A corrida em direção à nuvem de dados e serviços fez com que muitas empresas repensassem sua abordagem de cibersegurança. Elas precisam de uma estratégia de segurança na nuvem? O que há de diferente em uma estratégia de segurança na nuvem? Estudos recentes esclareceram como as estratégias de segurança estão mudando e, mais importante, como elas devem avançar.

Migrar mais infraestrutura de TI para a nuvem é, de certa forma, mais seguro do que tê-la localmente. Por exemplo, você pode estar razoavelmente seguro de que o sistema está executando a versão mais recente com as correções corretas. Provedores de serviços em nuvem também estão desenvolvendo novos recursos, como o uso de linguagem de máquina para detecção de anomalias. No entanto, isso também apresenta novos riscos, como aqueles gerados pelo falta de compreensão sobre como gerenciar a segurança na nuvem.

É importante saber como a estratégia de TI na nuvem de uma empresa – seja ela híbrida, privada ou pública – afeta sua estratégia de segurança cibernética e a execução tática dessa estratégia.

Quais dados confidenciais estão na nuvem?

No ano passado, a McAfee divulgou seu Relatório de Adoção de Nuvem e Riscos 2018. Essa pesquisa mostrou que o compartilhamento de dados confidenciais na nuvem aumentou 53% em relação a 2017 – um grande salto. Considerando todos os arquivos na nuvem, aproximadamente 21% contêm dados confidenciais, segundo a McAfee, sendo que 48% desses arquivos são compartilhados.

Os dados confidenciais incluem dados confidenciais da empresa (27%), dados de e-mail (20%), dados protegidos por senha (17%), informações de identificação pessoal (16%), dados de pagamento (12%) e dados pessoais de saúde (9%). O risco associado aos dados confidenciais na nuvem está crescendo, pois as empresas confiam cada vez mais na nuvem. Cerca de 28% a mais de dados sensíveis foram colocados na nuvem em relação ao ano anterior, indica a McAfee.

Com tantos dados críticos na nuvem e sendo compartilhados em cloud, o roubo por hackers não é o único risco. A McAfee descobriu que as empresas têm, em média, 14 instâncias de infraestrutura como serviço (IaaS) configuradas incorretamente, resultando em uma média de 2.200 incidentes de configuração incorreta por mês onde os dados são expostos ao público.

Qual é o risco de segurança da nuvem?

Os dados do provedor de segurança de nuvem Alert Logic mostram a natureza e o volume de riscos de cada tipo de ambiente na nuvem, em comparação a um data center on-premise (local). Ao longo de 18 meses, a empresa analisou 147 petabytes de dados de mais de 3.800 clientes para quantificar e categorizar incidentes de segurança. Durante esse período, a companhia identificou mais de 2,2 milhões de incidentes de segurança significativos. As principais descobertas incluem:

  • Os ambientes de nuvem híbrida tiveram o maior número médio de incidentes por cliente (977), seguidos por nuvem privada hospedada (684), data center on-premise (612) e pela nuvem pública (405).
  • De longe, o tipo mais comum de incidente foi um ataque via aplicação da web (75%), seguido por ataque de força bruta (16%), recon (5%) e ransomware do lado do servidor (2%).
  • Os vetores mais comuns para ataques a aplicações da web foram SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) e Magento (6,98%).
  • O WordPress foi o alvo mais comum (41%) de ataques de força bruta, seguido pelo MS SQL (19%).

Seja um ambiente de nuvem pública, privada ou híbrida, as ameaças de aplicações na web são dominantes. O que é diferente entre eles é o nível de risco que você enfrenta. “Como defensores, na Alert Logic nossa capacidade de proteger efetivamente a nuvem pública também é maior, porque vemos uma melhor relação sinal-ruído e perseguimos menos ataques ruidosos”, pontua Misha Govshteyn, cofundador da Alert Logic. “Quando vemos incidentes de segurança em ambientes de nuvem pública, sabemos que temos que prestar atenção porque eles são geralmente mais silenciosos”.

Os dados mostram que algumas plataformas são mais vulneráveis que outras. “Isso aumenta sua superfície de ataque, apesar de seus melhores esforços”, esclarece Govshteyn. Como exemplo, ele observa que “apesar da crença popular”, a pilha LAMP (Linux, Apache, MariaDB ou MySQL e PHP ou Python) tem sido muito mais vulnerável do que a pilha de aplicações da Microsoft. Ele também enxerga as aplicações PHP como um hotspot.

“Sistemas de gerenciamento de conteúdo, especialmente WordPress, Joomla e Django, são muito mais usados como plataformas para aplicações da web do que a maioria das pessoas percebe e eles apresentam inúmeras vulnerabilidades”, destaca Govshteyn. “É possível manter esses sistemas seguros, mas apenas se você entender quais frameworks e plataformas da web suas equipes de desenvolvimento tendem a usar. A maioria das pessoas de segurança mal presta atenção nesses detalhes e toma decisões com base em suposições ruins.”

