A mediados de 2024, Wing Security publicó su informe «Estado de la Seguridad SaaS«, ofreciendo asombrosas perspectivas sobre amenazas emergentes y las mejores prácticas en el dominio SaaS. A mitad de año, varias predicciones de amenazas SaaS del informe ya se han confirmado. Afortunadamente, las soluciones de Gestión de Postura de Seguridad SaaS (SSPM) han priorizado capacidades de mitigación para abordar muchos de estos problemas, asegurando que los equipos de seguridad tengan las herramientas necesarias para enfrentar estos desafíos de frente.
‘
En este artículo, revisaremos nuestras predicciones anteriores, mostraremos ejemplos reales de estas amenazas en acción y ofreceremos consejos prácticos y mejores prácticas para ayudarte a prevenir tales incidentes en el futuro.
‘
Vale la pena destacar la tendencia general de un aumento en la frecuencia de las brechas en el dinámico panorama SaaS actual, lo que lleva a las organizaciones a exigir alertas de amenazas oportunas como una capacidad vital. Las regulaciones de la industria con próximos plazos de cumplimiento exigen la notificación oportuna de brechas similares. Estos cambios en el mercado significan que las capacidades de inteligencia de amenazas fáciles, rápidas y precisas se han vuelto especialmente esenciales para todas las organizaciones que utilizan SaaS, además de comprender los tipos de amenazas detallados a continuación.
‘
Predicción de Amenaza 1: IA Oculta
‘
En mayo de 2024, una importante plataforma de comunicaciones enfrentó críticas por utilizar datos de usuarios de mensajes y archivos para entrenar modelos de aprendizaje automático para la búsqueda y recomendaciones. Esta práctica planteó preocupaciones significativas de seguridad de datos para las organizaciones, ya que se preocupaban por la exposición y el uso indebido de su información sensible. Los usuarios sintieron que no fueron informados adecuadamente sobre esta práctica y que el proceso de exclusión era inconveniente. Para abordar estas preocupaciones, la plataforma aclaró sus políticas de uso de datos y facilitó la exclusión.
‘
Esta falta de transparencia efectiva en torno al uso de IA en aplicaciones SaaS es preocupante. Con más de 8,500 aplicaciones que tienen capacidades de inteligencia artificial generativa incrustada y seis de las diez mejores aplicaciones de IA que aprovechan datos de usuario para entrenamiento, el potencial de «IA Oculta» – uso no autorizado de IA – está en todas partes.
‘
Los servicios SaaS en la actualidad se integran fácilmente en las organizaciones y a menudo se pasan por alto los términos y condiciones. Este comportamiento abre la puerta para que miles de aplicaciones SaaS accedan a una mina de información confidencial y privada de la empresa y potencialmente la utilicen para entrenar modelos de IA. La reciente controversia sobre el uso de datos de clientes para el aprendizaje automático muestra cuán real es esta amenaza.
‘
Combatiendo la IA Oculta con SSPM Automatizado
‘
Las organizaciones deben tomar varias medidas para mejorar su seguridad contra posibles amenazas de IA. Primero, recuperar el control sobre el uso de IA descubriendo y entendiendo todas las aplicaciones de IA y SaaS alimentadas por IA en uso. Segundo, es fundamental identificar la suplantación de aplicaciones monitoreando la introducción de SaaS riesgosos o maliciosos, incluidas aplicaciones de IA que imitan versiones legítimas. Finalmente, la remediación de IA puede ser automatizada utilizando herramientas que ofrecen flujos de trabajo de remediación automatizados para abordar rápidamente cualquier amenaza identificada.
‘
Predicción de Amenaza 2: Cadena de Suministro
‘
Un reciente incidente de violación de datos en un servicio basado en la nube ha salido a la luz. Se descubrió el 24 de abril de 2024 y se reveló el 1 de mayo. La violación involucró acceso no autorizado a credenciales de clientes y datos de autenticación. Se sospecha que se comprometió una cuenta de servicio utilizada para ejecutar aplicaciones y servicios automatizados dentro del entorno backend, lo que condujo a la exposición de información de clientes como correos electrónicos, nombres de usuario, números de teléfono, contraseñas encriptadas, así como datos esenciales para la integración de terceros como claves de API y tokens OAuth.
‘
Las verificaciones periódicas de la cadena de suministro de SaaS simplemente no son suficientes. Los empleados pueden agregar nuevos servicios y proveedores a su entorno SaaS de manera fácil y rápida, lo que hace que la cadena de suministro sea más compleja. Con cientos de aplicaciones SaaS interconectadas, una vulnerabilidad en una de ellas puede afectar toda la cadena de suministro. Esta violación subraya la necesidad de una detección y respuesta rápida. Regulaciones como la NY-DFS ahora exigen que los CISO reporten incidentes dentro de sus cadenas de suministro en 72 horas.
‘
Combatiendo las Vulnerabilidades de la Cadena de Suministro con SSPM Automatizado
‘
En 2024, los CISO y sus equipos deben tener acceso a alertas rápidas de inteligencia de amenazas. Esto asegura que estén bien informados sobre incidentes de seguridad en su cadena de suministro SaaS, lo que permite respuestas rápidas para minimizar posibles daños. Medidas preventivas como la Gestión Efectiva de Riesgos de Terceros (TPRM) son cruciales para evaluar los riesgos asociados con cada aplicación. A medida que continúan las amenazas de seguridad SaaS, incluidas las familiares y las emergentes, la gestión efectiva de riesgos requiere priorizar la monitorización de amenazas y utilizar una solución de Gestión Segura de Postura de Seguridad SaaS (SSPM).
