Por Daniel Nelson, AVP, Product Management,de BMC Software
El cryptojacking llegó a los encabezados nuevamente hace algunas semanas, luego de la noticia de que la nube de Tesla fue comprometida por hackers para extraer ilegalmente las cripto-monedas. Apenas hace un año, el cryptojacking no era ni siquiera reconocido como una clase de ciberataque, lo que da una idea de qué tan rápido se ha desarrollado esta última estrategia del cibercrimen.
Los investigadores recientemente descubrieron que la infraestructura de nube AWS de Tesla había sido infiltrada con malware. En función de ello, y para asegurar que su imagen de empresa desarrolladora de autos eléctricos de punta permanezca sin daños, la respuesta de Tesla para la eliminación del malware y el bloqueo de su nube en la AWS fue rápida y eficaz. Aunque las consecuencias del ataque han sido minimizadas, no se debe ignorar el hecho perturbador de que el cryptojacking representa una amenaza cada vez más peligrosa y amplia a la seguridad de los negocios, su infraestructura y los servicios públicos.
Además, esta invasión revela cómo los cibercriminales se han mejorado y utilizado técnicas más sofisticadas para llegar a las grandes empresas, ya sea para obtener ganancias o para causar interrupciones. En el caso de Tesla, por ejemplo, los hackers no sólo atacaron la nube pública para robar datos confidenciales, también secuestraron sistemas de Cloud para extraer criptomonedas, como Bitcoin.
Como mencioné anteriormente, la nube de Tesla estaba comprometida en función de una configuración insegura de clústers Kubernetes en su cuenta de la nube Amazon Web Services. Esto demuestra claramente el hecho de que esta amenaza no desaparecerá pronto, ya que grandes empresas multinacionales como Aviva y Gemalto, también fueron afectadas.
¿Cómo pueden protegerse las empresas?
El cryptojacking se está convirtiendo claramente en una nueva y emergente amenaza, por lo que es tiempo de considerar su naturaleza y su amplio impacto, específicamente en los clústeres de contenedores Kubernetes.
Primero, ¿por qué Kubernetes es la plataforma de elección para el cryptojacking? La tecnología de contenedores ha sido súper efectiva en términos de ayudar a mejorar la productividad de los desarrolladores, por lo que están creciendo en popularidad. Sin embargo, a pesar de sus muchos beneficios en eficiencia de workflow, a muchas empresas les falta conocimiento sobre gobernanza y uso de tecnología, que puede crear lagunas en términos de seguridad.
En segundo lugar, el footprint de Kubernetes en AWS está muy extendido, con 63% de los stacks de Kubernetes corriendo en AWS. Esta prevalencia de clústeres Kubernetes, junto con su complejidad de gestión y configuraciones inseguras, es lo que potencialmente deja la puerta abierta para los ataques de extracción de criptomonedas.
Aparte de las facturas notablemente altas de las nubes públicas, estas brechas pueden llevar a un ataque de varias etapas en donde una brecha de Kubernetes puede comprometer claves, datos y máquinas más allá del clúster. Lo que es una mayor preocupación para grandes empresas que abastecen miles de contenedores cada semana.
Tres pasos para proteger clústeres Kubernetes
Hay tres recomendaciones importantes con los que la empresa protejan sus clústeres Kubernetes y eviten las recientes amenazas de cryptojacking: detección de puntos ciegos, evaluación de seguridad y monitoreo, automatización y corrección continua de procesos. A continuación los detalles adicionales de cada sugerencia:
Identificación de puntos ciegos: Detectar todos sus clústeres Kubernetes corriendo en AWS es el primer desafío. Para proteger clústeres Kubernetes necesita encontrar en dónde existen usando varias herramientas para encontrarlos.
Fortalecer todos los contenedores: Una vez descubiertos los clústeres de Kubernetes, es necesario asegurarse de que estén correctamente protegidos. Hay varias capas en una pila de contenedores y cada una de ellas debe protegerse. Un desafío adicional de seguridad es el hecho de que muchos instaladores estándar de Kubernetes son developer-friendly, con configuraciones vulnerables.
Automatice las revisiones de Kubernetes: Por último, es esencial que las empresas utilicen una solución que automatice su proceso de seguridad, como el SecOps Policy Service para monitorear, evaluar y arreglar continuamente los ataques a los contenedores.
Crecimiento rápido en adopción de tecnología de contenedores. El ataque de Tesla es tan solo el último hackeo de alto perfil en su tipo, para resaltar la creciente importancia de estas revisiones de seguridad básicas de la nube AWS para la empresa.
Como la tecnología de contenedores adoptada en AWS está creciendo rápidamente, los cibercriminales continuarán tratando de encontrar y atacar vulnerabilidades que surgen debido a la complejidad de la gestión de los siempre cambiantes stacks de contenedores.
Si empresas como Tesla y Aviva hubieran seguido estos tres pasos señalados anteriormente, hubieran prevenido que esos ataques ocurrieran, en primer lugar. Hasta ahora, los resultados de los ataques parecen no haber sido significativos en términos de hackers causando disrupciones mayores a los servicios o infraestructura, ni siquiera permitió que pudieran extraer grandes cantidades de criptomonedas. Sin embargo, estas violaciones del tipo cryptojacking deben servir como alerta para cualquier empresa. Ignorar los consejos por encima de la seguridad puede ser un peligro