violación de la historia. La compañía cree que los piratas informáticos están conectados y que las infracciones son "patrocinadas por el estado". El jefe de seguridad de la información de Yahoo, Bob Lord, confirmó que los hackers usaron "cookies falsificadas" o fragmentos de código que persisten en la memoria caché del navegador de un usuario para que un sitio web no requiera un inicio de sesión con cada visita. Estas cookies permitieron el acceso de intrusos a las cuentas de usuario sin contraseña. Yahoo comenzó a sospechar la violación cuando los funcionarios encargados de hacer cumplir la ley se acercaron al empresa y les informó que habían observado los nombres de cuenta de usuario de Yahoo y contraseñas para la venta en el sitio del mercado darknet "TheRealDeal". El vendedor, conocido como "Peace_of_Mind", declaró en entrevistas confidenciales con las revistas VICE y WIRED que había poseído los datos durante algún tiempo y los había estado vendiendo en privado desde finales de 2015. Yahoo confirmó que la información de cuenta de usuario robada habría incluido nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash y, en algunos casos, preguntas y respuestas de seguridad cifradas o no cifradas. El retraso de Yahoo en descubrir e informar estas infracciones, así como en la implementación características de seguridad mejoradas, se ha convertido en un punto de crítica para la empresa. Fracaso de LinkedIn para salcontraseñas al hashing - Gestión insuficiente de identidad, credenciales y acceso En 2012, según los informes, LinkedIn perdió 167 millones de credenciales de cuenta en una violación de datos. Un hacker robó contraseñas cifradas del sitio, las descifró y las publicó en un Foro criminal ruso al día siguiente. El hacker, conocido como "Peace_of_Mind", fue observó la venta de combinaciones de correo electrónico y contraseña en un oscuro mercado web. Los expertos en seguridad de Internet dijeron que las contraseñas eran fáciles de descifrar debido a El hecho de que LinkedIn no haya usado una sal cuando los procesa. Esto se considera inseguro practica porque permite a los atacantes revertir rápidamente el proceso de codificación usando tablas de arcoíris estándar existentes y listas prefabricadas de combinaciones codificadas y contraseñas descifradas El compromiso de LinkedIn está conectado a una serie de incidentes confirmados donde La exfiltración de datos ha tenido lugar en otras organizaciones, incluidos Citrix Systems. El 18 de junio de 2016, Citrix publicó una alerta de alerta de un incidente que obligó al empresa para restablecer todas las contraseñas de sus clientes. John Bennett, línea de productos director de Citrix, explicó el problema en un artículo de Threatpost. "Citrix puede confirmar que el incidente reciente fue un ataque de reutilización de contraseña, donde los atacantes usó nombres de usuario y contraseñas filtrados de otros sitios web para acceder a las cuentas de usuarios de GoToMyPC ”, dijo Bennett. Los investigadores de seguridad confirmaron que los atacantes que tenían la lista de LinkedIn sabrían el nombre de la persona, su historial de trabajo y su contraseña, dándole una lista de posibles objetivos y algunas contraseñas base para comenzar. Abuso de Instagram de recuperación de cuenta Gestión insuficiente de identidad, credenciales y acceso Un investigador de seguridad determinó que el proceso de restablecimiento de contraseña de Instagram podría fácilmente permitir que un atacante acceda a una página de restablecimiento de contraseña sin ingresar ninguna credencial. Se podría ejecutar un ataque exitoso siempre que el hacker tuviera un nombre de ID de cuenta, La información que el investigador suponía podría adivinarse fácilmente. De la contraseña restablecer la página, el atacante podría actualizar la dirección de correo electrónico o el número de teléfono del cuenta bloqueada temporalmente y luego restablecer la contraseña por correo electrónico para obtener acceso. Aproximadamente, el 4 por ciento, o 