A principios de 2024, Wing Security publicó su informe sobre el estado de la seguridad de SaaS , que ofrece información sorprendente sobre las amenazas emergentes y las mejores prácticas en el dominio SaaS. Ahora, a mediados de año, varias predicciones de amenazas SaaS del informe ya han demostrado ser precisas. Afortunadamente, las soluciones SaaS Security Posture Management (SSPM) han priorizado las capacidades de mitigación para abordar muchos de estos problemas, garantizando que los equipos de seguridad tengan las herramientas necesarias para enfrentar estos desafíos de frente.
En este artículo, revisaremos nuestras predicciones de principios de año, mostraremos ejemplos del mundo real de estas amenazas en acción y ofreceremos consejos prácticos y mejores prácticas para ayudarle a prevenir este tipo de incidentes en el futuro.
También vale la pena señalar la tendencia general de una frecuencia cada vez mayor de infracciones en el panorama dinámico de SaaS actual, lo que lleva a las organizaciones a exigir alertas de amenazas oportunas como una capacidad vital. Las regulaciones de la industria con fechas límite de cumplimiento próximas exigen informes similares de violaciones urgentes. Estos cambios en el mercado significan que las capacidades de inteligencia de amenazas fáciles, rápidas y precisas se han vuelto especialmente esenciales para todas las organizaciones que utilizan SaaS, además de comprender los tipos de amenazas específicos que se detallan a continuación.
Predicción de amenaza 1: IA en la sombra
El uso oculto de la IA en una plataforma de comunicaciones
En mayo de 2024, una importante plataforma de comunicación enfrentó una reacción violenta por utilizar datos de usuario de mensajes y archivos para entrenar modelos de aprendizaje automático para búsquedas y recomendaciones. Esta práctica generó importantes preocupaciones sobre la seguridad de los datos de las organizaciones, ya que estaban preocupadas por la posible exposición y el uso indebido de su información confidencial. Los usuarios sintieron que no estaban adecuadamente informados sobre esta práctica y que el proceso de exclusión voluntaria era inconveniente. Para abordar estas preocupaciones, la plataforma aclaró sus políticas de uso de datos y facilitó la exclusión voluntaria.
Por qué esto importa
Esta falta de transparencia efectiva en torno al uso de la IA en aplicaciones SaaS es preocupante. Con más de 8.500 aplicaciones que tienen capacidades de IA generativa integradas y seis de las diez principales aplicaciones de IA que aprovechan los datos del usuario para la capacitación, el potencial para la «IA en la sombra» (uso no autorizado de IA) está en todas partes.
Hoy en día, los servicios SaaS se incorporan fácilmente a las organizaciones y los términos y condiciones a menudo se pasan por alto. Este comportamiento abre la puerta a que miles de aplicaciones SaaS accedan a una mina de oro de información confidencial y privada de la empresa y potencialmente entrenen modelos de IA en ella. La reciente controversia sobre el uso de datos de clientes para el aprendizaje automático muestra cuán real es esta amenaza.
Combatiendo la IA en las sombras con SSPM automatizado
Las organizaciones deben tomar varias medidas para mejorar su seguridad contra posibles amenazas de IA. En primer lugar, recuperar el control sobre el uso de la IA descubriendo y comprendiendo todas las aplicaciones de IA y SaaS impulsadas por IA en uso. En segundo lugar, es fundamental identificar la suplantación de aplicaciones mediante el monitoreo de la introducción de SaaS riesgoso o malicioso, incluidas aplicaciones de inteligencia artificial que imitan versiones legítimas. Por último, la remediación mediante IA se puede automatizar mediante el uso de herramientas que ofrecen flujos de trabajo de remediación automatizados para abordar rápidamente cualquier amenaza identificada.