‘
Predicción de Amenaza 3: Acceso a Credenciales
‘
En febrero de 2024, un importante proveedor de atención médica fue víctima de un ciberataque en el que los investigadores creen que los atacantes usaron credenciales de inicio de sesión robadas para acceder a un servidor. Un aspecto clave es la ausencia de Autenticación Multifactor (MFA) acompañada por un token robado que permitió el acceso no autorizado.
‘
En la seguridad de SaaS, el abuso de credenciales comprometidas no es una tendencia nueva. Según un informe reciente, se bloquearon de manera asombrosa 4,000 ataques de contraseñas por segundo durante el último año. A pesar del aumento de métodos de ataque más sofisticados, los actores de amenazas a menudo explotan la simplicidad y efectividad de usar información de inicio de sesión robada. Implementar controles de acceso rigurosos, revisiones y auditorías regulares es esencial para detectar y abordar vulnerabilidades. Esto asegura que solo individuos autorizados tengan acceso a información relevante, minimizando el riesgo de acceso no autorizado.
‘
Combatiendo los Ataques a Credenciales con SSPM Automatizado
‘
Para combatir los ataques a credenciales, las organizaciones necesitan un enfoque multifacético. Los equipos de seguridad deben monitorear contraseñas filtradas en la web oscura para identificar y responder rápidamente a credenciales comprometidas. Luego, implementar autenticación multifactor (MFA) resistente al phishing agregará una capa de seguridad robusta que evita el acceso no autorizado incluso si se roban contraseñas. Además, los equipos de seguridad deben buscar continuamente actividad anormal dentro de los sistemas para detectar y abordar posibles brechas antes de que causen un daño significativo.
‘
Predicción de Amenaza 4: Eludir MFA
‘
Ha surgido una nueva herramienta de phishing como servicio (PaaS) llamada «Tycoon 2FA«, que simplifica los ataques de phishing en cuentas de Gmail y Microsoft 365 al eludir la autenticación multifactor (MFA). A mediados de febrero de 2024, se lanzó una nueva versión de Tycoon 2FA, utilizando la técnica AiTM (Adversario en el Medio) para eludir MFA. Este exploit implica que el servidor del atacante aloje una página de phishing, intercepte las entradas del usuario y las envíe al servicio legítimo para solicitar la MFA. La página de phishing Tycoon 2FA luego envía las entradas del usuario a la API de autenticación de Microsoft legítima, redirigiendo al usuario a una URL legítima con una página de «no encontrada».
‘
Muchas organizaciones omiten por completo MFA, dejándolas vulnerables a posibles brechas. En nuestra investigación, el 13% de las organizaciones no implementaron MFA en ninguno de sus usuarios. Esta ausencia de protección de autenticación puede ser explotada por individuos no autorizados para acceder a datos o recursos sensibles. Implementar MFA fortalece eficazmente las defensas contra accesos no autorizados y ataques SaaS mediante credenciales.
‘
Para combatir la elusión de MFA, las soluciones automatizadas de SSPM verifican continuamente las configuraciones de MFA y monitorean cualquier señal de intentos de elusión. Al automatizar estas verificaciones, las organizaciones pueden asegurarse de que MFA se implemente correctamente y funcione de manera efectiva, evitando así ataques sofisticados que buscan eludir las protecciones de MFA. La automatización garantiza que las configuraciones de MFA estén siempre actualizadas y aplicadas correctamente en toda la organización. Es recomendable utilizar múltiples formas de identificación y procesos de inicio de sesión de varios pasos, como contraseñas múltiples y pasos de verificación adicionales.
‘
Predicción de Amenaza 5: Amenazas Interconectadas
‘
El 11 de mayo de 2024, una empresa de tecnología financiera experimentó acceso no autorizado a su espacio de usuario en una plataforma de repositorio de código SaaS de terceros. La empresa abordó rápidamente el problema, enfatizando que no se almacenaba información del cliente en el repositorio. Sin embargo, durante su investigación, la empresa descubrió que se robó una credencial de su espacio de usuario y se utilizó para acceder a su entorno de producción. Esta transición desde la plataforma SaaS de terceros a la infraestructura de la empresa permitió al atacante acceder a datos de clientes almacenados en el entorno de producción.
‘
El aumento de los ataques interdominios subraya la creciente sofisticación de las amenazas cibernéticas, afectando tanto los entornos locales, en la nube como SaaS por igual. Para comprender esta amenaza, necesitamos considerar la perspectiva de los actores de amenazas que explotan cualquier oportunidad disponible para acceder a los activos de la víctima, independientemente del dominio. Si bien estos dominios suelen considerarse superficies de ataque separadas, los atacantes los ven como componentes interconectados de un solo objetivo.
‘
Las herramientas de SSPM proporcionan una visión integral de la postura de seguridad de una organización. Al monitorear y proteger continuamente el dominio SaaS, las amenazas pueden ser limitadas y contenidas. Además, al automatizar la detección y respuesta de amenazas, las organizaciones pueden aislar y mitigar rápidamente las amenazas.
‘
La automatización en la seguridad de SaaS es indispensable para las organizaciones que necesitan mejorar su postura de seguridad y enfrentar de manera efectiva las brechas de seguridad. Las herramientas de SSPM optimizan funciones críticas como la detección de amenazas y la respuesta a incidentes, lo que permite a los equipos de seguridad operar con mayor eficiencia y escalabilidad.
‘
Automatizando tareas rutinarias, las organizaciones pueden identificar y mitigar proactivamente los riesgos de seguridad, asegurando respuestas más rápidas y efectivas a las brechas. Aprovechar el poder de la automatización de SSPM no solo fortalece las defensas cibernéticas, sino que también ahorra tiempo y recursos valiosos, lo que permite a las organizaciones abordar las amenazas cibernéticas con mayor precisión y rapidez.
Vía The Hacker News