20 millones de cuentas, eran vulnerables a tal ataque. Sin embargo, no ha habido informes conocidos de cuentas de Instagram siendo comprometido de esta manera. Fuga de información de votantes mexicanos de MongoDB - Gestión insuficiente de identidad, credenciales y acceso The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 12 http://www.informationweek.com/cloud/infrastructure-as-a-service/93-million-mexicanvotante-base de datos-expuesta-en-amazon-cloud / d / d-id / 1325259 http://www.csoonline.com/article/3060204/security/mongodb-configuration-errorexpuestos-93 millones de registros de votantes mexicanos.html https://www.theregister.co.uk/2016/04/25/mexico_voter_data_breach/ 26 de abril de 2016 En abril de 2016, Chris Vickery, un investigador de seguridad de MacKeeper, examinó el Motor de búsqueda Shodan para puertos abiertos MongoDB (puerto: 27017). Durante su búsqueda, él tropecé con una instancia abierta de MongoDB alojada en Amazon AWS sin ninguna autenticación o control de acceso que protege el servicio. También descubrió qué parecía ser una cantidad significativa de información de identificación personal perteneciente a ciudadanos mexicanos, que luego se determinó que eran registros de votación de 93 millones de mexicanos votantes propiedad del Instituto Nacional Electoral de México. MongoDB sin protección, atacado por ransomware Gestión de acceso de credenciales de identidad insuficiente The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 12 http://www.networkworld.com/article/3154536/security/hacker-wiping-unprotectedmongodb-installs-and-holding-data-for-ransom.html # tk.twt_nww 4 de enero de 2016 Por lo general, los hackers han utilizado el ransomware para cifrar parte o la totalidad de los datos de un usuario. La demanda de pagos de rescate generalmente se solicita en forma de no rastreable criptomoneda bitcoin Los recientes ataques de ransomware también se han dirigido en línea Instancias de MongoDB, aprovechando configuraciones débiles en la instalación de MongoDB en bases de datos accesibles por Internet. Así es como funciona: una base de datos que es directamente accesible por Internet está escuchando solicitudes de consulta en ciertos puertos. Cuando se recibe una solicitud de consulta, debe ser autenticado antes de ser ejecutado. Pero en este caso, ya que la base de datos es accesible desde Internet, los puertos de escucha pueden tomar las huellas digitales fácilmente. Porque allí no es una contraseña para el administrador, cualquier cambio puede hacerse como administrador sin una contraseña, hasta e incluyendo la eliminación de todos los datos en la base de datos y dejando un nota de rescate. El propietario de la base de datos tiene que pagar el rescate para recuperar los datos. A diferencia de otros ataques de ransomware, este no necesita malware avanzado ni explotación para tener éxito. La base de datos es vulnerable porque una mejor práctica simple era omitido Para evitar ataques, las bases de datos no deben exponerse a Internet; más bien, se debe acceder a ellos a través de un host local solo durante la configuración. Además, otro Las salvaguardas incluyen la configuración adecuada de bases de datos con contraseñas y otro acceso controla y utiliza mecanismos de autenticación antes de la conectividad a Internet. Aplicación móvil insegura Moonpig - Interfaces inseguras y API The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 15 http://computerworld.com/article/2865794/moonpig-jeopardizes-data-of-millions-ofclients-through-insecure-api.html 6 de enero de 2015 En 2015, Moonpig, un proveedor europeo de tarjetas de felicitación en línea que creó un dispositivo móvil solicitud para enviar tarjetas electrónicas: fue víctima de una violación de datos que ocurrió debido a una API insegura. La aplicación móvil de Moonpig utilizó autenticación estática, proporcionando solo un conjunto de certificados para todos los usuarios. Además, las identificaciones de los clientes fueron numerados secuencialmente, sin