Predicción de amenaza 2: cadena de suministro
Los actores de amenazas apuntan a una popular empresa de almacenamiento en la nube
Ha salido a la luz una reciente filtración de datos en un servicio basado en la nube. Fue descubierto el 24 de abril de 2024 y revelado el 1 de mayo. La infracción implicó acceso no autorizado a las credenciales del cliente y a los datos de autenticación. Se sospecha que una cuenta de servicio utilizada para ejecutar aplicaciones y servicios automatizados dentro del entorno backend se vio comprometida, lo que provocó la exposición de información del cliente, como correos electrónicos, nombres de usuario, números de teléfono, contraseñas hash, así como datos esenciales para la integración de terceros. como claves API y tokens OAuth.
Por qué esto importa
Los controles periódicos de la cadena de suministro de SaaS simplemente no son suficientes. Los empleados pueden agregar fácil y rápidamente nuevos servicios y proveedores al entorno SaaS de su organización, lo que hace que la cadena de suministro sea más compleja. Con cientos de aplicaciones SaaS interconectadas, una vulnerabilidad en una puede afectar a toda la cadena de suministro. Esta infracción subraya la necesidad de una detección y respuesta rápidas. Regulaciones como NY-DFS ahora obligan a los CISO a informar incidentes dentro de sus cadenas de suministro dentro de las 72 horas.
Combatir las vulnerabilidades de la cadena de suministro con SSPM automatizado
En 2024, los CISO y sus equipos deben tener acceso a alertas rápidas de inteligencia sobre amenazas. Esto garantiza que estén bien informados sobre los incidentes de seguridad en su cadena de suministro de SaaS, lo que permite respuestas rápidas para minimizar daños potenciales. Las medidas preventivas, como la gestión eficaz de riesgos de terceros (TPRM), son cruciales para evaluar los riesgos asociados con cada aplicación. A medida que continúan las amenazas a la seguridad de SaaS, incluidas las conocidas y las emergentes, la gestión de riesgos eficaz requiere priorizar el monitoreo de amenazas y utilizar una solución segura de gestión de la postura de seguridad (SSPM) de SaaS.
Predicción de amenazas 3: acceso a credenciales
Ciberataque a un importante proveedor de atención médica
En febrero de 2024, un importante proveedor de atención médica fue víctima de un ciberataque en el que los investigadores creen que los atacantes utilizaron credenciales de inicio de sesión robadas para acceder a un servidor. Una conclusión clave es que la combinación de autenticación multifactor (MFA) ausente y acompañada de un token robado permitió el acceso no autorizado.
Por qué esto importa
En la seguridad de SaaS, el abuso de credenciales comprometidas no es una tendencia nueva. Según un informe reciente, durante el año pasado se produjo un sorprendente promedio de 4.000 ataques a contraseñas bloqueadas por segundo. A pesar del aumento de métodos de ataque más sofisticados, los actores de amenazas a menudo explotan la simplicidad y eficacia del uso de información de inicio de sesión robada. La implementación de estrictos controles de acceso, revisiones periódicas y auditorías es esencial para detectar y abordar vulnerabilidades. Esto garantiza que solo las personas autorizadas tengan acceso a la información relevante, minimizando el riesgo de acceso no autorizado.
Combatir los ataques a credenciales con SSPM automatizado
Para combatir los ataques a credenciales, las organizaciones necesitan un enfoque multifacético. Los equipos de seguridad deben monitorear las contraseñas filtradas en la web oscura para identificar y responder rápidamente a las credenciales comprometidas. Luego, implementar la autenticación multifactor (MFA) resistente al phishing agregará una capa sólida de seguridad que evitará el acceso no autorizado incluso si se roban las contraseñas. Además, los equipos de seguridad deben buscar continuamente actividades anormales dentro de los sistemas para detectar y abordar posibles infracciones antes de que causen un daño significativo.
Predicción de amenaza 4: omisión de MFA
La nueva herramienta PaaS omite MFA para Gmail y Microsoft 365
Ha surgido una nueva herramienta de phishing como servicio (PaaS) llamada «Tycoon 2FA», que simplifica los ataques de phishing en cuentas de Gmail y Microsoft 365 al eludir la autenticación multifactor (MFA). A mediados de febrero de 2024, se lanzó una nueva versión de Tycoon 2FA, que utiliza la técnica AiTM (Adversario en el medio) para evitar MFA. Este exploit implica que el servidor del atacante aloje una página web de phishing, intercepte las entradas de la víctima y las transmita al servicio legítimo para solicitar la solicitud MFA. Luego, la página de phishing Tycoon 2FA transmite las entradas del usuario a la API de autenticación legítima de Microsoft, redirigiendo al usuario a una URL legítima con una página web «no encontrada».
