La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.