utilizar la mejor práctica de siembra / relleno aleatorio. Los atacantes recopilaron la información del cliente de Moonpig simplemente probando a todos los clientes ID en orden. Si bien los datos comprometidos para los 3,6 millones de clientes de Moonpig en el Reino Unido, EE. UU. Y Australia no incluyeron números completos de tarjeta de crédito, los últimos cuatro dígitos de números de tarjetas de crédito, fechas de vencimiento de tarjetas y nombres de clientes fueron robados. Dirty Cow Linux privilegio vulnerabilidad de escalada Vulnerabilidades del sistema The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 17 https://www.linux.com/blog/how-bad-dirty-cow https://threatpost.com/dirty-cow-vulnerability-patched-in-android-security-boletín / 122266 / https://threatpost.com/google-releases-supplemental-patch-for-dirty-cow-vulnerabilidad / 121843 / https://source.android.com/security/bulletin/2016-12-01.html https://developer.android.com/about/dashboards/index.html https://www.statista.com/statistics/271774/share-of-android-platforms-on-mobiledispositivos-con-android-os / https://www.statista.com/statistics/385001/smartphone-worldwide-installed-basesistemas operativos/ 24 de octubre de 2016 La vulnerabilidad de Dirty Cow Linux existió durante al menos ocho años antes de Disponibilidad de parches en noviembre de 2016. Esta vulnerabilidad brinda a los usuarios invitados la capacidad de obtener acceso de nivel raíz / administrador a un Máquina Linux en virtud de desencadenar una condición de carrera en el kernel. Una defensa en El enfoque de profundidad mitigará el acceso a un usuario invitado. Si se explota, esta vulnerabilidad tiene implicaciones a nivel del servidor (especialmente en servidores que no tienen parches automáticos habilitados por defecto o no son confiables Acceso a Internet), así como a nivel del cliente a través de máquinas Android. Además, el La vulnerabilidad solo se parchea por encima de la versión 7.0 de Android. Esta vulnerabilidad puede afectar la computación en la nube en tres niveles: (1) nube los proveedores de servicios deben proteger la infraestructura subyacente; (2) sistemas que utilizan Las estrategias de infraestructura como servicio (IaaS) deben protegerse y; (3) dispositivos que los administradores usan también requieren protección. Dado que solo el 2 por ciento de todos Las máquinas Android que se usan globalmente se actualizan a la última versión 7.0, hay un amplio oportunidad de explotar esta enorme base instalada de más de mil millones de máquinas. Implementación insegura de OAuth: Secuestro de cuenta The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 19 https://threatpost.com/oauth-2-0-hack-exposes-1-billion-mobile-apps-to-accountsecuestro / 121889 / 10 de noviembre de 2016 Los investigadores encontraron que más del 40 por ciento de las aplicaciones móviles de terceros, cuando probado, son vulnerables al ataque del hombre en el medio. Esto se debe a inseguridad implementación de OAuth 2.0, que permite a los atacantes explotar las cuentas de los usuarios. los la causa raíz está fuera de lugar, confíe en la información de autenticación recibida del aplicación movil. Ex empleados de Zynga alegan robo de datos Insiders maliciosos The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 21 http://arstechnica.com/tech-policy/2016/11/zynga-sues-2-former-employees-overpresunto robo masivo de datos / Los empleados con acceso a archivos altamente confidenciales en la compañía de juegos Zynga copiaron una gran cantidad de datos de propiedad de la cuenta de Google Drive de la compañía a un unidad USB local antes de abandonar la empresa para unirse a un fabricante de juegos rival. Robo de información de clientes de T-Mobile Insiders maliciosos The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 21 http://thehackernews.com/2016/06/t-mobile-hacked.html 20 de junio de 2016 Es muy difícil lidiar con una persona maliciosa, como una compañía de T-Mobile en la República Checa descubierto. Según varios