Mais dados e aplicativos estão migrando para a nuvem, o que cria desafios de segurança de informação exclusivos

Por: Bob Violino

A computação em nuvem continua a transformar a maneira como as organizações usam, armazenam e compartilham dados, aplicativos e cargas de trabalho. Ela também introduziu uma série de novas ameaças e desafios de segurança. Com tantos dados indo para a nuvem – e para serviços de nuvem pública em particular – esses recursos se tornam alvos naturais para os malfeitores.

“O volume de utilização da nuvem pública está crescendo rapidamente, de modo que inevitavelmente leva a um conjunto maior de itens confidenciais que estão potencialmente em risco”, disse Jay Heiser, vice-Presidente e Líder de Segurança em Nuvem do Gartner, Inc.

Ao contrário do que muitos possam pensar, a principal responsabilidade de proteger os dados corporativos na nuvem não é do provedor de serviços, mas do cliente da nuvem. “Estamos em um período de transição de segurança na nuvem, no qual o foco está mudando do provedor para o cliente”, diz Heiser. “As empresas estão aprendendo que uma grande quantidade de tempo gasta tentando descobrir se algum provedor de serviços de nuvem em particular é ‘seguro’ ou não, tem virtualmente nenhum retorno”.

Para fornecer às organizações uma compreensão atualizada das questões de segurança na nuvem, para que possam tomar decisões informadas sobre as estratégias de adoção da nuvem, a Cloud Security Alliance (CSA) criou a versão mais recente de seu relatório “Top Threats to Cloud Computing: Egregious Eleven”. O relatório, lançado em setembro, lista as principais ameaças à nuvem que ocorreram em 2019.

O relatório reflete o consenso atual entre os especialistas em segurança da comunidade CSA sobre os problemas de segurança mais significativos na nuvem. Embora existam muitas preocupações de segurança na nuvem, a CSA diz, que esta lista se concentra em 11 especificamente relacionadas à natureza compartilhada e sob demanda da computação em nuvem.

Para identificar as principais preocupações, a CSA conduziu uma pesquisa com especialistas do setor para compilar opiniões profissionais sobre os maiores problemas de segurança na computação em nuvem. Aqui estão os principais problemas de segurança na nuvem (classificados em ordem de gravidade de acordo com os resultados da pesquisa):

Violações de dados

As violações podem causar grandes danos à reputação e financeiros. Eles podem resultar em perda de propriedade intelectual (PI) e responsabilidades legais significativas.

Os invasores querem dados, então as empresas precisam definir o valor de seus dados e o impacto de sua perda. O relatório mostra que os dados acessíveis pela Internet são os mais vulneráveis a erros de configuração ou exploração. A criptografia pode até protegê-los, mas com uma compensação no desempenho e na experiência do usuário.

Configuração incorreta e controle de mudança inadequado

Essa é uma nova ameaça à lista de CSA, e não é surpreendente, dados os muitos exemplos de empresas que expõem dados acidentalmente por meio da nuvem. Não é apenas com a perda de dados que as empresas precisam se preocupar aqui, de acordo com o CSA, mas com a exclusão ou modificação de recursos feita com a intenção de interromper os negócios. Além disso, a complexidade dos recursos baseados em nuvem os torna difíceis de configurar. O relatório culpa as práticas de controle de alterações deficientes pela maioria dos erros de configuração incorreta.

Não espere que os controles tradicionais e as abordagens de gerenciamento de mudança sejam eficazes na nuvem. Use automação e tecnologias que examinam continuamente os recursos configurados incorretamente, recomenda o relatório.

Falta de arquitetura e estratégia de segurança em nuvem

O desejo de minimizar o tempo necessário para migrar sistemas e dados para a nuvem geralmente tem precedência sobre a segurança. Como resultado, a empresa se torna operacional na nuvem usando infraestrutura e estratégias de segurança que não foram projetadas para ela. O fato de isso ter aparecido na lista de 2020 indica que mais empresas reconhecem isso como um problema.

