CLOUD  SECURITY  Por onde Começar? O uso do Cloud Público , Privado ou Hibrido tem oferecido às empresas um potencial de uso e redução de custos nunca vistos antes em TI. Como resultado, o uso do Cloud tem se propagado e crescido aceleradamente. Pesquisas do IDC aponta que o numero de aplicações em Cloud  cresce a uma taxa de 20% ao trimestre.

Junto com este crescimento e devido a imaturidade da tecnologia Cloud, segundo o instituto Ponemon os gestores de TI apontam a segurança do Cloud como sendo a principal preocupação e 71% acreditam que as técnicas de proteção tradicionais não são suficientes para proteger os dados em Cloud, além disto, a CSA “Cloud Security Alliance” aponta que 71% das empresas e 80% das empresas com mais de 5000 funcionários não sabem dizer quantas aplicações em Cloud são utilizadas por seus profissionais

Por este motivo, já que o Cloud chegou para ficar e crescer rapidamente, vamos relatar neste artigo o que temos lido e pesquisado junto a profissionais de Segurança como sendo os principais desafios e medidas de controle e mitigação de risco da Segurança em Cloud .

Nos dias de hoje vemos diversos riscos inerentes ao mundo digital e suas facilidades, entre estes estão ameaças de invasão e ataques da internet (tratadas como Cybersecurity Risk) ; ameaças de vazamento de informações sensíveis e ameaças de indisponibilidades de serviços por motivos diversos. No entanto, entendemos que através de uma boa política de segurança, com algumas medidas técnicas e monitoração podemos reduzir bastante os riscos de uso do Cloud.

Embora muito se fale, ou especule-se, sobre problemas nos provedores de Cloud, dados publicados pelo instituto Ponemon aponta que as maiores falhas são devidas aos próprios usuários.

  • Apenas 38% dizem que a empresa possui uma política clara, com regras e responsabilidades definidas quanto a proteção dos dados em Cloud .
  • 57% dos pesquisados pelo instituto Ponemon dizem que suas empresas não gerenciam pro-ativamente os dados quanto as necessidades de aderência e privacidade de dados.

Corroborando com isto, o histórico de falhas que temos relatado aqui no Blog Minuto da Segurança nos mostram que as causas dos incidentes e vazamento de dados estão sempre lado do usuário e não do provedor.

Na realidade o que ocorre, é que enquanto muitas empresas se preocupam com o provedor de Cloud, deixam de fazer a lição de casa, acreditando que a segurança dos dados em Cloud  é de responsabilidade do provedor e que  “devido a própria natureza do negócio destes provedores eles devem ter um nível muito alto de proteção para sobreviverem no mercado“,  ou mesmo acreditam que medidas de controle de acesso limitadas a usuários e senhas e criptografia de transmissão de dados são suficientes para proteger os dados armazenados ou processados em servidores Cloud.

Pois bem, vamos explorar alguns do pontos mais comuns de ataque para podermos criar um plano adequado de proteção.

Cyber Attacks

Segundo relatório do CSA 53% dos profissionais de TI citam APT – Advanced Persistente Threats – como uma ameaça significante para suas empresas. As ameaças vem de grupos organizados, as vezes de países, com recursos, motivações e conhecimento para executar um ataque direcionado de longa duração. Estes ataques merecem atenção especial pois nem sempre se destinam somente a indisponibilizar a infraestrutura.

Acessos de Usuários

Vamos lembrar que monitorações de rede, sniffers e outros métodos de ataques são “time consuming” e por isto não são a primeira opção de quem quer roubar informações armazenadas em Cloud, por isto as falhas mais comuns nos sistemas de Cloud,  que são exploradas pelos hackers, referem-se a falhas na administração de usuários.  Segundo dados do CSA apenas 16% das organizações possuem politicas de uso do Cloud completamente implementadas.

Para a implementação de políticas de acesso sólida é necessário considerar:

  • Realizar levantamento detalhado dos serviços utilizados pelos usuários de forma independente de TI para que não haja influências no mapeamento;
  • Considerar e mapear os usuários privilegiados pois existe uma tendência muito grande em conceder indiscriminadamente este perfil, expondo o ambiente e as informações desnecessariamente. Lembrando que TI e Desenvolvedores não estão “acima da lei”;
  • Considerar fortemente o controle de sessão autenticada com a expiração por tempo e inatividade.
  • Considerar a implementação de um Gerenciador de Identidade integrado aos processos de RH e Gestão de Terceiros, para que não existam contas “zumbis” ativas e que possam ser exploradas por ex-colaboradores ou mesmos hackers.
  • Considerar um processo ativo de monitoração identificando o tipo de acesso, local, hora, perfis e outras informações que sejam relevantes para que se identifique rapidamente através do comportamento não usual ou malicioso possíveis brechas nos controles.
  • De acordo com o modelo de Cloud adotado deve-se também avaliar o isolamento e controle das chaves privilegiadas de infraestrutura, aplicações e banco de dados, para que não haja exposição indireta das informações.

Segundo o relatório Threat Report do Crowd Research Partners, 62% dos respondentes da pesquisa afirmam que é mais difícil detectar e proteger de ameaças internas do que contra ataques externos e 64% se dizem vulneráveis à ameaças internos.