medios de comunicación que informaron sobre la historia en junio de 2016, un empleado que era "parte de un pequeño equipo que trabajaba con datos de clientes" era atrapado tratando de vender 1,5 millones de registros de clientes en el mercado negro. NetTraveler avanzó amenazas persistentes Amenazas persistentes avanzadas (APT) Referencia original Anécdota / Ejemplo Enlace The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 23 https://www.proofpoint.com/sites/default/files/proofpoint_q4_threat_report-a4.pdf - Página 18 - NetTraveler APT apunta a intereses rusos y europeos https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russianintereses europeos http://researchcenter.paloaltonetworks.com/2016/01/nettraveler-spear-phishing-emailobjetivos-diplomático-de-uzbekistán / NetTraveler, un APT utilizado en campañas de ciberataques desde 2016, es entregado por actores a objetivos en Rusia, Mongolia, Bielorrusia y otros países europeos a través de phishing. NetTraveler es un troyano que utiliza enlaces de Localizador uniforme de recursos (URL) a Roshal Archive (RAR) ejecutables comprimidos y archivos adjuntos de Microsoft (MS) Office, creados con el MNKit, que explota la vulnerabilidad CVE-2012-0158. En enero de 2016, el blog de Palo Alto Networks informó: “El 12 de diciembre de 2015, una lanzaSe envió un correo electrónico de phishing a un diplomático de la Embajada de Uzbekistán. El cuerpo y el sujeto del correo electrónico sugiere que el correo electrónico fue falsificado para parecer que fue enviado por el ruso El Ministerio de Relaciones Exteriores y el anexo pueden contener un informe anual oficial sobre CHS (Consejo de jefes de Estados miembros), que forman la OCS (Organización de Cooperación de Shanghai) ". Se descubrió que el archivo adjunto se creó con MNKit Toolkit. Cuando se abre el documento entregado por el correo electrónico, se deposita un archivo ejecutable en El sistema del usuario que podría explotar una debilidad en Microsoft Media Server (MMS) Control ActiveX de controles comunes de Windows (MSCOMCTL.OCX), que a su vez podría permitir un atacante remoto para ejecutar código arbitrario en el sistema con los privilegios de la víctima. Las vulnerabilidades y exposiciones comunes (CVE) asociadas con NetTraveler, CVE-20120158, se ha abordado en las versiones actuales de MS Office. Este APT, sin embargo, todavía está activo. y utilizado en organizaciones que incluyen fabricantes de armas, derechos humanos activistas y grupos prodemocráticos. Fecha 7 de julio de 2016 Virlock ransomware Pérdida de datos Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 25 https://resources.netskope.com/h/i/290799411-cloud-malware-fan-out-with-virlockSecuestro de datos 27 de septiembre de 2016 Virlock es un caso especial de ransomware que encripta archivos y también los infecta, convirtiéndolo así en un ransomware infeccioso de archivos polimórficos. Como resultado, cualquier usuario que posteriormente abre el archivo infectado también se infecta, infectando / encriptando todo los archivos en el nuevo sistema. El ransomware Virlock exhibe un nuevo vector de propagación con una combinación de ransomware y características de infección de archivos que serían perjudicial para una organización empresarial. Esta amplificación de infección requiere escaneo de seguridad adecuado en todos los recursos, incluidos los recursos compartidos en la nube. Incumplimiento de Yahoo Diligencia debida insuficiente Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 27 https://en.wikipedia.org/wiki/Yahoo!