A arquitetura de segurança precisa estar alinhada com as metas e objetivos de negócios, segundo o relatório, por isso, desenvolva e implemente uma estrutura de arquitetura de segurança. Mantenha os modelos de ameaças atualizados e implante o recurso de monitoramento contínuo.

Identidade, credencial, acesso e gerenciamento de chaves insuficientes

Outra ameaça nova na lista é o gerenciamento e controle de acesso inadequados em torno de dados, sistemas e recursos físicos, como salas de servidores e edifícios. O relatório observa que a nuvem exige que as organizações mudem as práticas relacionadas ao gerenciamento de identidade e acesso (IAM). As consequências de não fazer isso, de acordo com o relatório, podem resultar em incidentes de segurança e violações causadas por: credenciais inadequadamente protegidas; falta de rotação automatizada de chaves criptográficas, senhas e certificados; falta de escalabilidade; falha ao usar autenticação multifator; falha ao usar senhas fortes.

Para evitar esse problema, use controles rígidos de identidade e acesso para usuários e identidades da nuvem – em particular, limite o uso de contas root. Separe e segmente contas, nuvens privadas virtuais e grupos de identidade com base nas necessidades de negócios e no princípio do menor privilégio, diz o relatório. Faça uma abordagem programática e centralizada para a rotação de chaves e remova credenciais não utilizadas e privilégios de acesso.

Roubo de conta

O sequestro de contas continua sendo a quinta maior ameaça à nuvem neste ano. À medida que as tentativas de phishing se tornam mais eficazes e direcionadas, o risco de um invasor obter acesso a contas altamente privilegiadas é significativo. O phishing não é a única maneira de um invasor obter credenciais. Eles também podem adquiri-los comprometendo o próprio serviço de nuvem ou roubando-os por outros meios.

Uma vez que um invasor pode entrar no sistema usando uma conta legítima, ele pode causar uma grande interrupção, incluindo roubo ou destruição de dados importantes, interrupção da prestação de serviços ou fraude financeira. A CSA recomenda educar os usuários sobre os perigos e sinais de sequestro de conta para minimizar o risco. O relatório também orienta a não fazer redefinição de senhas apenas quando as credenciais da conta forem roubadas. Aborde as causas básicas. Uma abordagem de defesa profunda e fortes controles de IAM são a melhor defesa, diz o relatório.

Ameaças internas

As ameaças de usuários internos confiáveis são tão sérias na nuvem quanto nos sistemas locais. Insiders podem ser funcionários atuais ou ex-funcionários, contratados ou um parceiro de negócios de confiança – qualquer pessoa que não precise romper as defesas de uma empresa para acessar seus sistemas. Um insider não precisa ter uma intenção maliciosa para causar danos.

A CSA cita o estudo Custo de Ameaças Internas do Ponemon Institute de 2018, que afirma que 64% de todos os incidentes internos relatados foram causados por negligência do funcionário ou contratado. Para evitar essa ameaça, diz a CSA, conduza o treinamento e a educação dos funcionários sobre as práticas adequadas para proteger dados e sistemas. Faça da educação um processo contínuo. Audite regularmente e corrija servidores em nuvem mal configurados e restrinja o acesso a sistemas críticos.

Interfaces e APIs inseguras

Caindo do terceiro lugar para o sétimo lugar no ano passado, interfaces e APIs inseguras são um vetor de ataque comum. Especialmente quando associadas a interfaces de usuário, as vulnerabilidades de API podem fornecer aos invasores um caminho claro para roubar credenciais de usuários ou funcionários.

O relatório CSA diz que as organizações precisam entender que APIs e interfaces de usuário são frequentemente as partes mais expostas de um sistema e incentiva uma abordagem de segurança desde o design para construí-las. Por isso, proteja as chaves de API e evite reutilização. Empregue boas práticas de API, como supervisão de itens como proteção de inventário, teste, auditoria e atividade anormal, diz o relatório. Considere uma estrutura de API aberta, como a Open Cloud Computing Interface (OCCI) ou Cloud Infrastructure Management Interface (CIMI).