Para minimizar o impacto das ameaças na nuvem, a Alert Logic fornece três recomendações principais:

  • Confie em aplicações whitelisting e bloqueie o acesso a programas desconhecidos. Isso inclui fazer avaliações de risco versus valor de aplicação usada na organização.
  • Entenda seu próprio processo de patching e priorize a implantação de patches.
  • Restrinja privilégios administrativos e de acesso com base nas tarefas atuais do usuário. Isso exigirá a manutenção de privilégios para aplicações e sistemas operacionais atualizados.

6 tipos de ameaças à nuvem

Em abril do ano passado, o provedor de plataforma de segurança na nuvem ShieldX descreveu seis categorias de ameaças à segurança na nuvem que acredita que possam emergir ao longo do ano. A maioria das organizações terá dificuldade em reduzir o risco dessas ameaças devido a uma lacuna entre suas defesas e a natureza das ameaças, lembra Manuel Nedbal, CTO e vice-presidente sênior da ShieldX.

“Há uma incompatibilidade entre o fator forma física do data center e o perímetro virtual. Controles de segurança tradicionais foram construídos para proteger o fator forma física, o que abre as portas para ameaças à segurança”, afirma.

Esses controles devem mudar à medida que as organizações fazem a transição para data centers virtualizados e “conteinerizados” em nuvens privadas e públicas. “A segurança precisa se adaptar a esses novos limites entre e dentro de infraestruturas virtuais”, afirma Nedbal. Ele acrescenta que as ferramentas de segurança na nuvem precisam ser “muito pequenas, muito dinâmicas, colocadas onde e quando necessárias e na escala correta.”

1. Ataque de nuvem cruzada

Com um ataque entre nuvens, um hacker pode, por exemplo, acessar sistemas on-premises e sistemas de nuvem privada por meio de uma nuvem pública. Workloads em uma nuvem pública que são tomadas por invasores podem levar à disseminação do ataque à nuvem privada.

O risco é minimizado se as defesas laterais corretas estiverem em vigor, mas ao migrar para as nuvens públicas, as organizações geralmente ignoram o fato de que o perímetro de segurança se estende para o novo ambiente. Porém, as nuvens públicas não oferecem os mesmos controles de segurança em comparação com as defesas on-premise e é difícil transformar a segurança tradicional. “A quantidade de ataques contra a nuvem está aumentando”, ressalta Nedbal.

Os hackers monitoram novas instâncias de nuvem. “Assim que houver um workload expondo os serviços publicamente, eles serão atacados e as defesas nas nuvens públicas serão mais fracas do que os controles tradicionais on-premise”. Além disso, se uma organização tiver diferentes conjuntos de controles para seus sistemas on-premise e na nuvem, poderia deixar lacunas que os hackers exploram.

2. Ataque entre data centers

Uma vez que um hacker viola uma localização no data center, o próximo passo é se espalhar lateralmente. A razão pela qual isso é possível é que as conexões entre os pontos de entrega (PoDs, da singla em inglês) em um data center são consideradas zonas confiáveis. Se um invasor comprometer um PoD, ele poderá se espalhar para outros data centers conectados.

Em um post no seu blog, Nedbal aconselhou o envio de todo o tráfego por meio de um sistema de defesa multicamadas com um conjunto similar de controles de segurança encontrados no perímetro.

3. Ataques entre inquilinos

Em um ambiente em que há vários locatários, os hackers podem explorar o tráfego de rede entre os usuários da nuvem. Os locatários podem supor que o provedor tenha garantido seus ativos na nuvem, mas, na verdade, eles são responsáveis pela implementação de grande parte das defesas. Novamente, o envio de tráfego por meio de um sistema de defesa em várias camadas com os controles apropriados reduzirá o risco dessa ameaça na nuvem, mas exigirá a capacidade de colocar esses controles na escala correta, onde e quando for necessário.

4. Ataque entre workloads

Workloads virtualizados e baseados na nuvem, bem como contêineres, podem se conectar facilmente a outros. Basta comprometer um workload para que um invasor possa acessar outros, seja em um desktop virtual, servidor da web virtual ou banco de dados. A defesa contra ataques cruzados de workloads, especialmente se forem executados no mesmo inquilino, é difícil. “Se você isolar tods os workloads uns dos outros, eles estarão seguros, mas não conseguirão executar a função para a qual foram projetados”, pondera Nedbal. Em um post, ele informou que os workloads com requisitos de segurança semelhantes devem ser colocados em uma zona que tenha controles apropriados para monitorar o tráfego, além da segmentação básica.

5. Ataques de orquestração

A orquestração em nuvem permite realizar muitas tarefas importantes, incluindo provisionamento, implantação de servidores, gerenciamento de armazenamento e de rede, gerenciamento de identidades e privilégios e criação de workloads.