Por qué esto importa
Muchas organizaciones descuidan por completo la MFA, dejándolas vulnerables a posibles infracciones. En nuestra investigación, el 13% de las organizaciones no implementaron MFA en ninguno de sus usuarios. Esta ausencia de protección de autenticación puede ser aprovechada por personas no autorizadas para acceder a datos o recursos confidenciales. La implementación de MFA fortalece eficazmente las defensas contra el acceso no autorizado y los ataques SaaS, lo que la convierte en la solución óptima contra los ataques de relleno de credenciales.
Combatir la omisión de MFA con SSPM automatizado
Las soluciones SSPM automatizadas verifican continuamente las configuraciones de MFA y monitorean cualquier signo de intento de omisión. Al automatizar estas comprobaciones, las organizaciones pueden garantizar que MFA se implemente correctamente y funcione de manera efectiva, evitando así ataques sofisticados que tienen como objetivo eludir las protecciones de MFA. La automatización garantiza que la configuración de MFA esté siempre actualizada y se aplique correctamente en toda la organización. Es recomendable utilizar múltiples formularios de identificación y procesos de inicio de sesión de varios pasos, como múltiples contraseñas y pasos de verificación adicionales.
Amenaza prevista 5: Amenazas interconectadas
Incidente de acceso no autorizado
El 11 de mayo de 2024, una empresa de tecnología financiera experimentó un acceso no autorizado a su espacio de usuario en una plataforma de depósito de códigos SaaS de terceros. La empresa abordó rápidamente el problema y enfatizó que no se almacenaba información del cliente en el repositorio. Sin embargo, durante su investigación, la empresa descubrió que una credencial de su espacio de usuario fue robada y utilizada para acceder a su entorno de producción. Esta transición de la plataforma SaaS de terceros a la infraestructura de la empresa permitió al atacante obtener acceso a los datos del cliente almacenados en el entorno de producción.
Por qué esto importa
El aumento de los ataques entre dominios pone de relieve la creciente sofisticación de las ciberamenazas, que afectan tanto a los entornos locales como a los de nube y SaaS. Para comprender esta amenaza, debemos considerar la perspectiva de los actores de amenazas que explotan cualquier oportunidad disponible para acceder a los activos de una víctima, independientemente del dominio. Si bien estos dominios suelen verse como superficies de ataque separadas, los atacantes los ven como componentes interconectados de un único objetivo.
Combatir los ataques entre dominios con SSPM automatizado
Las herramientas SSPM brindan una visión holística de la postura de seguridad de una organización. Al monitorear y proteger continuamente el dominio SaaS, las amenazas se pueden limitar y contener. Además, al automatizar la detección y respuesta a amenazas, las organizaciones pueden aislar y mitigar rápidamente las amenazas.
La importancia de la velocidad y la eficiencia en la lucha contra las infracciones de SaaS
La automatización en la seguridad de SaaS es indispensable para las organizaciones que necesitan mejorar su postura de seguridad y abordar eficazmente las violaciones de seguridad. Las herramientas SSPM agilizan funciones críticas como la detección de amenazas y la respuesta a incidentes, lo que permite a los equipos de seguridad operar con mayor eficiencia y escalabilidad.
Al automatizar las tareas rutinarias, las organizaciones pueden identificar y mitigar proactivamente los riesgos de seguridad, garantizando respuestas más rápidas y efectivas a las infracciones. Aprovechar el poder de la automatización SSPM no solo fortalece las defensas cibernéticas, sino que también ahorra tiempo y recursos valiosos, lo que permite a las organizaciones abordar las amenazas cibernéticas en evolución con mayor precisión y velocidad.
Fuente y redacción: thehackernews.com