Plano de controle fraco

Um plano de controle abrange os processos de duplicação, migração e armazenamento de dados. O plano de controle é fraco se a pessoa responsável por esses processos não tem controle total sobre a lógica, segurança e verificação da infraestrutura de dados, de acordo com o CSA. As partes interessadas no controle precisam entender a configuração de segurança, como os dados fluem e os pontos cegos ou pontos fracos da arquitetura. Não fazer isso pode resultar em vazamento de dados, indisponibilidade de dados ou corrupção de dados.

Certifique-se de que o provedor de serviços em nuvem oferece os controles de segurança necessários para cumprir as obrigações legais e estatutárias, diz o relatório. Realize a devida diligência para garantir que o provedor de serviços em nuvem possua um plano de controle adequado.

Falhas na metaestrutura e na infraestrutura

A metaestrutura de um provedor de serviços em nuvem contém informações de segurança sobre como protege seus sistemas e divulga essas informações por meio de chamadas de API. O CSA chama a metaestrutura de provedor de serviços de nuvem/cliente de “linha de demarcação” ou “linha de água”. As APIs ajudam os clientes a detectar o acesso não autorizado, mas também contêm informações altamente confidenciais, como logs ou dados do sistema de auditoria.

Essa linha de corte também é um ponto potencial de falha que pode dar aos invasores acesso aos dados ou a capacidade de interromper os clientes da nuvem. A implementação deficiente da API costuma ser a causa de uma vulnerabilidade. Por isso, certifique-se de que o provedor de serviços em nuvem oferece visibilidade e expõe atenuações. Implemente recursos e controles apropriados em designs nativos da nuvem e certifique-se de que o provedor de serviços de nuvem conduza testes de penetração e forneça descobertas aos clientes, sugere o relatório da CSA.

Visibilidade limitada do uso da nuvem

Uma reclamação comum entre os profissionais de segurança é que um ambiente de nuvem os torna cegos para muitos dos dados de que precisam para detectar e prevenir atividades maliciosas. O CSA divide esse desafio de visibilidade de uso limitado em duas categorias: uso de aplicativo não sancionado e uso indevido de aplicativo sancionado.

Os aplicativos não sancionados são essencialmente shadow IT – aplicativos que os funcionários usam sem permissão ou suporte de TI ou segurança. Qualquer aplicativo que não atenda às diretrizes corporativas de segurança representa um risco que a equipe de segurança pode desconhecer.

As equipes de segurança precisam ser capazes de dizer a diferença entre usuários válidos e inválidos, detectando comportamentos fora do normal. Ainda segundo o relatório da CSA, as empresas devem desenvolver um esforço de visibilidade na nuvem de cima para baixo que conecte pessoas, processos e tecnologia. A CSA sugere também a implementação de um modelo de confiança zero em toda a organização.

Conduza treinamento obrigatório sobre as políticas e aplicação aceitas de uso da nuvem. Invista em um corretor de segurança de acesso à nuvem (CASB) ou em gateways definidos por software (SDG) para analisar atividades de saída, e em um firewall de aplicativo da web para analisar conexões de entrada, diz o relatório.

Abuso e uso nefasto de serviços em nuvem

Os invasores estão cada vez mais usando serviços de nuvem legítimos para apoiar suas atividades. O CSA disse que os provedores de serviços em nuvem devem ter mitigações para prevenir e detectar abusos, como fraude de instrumento de pagamento ou uso indevido de serviços em nuvem. Também é importante para os provedores de nuvem ter uma estrutura de resposta a incidentes em vigor para responder ao uso indevido e permitir que os clientes relatem o uso indevido.

Dessa forma, o relatório sugere que seja realizado o monitoramento do uso da nuvem pelos funcionários em busca de abuso. Empregue soluções de prevenção de perda de dados em nuvem (DLP) para monitorar e interromper a exfiltração de dados, diz a CSA.

Fonte: CIO