Os hackers geralmente executam ataques de orquestração para roubar logins de contas ou chaves de criptografia privadas. Com eles, o invasor pode executar tarefas de orquestração para obter controle e acesso. “Uma vez dentro, [um invasor] pode criar workloads adicionais para seus próprios fins, como mineração de criptografia, ou remover workloads”, adverte Nedbal. Quanto maior o privilégio que puderem roubar, mais danos podem causar.

A maneira de se defender dos ataques de orquestração, indica Nedbal, é por meio do monitoramento do comportamento do administrador. “[A ameaça de orquestração] precisa de um novo tipo de monitoramento de segurança que não faça parte dos sistemas tradicionais de segurança de rede que procuram padrões incomuns de contas se comportando de maneira anormal”, ele garante.

6. Ataques sem servidor

As aplicações sem servidor permitem que as organizações criem rapidamente funções baseadas na nuvem sem precisar construir ou estender a infraestrutura. Desenvolvidas por meio das chamadas funções como serviço (FaaS), elas apresentam novas oportunidades para hackers e novos desafios para os defensores da rede. Uma nova função pode ter acesso a ativos sensíveis, como um banco de dados.

Se os privilégios para essa função estiverem configurados incorretamente, um invasor poderá executar várias tarefas por meio da função. Isso inclui acessar dados ou criar novas contas. Assim como os ataques de orquestração, a melhor maneira de detectar um ataque sem servidor é monitorando os comportamentos da conta, mas para ser eficaz, isso deve ser feito juntamente com a inspeção de tráfego de rede.

Como proteger a nuvem

De acordo com uma pesquisa realizada pela VansonBourne – e patrocinada pelo provedor de soluções de monitoramento de rede Gigamon, 73% dos entrevistados esperam que a maioria de seus workloads de aplicações estejam na nuvem pública ou privada. No entanto, 35% dos entrevistados esperam lidar com a segurança de rede exatamente da mesma maneira que já fazem com suas operações on-premise. O restante, apesar de relutante a mudanças, acredita que não tem escolha a não ser mudar sua estratégia de segurança para a utilização da nuvem.

Certamente, nem toda empresa está migrando dados sensíveis ou críticos para a nuvem, portanto, para essas, há menos motivos para mudar a estratégia. No entanto, a maioria das empresas está migrando informações críticas e proprietárias da empresa (56%) ou ativos de marketing (53%). Já cerca de 47% esperam ter informações pessoalmente identificáveis na nuvem, o que tem implicações devido a novas regulamentações de privacidade, como o GDPR da União Europeia.

As empresas devem se concentrar em três áreas principais para construir sua estratégia de segurança na nuvem, de acordo com Govshteyn:

Ferramentas

As ferramentas de segurança que você implanta em ambientes de nuvem devem ser nativas para a nuvem e capazes de proteger aplicações web e workloads na nuvem. “As tecnologias de segurança formuladas para a proteção de endpoint estão focadas em um conjunto de vetores de ataque não vistos comumente na nuvem e estão mal equipadas para lidar com as dez principais ameaças listadas pelo Projeto Aberto de Segurança em Aplicações Web (OWASP), que respondem por 75% de todos os ataques na nuvem”, enfatiza Govshteyn. O executivo observa que as ameaças de endpoint visam os navegadores da web e o software cliente, enquanto as ameaças de infraestrutura visam servidores e estruturas de aplicações.

Arquitetura

Defina sua arquitetura em torno dos benefícios de segurança e gerenciamento oferecidos pela nuvem, não em torno da mesma arquitetura que você usa em seus data centers tradicionais. “Agora temos dados mostrando que os ambientes públicos puros permitem que as empresas tenham taxas de incidentes menores, mas isso só é possível se você usar os recursos de nuvem para projetar uma infraestrutura mais segura”. Ele recomenda que você isole cada aplicação ou microsserviço em sua própria nuvem privada virtual, o que reduz o raio de explosão (blast radius) de qualquer invasão. “Grandes violações, como aconteceu com o Yahoo, começaram com aplicações da web triviais como o vetor de entrada inicial, portanto, as aplicações menos importantes muitas vezes se tornam o maior problema”.

Além disso, não corrija vulnerabilidades em suas implantações na nuvem. Em vez disso, implante uma nova infraestrutura de nuvem executando o código mais recente e desative sua infraestrutura antiga. “Você só pode fazer isso se automatizar suas implantações, mas obterá o nível de controle sobre sua infraestrutura que nunca conseguiria em data centers tradicionais”, evidencia Govshteyn.

Pontos de conexão

Identifique pontos em que suas implantações de nuvem estão interconectadas a data centers tradicionais que executam código legado. “Essas provavelmente serão sua maior fonte de problemas, pois vemos uma tendência clara de que as implantações de nuvem híbrida tendem a enfrentar a maioria dos incidentes de segurança”, conclui.

Mantenha-se protegido! Conte com a Future!!! Clique aqui e conheça nossas soluções ou preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

Entre em contato conosco