_data_breaches https://www.leahy.senate.gov/imo/media/doc/9-27-16%20Yahoo%20Breach%20Letter.pdf http://fortune.com/2016/12/19/yahoo-hack-cyber-security/ http://www.nbcnews.com/tech/tech-news/your-yahoo-account-was-probably-hackedempresa-conjunto-confirmar-masivo-n652586 http://www.reuters.com/article/us-verizon-yahoo-cyber-idUSKCN12D2PW http://www.verizon.com/about/news/verizon-and-yahoo-amend-terms-definitiveacuerdo 1 de julio de 2016 En julio de 2016, Verizon acordó comprar el negocio principal de Internet de Yahoo por $ 4.8 mil millones, aunque la venta final está pendiente. Desde entonces, dos infracciones importantes de Yahoo la seguridad ha sido reportada. La primera violación, ocurrida en agosto de 2013, fue informado en diciembre de 2016. Este ataque afectó a aproximadamente mil millones de usuarios cuentas La violación más reciente, ocurrida a fines de 2014 e informada en septiembre 2016: afectó aproximadamente 500 millones de cuentas. Preocupaciones sobre divulgación, políticas de seguridad, procedimientos de seguridad y aparente se han planteado inversiones mediocres en infraestructura de seguridad de todo el sistema. Por qué ¿tomó tanto tiempo informar? ¿Por qué se utilizó la antigua tecnología de cifrado? ¿Preguntas y respuestas de seguridad almacenadas sin cifrado? El comentario más significativo vino del consejero general de Verizon, Craig Silliman: “I creemos que tenemos una base razonable para creer en este momento que el impacto es material, y Esperamos que Yahoo nos demuestre el impacto total. Si ellos creen que es no, entonces tendrán que mostrarnos eso ". Como resultado de los ataques, las dos compañías anunciaron un acuerdo revisado sobre 21 de febrero de 2017 para reducir el precio original de su acuerdo en $ 350 millones. Bajo la nuevas condiciones, Yahoo también será responsable de las responsabilidades derivadas de los accionistas pleitos e investigaciones de la Comisión de Bolsa y Valores de los Estados Unidos (SEC). Además, una vez finalizada la venta, Yahoo seguirá siendo responsable de 50 por ciento de cualquier pasivo en efectivo que pueda incurrir relacionado con investigaciones que no sean de la SEC, así como litigios de terceros relacionados con las infracciones. La transacción aún está se espera que cierre en algún momento del segundo trimestre de 2017. Malware que utiliza servicios en la nube para extraer datos y evitar la detección Abuso y uso nefasto de servicios en la nube Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 30 http://www.securityweek.com/malware-used-china-apt-group-abuses-dropbox 1 de diciembre de 2015 Los servicios en la nube proporcionan una excelente infraestructura o plataformas para crear aplicaciones. Son robustos, accesibles y tienen muchas ventajas de costos cuando se diseñan adecuadamente. Sin embargo, estas mismas ventajas también atraen a los piratas informáticos porque la infraestructura de la nube es una ubicación tentadora para alojar la infraestructura de Comando y Control (C&C) para botnets Las organizaciones raramente bloquean el tráfico a grandes proveedores de la nube, lo que significa nube Los servicios son casi siempre accesibles. Porque el tráfico legítimo también se usa en junto con el tráfico malicioso, el tráfico nefasto es más difícil de detectar. En diciembre de 2015, un informe de FireEye reveló una campaña de phishing dirigido en una organización de medios de Hong Kong, que utilizaba una variante del malware LOWBALL para apuntar a la red local. El malware utilizó el protocolo de transferencia de hipertexto seguro (HTTPS) para acceder a la interfaz de programación de aplicaciones (API) de Dropbox y descargar archivos de configuración ubicados en una carpeta compartida de Dropbox. El uso de tan común Los atacantes utilizan API sobre puertos legítimos a un servicio comercial para para "mezclarse con la multitud", evitando así ciertos tipos de herramientas de detección sobre el red. Zepto ransomware se extendió y alojado en servicios de almacenamiento en la nube: Abuso y uso nefasto de servicios en la nube Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 30 https://resources.netskope.com/h/i/273457617-zepto-variant-of-locky-ransomwareentregado a través de aplicaciones populares de almacenamiento en la nube 19 de julio de 2016 En julio de 2016, los investigadores de seguridad descubrieron una nueva cepa del ransomware Zepto compartido entre usuarios de la nube. Esta cepa de Zepto llega a su destino por