Empresas de todos os portes falham na proteção dos dados em Cloud. A resistência de enfrentar o desafio das equipes de TI de algumas empresas, levam as área de negócio a criarem o seu próprio repositório de informações nas área de Cloud e fatalmente ignorando importantes conceitos e procedimentos de segurança.

Segundo artigo da TechTarget, o Amazon Web Services adota medidas incomuns para impedir que os dados saiam de seus data centers, estimados para abrigar entre 50.000 a 80.000 servidores. Discos rígidos físicos são triturados, perfurados, totalmente destruídos. O Google segue uma prática semelhante. “Humanos e dados não se misturam“, disse Stephen Schmidt, CISO da AWS, durante a cúpula da empresa Security State of the Union em novembro passado. “Mantenha as pessoas longe dos dados.

Embora essas táticas possam parecer extremas para muitas empresas, o erro humano cobra seu preço, levando a grande vazamentos de dados na nuvem, principalmente com a segurança do AWS S3. Em vez de desenvolvedores e equipes bem treinadas de TI usarem e comandarem o armazenamento em nuvem na Internet da Amazon,  equipes de TI não treinadas e a equipe de negócios estão depositando dados na nuvem.

Devido a pressa de TI, ao mau planejamento, ao “shadow IT” e ao despreparo temos visto muitas ocorrências de vazamento de informação em cloud. Para lembrar algumas das que já publicamos aqui no blog Minuto da Segurança, vamos relacioná-las abaixo:

Problemas de grandes nomes

Segundo a TechTarget , a Accenture, Verizon, Viacom, Tesla e Uber Technologies são apenas alguns dos nomes de alto perfil no fluxo constante de empresas que expuseram informações confidenciais através de erros de configuração de segurança do AWS S3. Alguns usuários se esquecem de configurar a proteção por senha do bucket da AWS; outros não entendem os recursos básicos da Amazon, como as políticas de acesso baseadas em recursos (listas de controle de acesso) ou as verificações de permissões de bucket e, expor inadvertidamente, os dados à Internet pública.

Os clientes têm a opção de configurações de segurança na nuvem, mas a Amazon também está tomando medidas para ajudar as equipes de segurança de TI a impor o comportamento por meio de ferramentas. Em Agosto passado, a Amazon anunciou o lançamento do Macie, um novo serviço de segurança que ajuda os usuários da Amazon Web Services (AWS) a descobrir, classificar e proteger dados confidenciais. O Amazon Macie é um serviço de segurança que usa aprendizado de máquina para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, fornecendo painéis e alertas que mostram os acessos e as movimentações desses dados.

Em novembro, a empresa atualizou seu painel da AWS, ressaltando o acesso “público” em laranja brilhante no console da AWS S3 para que os clientes da nuvem pudessem ver facilmente o status das permissões de acesso aos buckets e seus objetos. “Queremos tornar isso óbvio quando seu balde S3 estiver aberto ao público“, disse Schmidt.

A empresa adicionou criptografia padrão a todos os objetos quando eles estão armazenados em um bucket da AWS e listas de controle de acesso para replicação entre regiões. Essa funcionalidade é gratuita. Outra nova ferramenta – codinome Zelkova – é destinada às políticas de segurança do AWS S3 para ajudar os usuários a identificar qual deles é mais permissivo do que os outros.  Quase metade da funcionalidade da AWS introduzida em 2017 – 467 recursos – se concentrava na segurança.

No entanto, assim como nas redes locais, a segurança das informações na nuvem requer monitoramento contínuo, por exemplo: com que frequência as pessoas estão fazendo login nos sistemas? A equipe de TI verifica quem está acessando o código-fonte?

Quando você vai para a nuvem, você está realmente enfrentando uma nova realidade“, disse Hahad da Juniper Networks. “Acho que as organizações de TI até o CISO não devem abdicar de seu papel – elas são as guardiãs de qualquer propriedade intelectual. O que vemos acontecer com muita frequência é permitir que várias entidades dentro da organização prossigam e criem AWS ou Microsoft e você perde o controle sobre o que está acontecendo.

 

Ainda não está corrigido?

As maiores ameaças aos dados em nuvem para a maioria das empresas envolvem configuração incorreta ou falta de patch, observou Andrew Nielsen, ex-CISO da Druva, uma startup de gerenciamento de dados baseada em Sunnyvale, Califórnia, à TechTarget, “Muitas organizações foram violadas porque não aplicaram os patches “, disse Nielsen.

Neste contexto muitas startups tem ganhado mercado, preenchendo lacunas deixas pelos grandes players de mercado.

A luta que vemos é que muitas organizações são realmente boas em gerenciar a infraestrutura em seu data center – elas estão amadurecendo suas ferramentas e têm procedimentos operacionais – mas, quando mudam para a nuvem, muitos disto muda“, Disse Nielsen. “Eles precisam de novos conjuntos de ferramentas, juntamente com conjuntos de habilidades que eles precisam adquirir, e é aí que vemos uma grande lacuna.

A Amazon pode mostrar a você que havia uma conexão de rede, mas o que eles não poderiam fazer é mostrar o que está acontecendo dentro do sistema operacional ou do servidor“, disse Sam Bisbee, CSO da Threat Stack, uma startup de Boston.

A maior visibilidade pode ajudar, pois os problemas com a segurança do AWS S3 continuam afetando as empresas, grandes e pequenas. Colocar um fim nas configurações incorretas do bucket da AWS pode exigir a adoção de políticas que limitem os danos causados ​​por funcionários não treinados ou descuidados. “É meio difícil dizer isso, mas eu pessoalmente acredito que às vezes você tem que implementar penalidades pesadas por infrações“, afirmou Hahad. “O CISO deve dizer aos funcionários da empresa: ‘Aqui está a estrutura dentro da qual vamos trabalhar, e qualquer divisão desta estrutura será penalizada’.”

FonteTechtarget e Minuto da Segurança