Conoce todo acerca del futuro de la ciberseguridad sin servidor en el 2025
Los entornos sin servidor que aprovechan los servicios como AWS Lambda, ofrecen increíbles beneficios en términos de escalabilidad, eficiencia y reducción de sobrecarga operativa. No obstante, proteger estos entornos es algo desafiante.
El núcleo de las prácticas de seguridad sin servidor actuales gira en torno a 2 componentes clave: monitoreo de registros y análisis estático del código o la configuración del sistema. Por ello, se han presentado algunos problemas.
En primer lugar, los registros solo cuentan una parte de la historia. Pueden rastrear actividades externas, pero no brindan visibilidad acerca de la ejecución interna de funciones. Por ejemplo, si un ciberdelincuente inyecta código malicioso en una función sin servidor que no interactúa con recursos externos, como APIs o bases de datos externas, las herramientas tradicionales basadas en registros no van a detectar la intrusión.
Los actores de amenazas pueden ejecutar procesos no autorizados, manipular archivos o escalar privilegios, todo sin activar eventos de registro. Del mismo modo, la detección de errores de configuración estáticos es incompleta.
Las herramientas estáticas que verifican errores de configuración son excelentes para detectar problemas, como roles de IAM demasiado permisivos o variables de entorno sensibles, las cuales están expuestas a las partes equivocadas.
Sin embargo, estas herramientas no pueden tener en cuenta lo que sucede en tiempo real, detectar explotaciones a medida que ocurren o bien, detectar desviaciones de patrones de comportamiento esperado.
Un cibercriminal inyecta con éxito código malicioso en una función Lambda, intentando generar un subproceso no autorizado o establecer una conexión a una dirección IP externa. El problema radica en que las herramientas de seguridad tradicionales que dependen del monitoreo de registros probablemente no detecten este ataque.
Los registros rastrean eventos externos como llamadas API o conexiones de red, por lo general. No obstante, no capturan acciones internas, como la ejecución de código dentro de la función en sí. Como resultado, las acciones del actor malicioso, ya sea manipular archivos, aumentar privilegios o ejecutar procesos no autorizados, permanecen invisibles a menos que desencadenen un evento externo.
Para detectar y prevenir este ataque con éxito, los equipos de ciberseguridad necesitan herramientas que proporcionen visibilidad de las operaciones internas de la función en tiempo real. Un sensor que pueda monitorear la actividad en tiempo de ejecución puede identificar y terminar los procesos no autorizados antes de que se intensifiquen, lo que ofrece protección en tiempo real.
Una función Lambda se basa en una biblioteca de código abierto con una vulnerabilidad conocida que un atacante puede explotar para ejecutar código remoto. Si bien las herramientas de análisis estático pueden señalar vulnerabilidades conocidas en la biblioteca en sí, no tienen visibilidad de cómo se utiliza la biblioteca en el entorno de ejecución.
Esto significa que, incluso, si se identifica una vulnerabilidad en los escaneos de código, la explotación en tiempo real de esa vulnerabilidad podría pasar desapercibida si no involucra un evento externo, como una solicitud de red o una llamada API.
Por ello, un sensor diseñado para monitorear las operaciones internas de la función puede detectar cuándo se está haciendo un mal uso de la biblioteca o se está explotando activamente en tiempo de ejecución. Al analizar de forma continua el comportamiento de dicha función, el sensor puede identificar acciones anómalas y bloquear la vulnerabilidad antes de que comprometa el sistema.