correo no deseado correos electrónicos que utilizan mensajes atractivos y nombres de archivos para alentar al destinatario a abra el correo electrónico y descargue el archivo infectado. Estos archivos usan una extensión de .wsf, lo que hace que Windows asigne un icono que parece similar a un icono de hoja de cálculo. Este icono (junto con un nombre de archivo de hoja de cálculo_286.wsf) puede causar todo menos el destinatarios más atentos para ver el archivo adjunto como legítimo. Los archivos / mensajes luego se comparten entre colegas que usan aplicaciones SaaS en la nube como Microsoft OneDrive, Google Drive, Box, Dropbox, etc. Comando de alojamiento de malware CloudSquirrel y control (C&C) en Dropbox Abuso y uso nefasto de servicios en la nube Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 30 https://resources.netskope.com/h/i/272453388-cloudsquirrel-malware-squirrels-awayaplicaciones de nube-populares-datos-usuario-sensibles 15 de julio de 2016 Probablemente originario de Brasil (basado en nombres y parámetros), CloudSquirrel está escrito en Java y se distribuye utilizando la plataforma como servicio Jelastic de ServInt (PaaS). Jelastic redirige a la plataforma de colaboración CloudApp que, a su vez, utiliza Amazon AWS por sus servicios de backend en la nube. Este malware en la nube utiliza activamente Dropbox para su Comunicaciones de comando y control (C&C). El ataque CloudSquirrel llega a través de un ataque de phishing por correo electrónico. Este correo electrónico de ataque intenta engañar a su víctima para que la abra con una "factura de impuestos" u otra aparentemente enlaces con sonido oficial. Una vez abierto, CloudSquirrel infecta a los usuarios mediante la descarga cargas útiles cifradas maliciosas adicionales a través de un archivo JAR. Las cargas útiles pueden incluir ladrones de información y contraseñas. Una vez que el malware en la nube establece una conexión con su C&C alojado en Dropbox, sus comandos se hacen pasar por archivos de texto sin formato con extensiones falsas, como .mp4, .wmv, .png, .dat y .wma. CloudFanta Malware usando almacenamiento en la nube para la entrega de malware Abuso y uso nefasto de servicios en la nube Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 30 https://resources.netskope.com/h/i/295875750-cloudfanta-pops-with-the-cloud-usingSugarSync 18 de octubre de 2016 CloudFanta llega como un archivo adjunto o enlace en un correo electrónico de phishing que atrae la víctima para ejecutar el archivo o haga clic en el enlace. El malware CloudFanta utiliza el Aplicación de almacenamiento en la nube SugarSync para entregar un archivo JAR que funciona como un descargador. El archivo JAR de descarga utiliza nuevamente SugarSync para descargar Dynamic Linked Archivos de biblioteca (DLL) con una extensión ".png". Estos archivos DLL, que luego se renombran a la extensión ".twerk", son responsables de robar las credenciales de correo electrónico de la víctima, enviando correos electrónicos maliciosos en nombre de la víctima, y también para monitorear a las víctimas actividades de banca en línea. Ataque Dyn DDoS Negación de servicio Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 32 http://www.darkreading.com/attacks-breaches/ddos-attack-on-dns-provider-disruptsokta-twitter-pinterest-reddit-cnn-others / d / d-id / 1327252 https://www.nanog.org/sites/default/files/20161016_Madory_Backconnect_S_ Sospechoso_Bgp_v2.pdf https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/ http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/ http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ https://blog.cloudmark.com/2016/10/21/circumventing-the-dyn-ddos-attack-andpreviniendo a otros como él / http://searchsecurity.techtarget.com/news/450401962/Details-emerging-on-Dyn-DNSDDoS-attack-Mirai-IoT-botnet 21 de octubre de 2016 Este ataque involucró dispositivos de Internet de las cosas (IoT) comprometidos que tampoco tenían protección de contraseña básica o se habilitaron con contraseñas