A finales de abril, Vimeo, el segundo mayor servicio de alojamiento, intercambio y transmisión de vídeos después de YouTube, confirmó públicamente que había sufrido una violación de datos que afectaba a aproximadamente 119.000 usuarios y suscriptores.
Sin embargo, como suele ocurrir, el diablo está en los detalles. ShinyHunters, el grupo de ransomware que se atribuyó la responsabilidad, amenazó con exponer los datos de Vimeo a la web oscura después de que Anodet, una empresa de análisis que proporciona detección de anomalías en tiempo real, violara sus defensas.
El producto de Anodot requiere que los clientes tengan acceso directo a fuentes de datos en la nube, como Snowflake, BigQuery, S3 y Kinesis, para monitorear las métricas a nivel de fuente de datos.
El 4 de abril, Anodet informó de una interrupción generalizada cuando sus recopiladores de datos dejaron de funcionar en Snowflake, S3 y Kinesis. Lo que inicialmente parecía ser un incidente de disponibilidad resultó ser una intrusión activa, y ShinyHunters ya estaba dentro del entorno de Anodot y había estado allí el tiempo suficiente para mapear los entornos de los clientes conectados, según sus propias afirmaciones.
Exfiltraron tokens OAuth y claves API que Anodot utiliza para leer las nubes de sus clientes y luego inician sesión directamente en esas nubes de clientes.
El efecto en cadena lo sintieron docenas de empresas, incluida Rockstar Games, después de que Rockstar Games se negara a pagar el rescate después de que ShinyHunters afirmara haber publicado los análisis internos y los datos de informes de la empresa en la web oscura.
Para Vimeo, la compañía confirmó que se divulgaron metadatos de usuario que incluyen información técnica, títulos de video, metadatos de video y direcciones de correo electrónico de clientes, pero aclaró que el contenido de video, contraseñas y detalles de pago no.
ShinyHunters enumeró a Zara, ADT, Udemy, Hims & Hers, Adidas, CarGurus, Crunchyroll y docenas más en el mismo sitio de filtración, todos violados por Anodot Vector.
Un modelo de riesgo B2B en evolución
Esto está lejos de ser un fenómeno singular o novedoso; Esto refleja una estrategia de actor de amenazas que silenciosamente se ha convertido en uno de los modelos de riesgo dominantes para los servicios de datos B2B. Desde cualquier punto de vista, un proveedor que requiere acceso privilegiado al entorno de nube de un cliente representa un objetivo de alto valor.
Una vez que los atacantes obtienen las credenciales del proveedor, efectivamente adquieren un pasaporte para entornos descendentes potencialmente ilimitados. Cada cliente con una confianza federada con ese proveedor puede quedar expuesto a vulnerabilidades dentro del entorno del proveedor.
De hecho, cualquier almacén de datos, desde consultas, detección de anomalías, observabilidad, BI y ETL inverso hasta plataformas de datos de clientes, escaneo de seguridad y análisis de marketing, se encuentra en la misma mira arquitectónica. Las circunstancias y los riesgos no son exclusivos de Anodot.
La pregunta clave para el equipo de seguridad es si un proveedor es seguro en papel. Es cierto que la certificación, las auditorías, las pruebas de penetración y otros procesos de evaluación brindan una instantánea importante de la madurez de la seguridad, pero no necesariamente reflejan cómo se propaga el riesgo cuando un tercero confiable se ve comprometido.
En este entorno, la exposición suele estar determinada por la postura de seguridad del proveedor a través de dependencias arquitectónicas y diseño de acceso.
El rápido crecimiento de la infraestructura nativa de la nube, los modelos de entrega SaaS y las integraciones impulsadas por API son fundamentales para los desafíos que enfrentan los líderes de seguridad. Por definición, esto ha aumentado significativamente la cantidad de servicios de terceros que operan dentro del entorno empresarial.
Por ejemplo, muchas plataformas operativas, de observabilidad, de inteligencia artificial, de seguridad y de análisis dependen de conexiones persistentes a los entornos de los clientes para funcionar de manera efectiva, a menudo a través de API, concesiones de OAuth, cuentas de servicio o roles de identidad en la nube.
En muchas organizaciones, esta integración ha evolucionado con el tiempo, lo que ha dado lugar a relaciones de confianza cada vez más complejas entre los sistemas internos y los proveedores externos.
Si bien estas arquitecturas mejoran la visibilidad operativa y la automatización, también pueden crear rutas de ataque indirectas que se extienden más allá del propio perímetro de seguridad del cliente. Esto es con lo que se han estado enfrentando Anodet y sus distintos clientes.
Estrategias de mitigación
Como se mencionó, esto se ha convertido en un vector de ataque bien comprendido y, como resultado, los equipos de seguridad e infraestructura están reevaluando cada vez más cómo se delega la confianza en los entornos de datos y de nube, especialmente donde los proveedores mantienen un acceso persistente o privilegiado.
Las opciones incluyen reducir el acceso permanente y limitar el alcance de los permisos de terceros siempre que sea posible. Además, las organizaciones que buscan reducir la exposición posterior en caso de que un proveedor se vea comprometido, adoptan cada vez más enfoques arquitectónicos como los certificados de corta duración y la revocación de acceso controlado por el cliente.
En otros lugares, las organizaciones están reduciendo la retención innecesaria de datos de clientes en entornos de terceros, limitando la cantidad de información que podría quedar expuesta durante una infracción. Se trata de una medida muy inteligente desde una perspectiva general de protección de datos y privacidad, independientemente de cómo se viole realmente a las víctimas.
De hecho, muchos líderes de TI y seguridad ahora están evaluando a los proveedores no sólo en cuanto a la certificación de cumplimiento o el estado de las auditorías, sino también en cuanto a cómo se estructura, monitorea, restringe y revoca el acceso al entorno interconectado.
Esto refleja un reconocimiento cada vez mayor de que la exposición a la seguridad está cada vez más determinada por la arquitectura de confianza y la gestión de dependencias tanto como por la defensa perimetral o la seguridad de los terminales.
Repensar el modelo de creencias desde cero
Las estrategias de mitigación son importantes, pero la protección más sostenible proviene de elegir proveedores cuya arquitectura no cree el problema en primer lugar. La violación de Anodot es un ejemplo útil de cómo se ve el modelo de alto riesgo: un proveedor que se ubica en el entorno del cliente, posee credenciales de larga duración y se convierte en un punto único de falla para todos.
La alternativa de bajo riesgo invierte ese modelo por completo. En lugar de que un proveedor llegue a su nube, los datos fluyen desde el proveedor hacia usted. El proveedor proporciona datos estructurados a través de una API o un canal de entrega gestionado; Lo consumes.
Sin concesiones de OAuth en su almacén, sin cuentas de servicio en su nube, sin proveedores que mantengan una sesión persistente en su infraestructura. Si ese proveedor se ve comprometido, el atacante obtiene el propio entorno del proveedor. No te dan una llave maestra.
Esta distinción es cada vez más relevante para los equipos que trabajan en el ámbito de la seguridad con uso intensivo de datos (inteligencia contra amenazas, protección de riesgos digitales, detección de fraude y funciones similares) donde el volumen y la diversidad de fuentes de datos externas crean una exposición significativa a terceros de forma predeterminada.
Para estas partes, la pregunta que vale la pena hacerle a cada proveedor de datos es simple: ¿su producto necesita algún tipo de acceso a mi entorno o los datos simplemente fluyen de usted a mí? La respuesta determina el radio de su explosión de una manera que ningún certificado de cumplimiento puede hacerlo.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
