CrowdStrike ha anunciado la disponibilidad de Falcon OverWatch Cloud Threat Hunting, el primer servicio de la industria de la ciberseguridad especializado en descubrir y mitigar amenazas avanzadas y ocultas que operan en entornos cloud. Para la puesta en marcha de Falcon OverWatch Cloud Threat Hunting, CrowdStrike ha desarrollado los primeros indicadores de ataque orientados a la nube, de forma que se pueda controlar cualquier amenaza, incluso las más sofisticadas, y se permita a los responsables de seguridad de las empresas obtener una visibilidad completa de los entornos cloud.
La rápida adopción de arquitecturas nativas en la nube ha abierto la puerta a los ciberdelincuentes ya que, en muchas ocasiones, los responsables de seguridad no tienen suficiente visibilidad de lo que ocurre en sus entornos cloud, especialmente en los más complejos.
Gracias al uso de las capacidades CNAPP de CrowdStrike, el equipo de profesionales detrás de Falcon OverWatch Cloud Threat Hunting comprueba comportamientos anómalos o inesperados con el objetivo de prevenir cualquier incidente o brecha de seguridad y alerta de forma proactiva de cualquier ataque basado en cloud, incluyendo:
- Actividades llevadas a cabo por delincuentes y que se llevan a cabo en infraestructuras cloud como Amazon Web Services, Google Cloud Platform o Microsoft Azure, entre otros.
- Actividades sofisticadas entre las que se incluyen las intrusiones interactivas, en las que el delincuente dispone de una consola y ejecuta comandos en la infraestructura de la víctima; y las de zero-day, en las que se explotan vulnerabilidades no conocidas y que pueden comprometer cargas de trabajo cloud o contenedores en producción.
- Indicadores de actividad cloud, como planos de control (el conjunto de servicios dentro de la red que realizan funciones de gestión del tráfico, como la seguridad, el enrutamiento, el equilibrio de la carga y el análisis), vulnerabilidades sin servidor (modelo operativo de computación cloud en el que las aplicaciones dependen de servicios gestionados que eliminan la necesidad de gestionar, parchear y asegurar la infraestructura y las máquinas virtuales), configuraciones erróneas, anomalías de comportamiento de aplicaciones, escapes de contendores (en los que el atacante aprovecha vulnerabilidades para atravesar los límites de aislamiento obteniendo acceso a los recursos del sistema anfitrión), escalado de privilegios o nodos comprometidos, entre otras.
- Vías de ataque en las que primero se explotan los activos tecnológicos tradicionales para poder acceder y pivotar después hacia las aplicaciones, sistemas y datos en la nube.