predeterminadas. Los atacantes apuntó al proveedor del Sistema de nombres de dominio (DNS), Dyn, después de atacar a conocidos periodista de seguridad Brian Krebs. Este ataque afectó la capacidad de los clientes de acceder a muchos de los principales servicios basados en la nube, empresas, incluidas Twitter, Spotify y algunos proveedores de servicios en la nube que ofrecen diversos servicios basados en la nube, como la autenticación y el cifrado. Muchos de estos las empresas utilizaron exclusivamente Dyn para su Servicio de nombres de dominio y, por lo tanto, no pudieron para esquivar el ataque. Las mitigaciones para este ataque incluyeron el uso interno de un proveedor de DNS secundario, u otro proveedor de DNS de terceros como respaldo. El ataque finalmente se detuvo al bloquear todos los dispositivos IoT infectados de Internet. Mientras los fabricantes de dispositivos IoT continúen usando contraseñas predeterminadas y heredadas protocolos de red (telnet), tales ataques continuarán ocurriendo en el futuro. Oficina Australiana de Estadística negación de servicio Negación de servicio Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 32 http://www.cso.com.au/article/604910/attack-australian-census-site-didn-t-registerddos-sensores globales / http://www.cso.com.au/article/604910/attack-australian-census-site-didn-t-register- ddos-sensores globales / http://www.abs.gov.au/ausstats/[email protected]/ mediareleasesbyReleaseDate / 617D51FA32D27BF9CA25800A0077B7BD? http://www.abc.net.au/news/2016-10-25/abs-officials-face-parliamentary-grilling-overcenso / 7960480 11 de agosto de 2016 El 9 de agosto de 2016, la Oficina Australiana de Estadísticas (ABS) intentó implementar El primer censo nacional se realizó completamente en línea. A pesar de planificar problemas relacionados para la carga anticipada y realizar pruebas de sistemas antes del lanzamiento, el sitio web del censo se estrelló y se desconectó la noche del censo. Como resultado, nadie pudo completar su formulario de censo (requerido legalmente). El ABS emitió un comunicado de prensa el 10 de agosto, declarando: "El censo en línea de 2016 el formulario estuvo sujeto a cuatro ataques de denegación de servicio ayer de diversa naturaleza y gravedad. Los primeros tres causaron interrupciones menores ... Después del cuarto ataque, justo después 7:30 pm, el ABS tomó la precaución de cerrar el sistema para garantizar integridad de los datos ". En una audiencia posterior en el Senado, los representantes informaron que la mayoría de los DDoS el tráfico que hizo caer el sitio web fue enrutado a través de Singapur. Ejecutivos de IBM admitió que la interrupción podría no haber ocurrido si hubieran apagado su enrutador y otra vez." Cloudflare / Cloudbleed buffer vulnerabilidad de desbordamiento Vulnerabilidades tecnológicas compartidas Referencia original Anécdota / Ejemplo Enlace Fecha The Treacherous 12: Cloud Computing Top Threats in 2016 - Pg. 34 https://www.theregister.co.uk/2017/02/24/cloudbleed_buffer_overflow_bug_spaffs_ información personal/ https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflareanalizador de errores / 23 de febrero de 2017 Cloudflare es una popular oferta de seguridad web como servicio en línea. Proporciona contenido. distribución, protección contra la denegación de servicio y otros ataques basados en la web. En Febrero de 2017, Tavis Ormandy del equipo de seguridad de Project Zero de Google descubrió que tres de las características de Cloudflare contenían una vulnerabilidad de desbordamiento de búfer que condujo a pérdida de memoria La vulnerabilidad fue provocada por un marcado de hipertexto desequilibrado Etiquetas de lenguaje (HTML) en las páginas. Contraseñas, claves API y chats confidenciales deVarios clientes de Cloudflare se encuentran entre los datos filtrados y posiblemente almacenados en caché los motores de búsqueda. Desde entonces, la vulnerabilidad se ha denominado "Cloudbleed" y, según los informes, Afectó a 3.438 dominios y 150 clientes de Cloudflare.