Proteção de Dados

A segunda parte de uma boa proteção de informações em Cloud refere-se à proteção das informações sensíveis, que no momento atual devido a LGPD torna-se ainda mais importante. Uma vez explorado ou obtido acessos aos serviços de Cloud, as informações estarão vulneráveis a copias, transferências e downloads. Neste caso uma boa solução de DLP – Data Loss Prevention é imprescindível para identificar e bloquear tais tentativas.

Para dados que são armazenados e que devem ser acessados exclusivamente pelas aplicações é importante considerar o uso de criptografia das bases de dados e de quaisquer dados considerados sensíveis para a empresa em servidores de arquivos. Também é importante os testes de segurança das aplicações para que sejam identificadas possíveis vulnerabilidades que possam ser exploradas pelos atacantes.

No caso de proteção de dados por criptografia também é importante utilizar um algoritmo atualizado e de 256 bits ou mais. Vários sistemas de criptografia mais simples e antigos já foram quebrados, por isto  a boa escolha do algoritmo de criptografia é peça importante deste cenário.

Outra preocupação importante é relativa ao uso e armazenamento da informação pelo usuário, quando a aplicação pode ser utilizada modo “off line” , permitindo o download das informações ou acesso a partir de dispositivos diferentes. Neste caso o uso de soluções de Endpoint Security são fundamentais para a proteção das informações da empresa.

Um item que quase nunca lembramos, mas é igualmente importante é a proteção dos backups de dados. É recomendado que os backups também sejam criptografados, porém neste caso deve-se ter atenção especial às chaves de criptografia, pois na perda ou não identificação correta destas chaves será impossível a recuperação dos dados.

É muito importante considerar, dentro do modelo adotado de Cloud,  o isolamento físico do ambiente de servidores. Um ambiente Multitenancy apresenta um grau maior de risco em caso de uma falha no isolamento caso as chaves de acesso sejam comprometidas. Já um ambiente Single Tenancy reduz significativamente este risco. Desta forma, caso suas informações requeiram alto grau de confidencialidade considere utilizar um hardware dedicado em modo Single Tenancy para que não haja a possibilidade da exploração de acessos indevidos  através de falhas de isolamento do ambiente Multitenancy.

Monitoração de Segurança

Quase sempre por falta de recursos, sejam de profissionais capacitados e dedicados ou falta de dinheiro para investimento em boas soluções de monitoração, relegamos este item a uma prioridade menor, acreditando que se olharmos as logs de vez em quando ou ficarmos de olho nas ocorrências reportadas pelos usuários, será suficiente para tomarmos medidas de contenção de perdas ou incidentes.

Segundo o relatório Threat Report do Crowd Research Partners 47% das empresas afirmam não terem condições de detectar um ataque interno ou não conseguir medir o tempo de detecção, 43% afirmam que o tempo de resposta a incidentes levam até uma semana e segundo o instituto Ponemon solucionar um  ataque pode demorar até 24 dias em média.

Uma vez que você não pode se proteger do que você verdadeiramente não vê, podemos afirmar que a monitoração ativa de segurança, seja ela através de reportes de soluções DLP, EDR, SIEM ou outras devem ser consideradas como parte fundamental para uma boa detecção e proteção da informação. Melhor ainda se a solução de monitoração for integrada, com condições de monitoração dos itens de infraestrutura, utilização não reconhecida ou esperada de usuários privilegiados, movimentações de dados e aplicações, considerando o contexto e o comportamento usual do usuário.


Conclusão

O ambiente em Cloud é uma realidade cada vez maior nas empresas do mundo todo, portanto renda-se a ele ou estará fora do mundo em pouco espaço de tempo. No entanto renda-se de forma consciente e racional, não sendo omisso pela dificuldade ou desconhecimento do tema.

O processo de privacidade e proteção da informação em ambiente Cloud é fundamental em todos os processos de Compliance e nas mais diversas normas nacionais e internacionais como PCI, SOX, GDPR, LGPD, BACEN 4658 e 3909,  por isto uma gestão de segurança planejada e bem consolidada pode viabilizar, com grande margem de redução de risco, um extenso uso da tecnologia Cloud. No entanto, o contrário poderá acarretar em sérios problemas para a empresa, clientes e acionistas.

Para o uso do Cloud a tradicional a postura do “deixa acontecer” e depois vemos o que fazer, a postura do “aqui não acontece”, ou mesmo a postura “segurança só atrapalha os negócios”, não é aceitável. Assim, ou a empresa se conscientiza da alta necessidade de investimento em tecnologia e processos seguros  ou terá sérios problemas mais cedo do que pensa.

Lembrem-se custa menos (tempo e dinheiro) para um hacker atacar a aplicação e os processos de acessos da empresa do que tentar atacar um provedor de Cloud, por isto todo investimento adequadamente planejado para proteção e uso do Cloud  reduzirá significativamente o risco de segurança e trará tranquilidade e flexibilidade para as operações de negócio, mas a segurança de aplicação, processos e conscientização não podem nunca ser esquecidos ou relegados a terceiro plano.

Por: Kleber Melo - Sócio Diretor da MindSec e COO Cyb3r Operations Brasil