A migração de cargas de trabalho para um ambiente de nuvem pública abre as organizações para uma lista de novos vetores de ataque nativos de nuvem que não existem no mundo dos datacenters on-premises. Tradicionalmente, as cargas de trabalho de computação sempre residiram nos datacenters da organização, onde eram protegidas contra ameaças internas. A proteção de aplicações era focada principalmente na proteção do perímetro, por meio de mecanismos como firewalls, IPS/IDS, WAFs, proteção DDoS, gateways seguros e muito mais.
“Hoje, o cenário está diferente. Ao mover essas cargas de trabalho para a nuvem, as organizações e os administradores de TI perdem o controle físico direto sobre suas cargas de trabalho e entregam muitos dos aspectos de segurança aos cuidados de seus provedores de nuvem e um acordo de responsabilidade compartilhada”, afirma o gerente sênior de marketing de produtos da Radware, Eyal Arazi. “Como resultado, o insider do velho mundo on-premises se tornou um estranho no novo mundo de cargas de trabalho hospedadas em nuvens públicas”, completa.
Neste novo mundo, administradores de TI e hackers agora têm acesso idêntico a cargas de trabalho hospedadas publicamente, usando métodos de conexão padrão, protocolos e APIs públicas. Essencialmente, o planeta se torna a superfície de ataque.
Se as organizações migraram alguma ou toda sua infraestrutura para a nuvem, ou ainda estão considerando fazer essa mudança, elas devem pensar na segurança. Arazi aponta três grandes pontos cegos de segurança na nuvem que, se negligenciados, podem levar a eventos de segurança devastadores, como uma violação de dados.
Número 1: Não fechar a lacuna entre permissões concedidas e usadas
Quando todo o planeta se torna a superfície de ataque, a segurança da carga de trabalho é definida por quais usuários têm acesso ao ambiente de nuvem e as permissões que eles possuem. Como resultado, proteger contra permissões excessivas e responder rapidamente quando há abuso dessas permissões torna-se a prioridade número um para administradores de segurança.
Uma das principais razões para migrar para a nuvem é acelerar o time to market e os processos de negócios. Ambientes em nuvem facilitam muito a adoção de novos recursos e concedem permissões abrangentes aos usuários. Embora isso gere benefícios, também torna muito difícil acompanhar não só quem tem essas permissões, mas quais permissões eles realmente usam.
Com muita frequência, há uma lacuna entre permissões concedidas e permissões usadas. Muitos usuários têm muitas permissões que nunca usam. Tais permissões são frequentemente exploradas por hackers, que se aproveitam de permissões desnecessárias para fins maliciosos. Como resultado, as cargas de trabalho em nuvem tornam-se vulneráveis a violações de dados (ou seja, roubo de dados de contas em nuvem), violações de serviços (ou seja, assumir completamente os recursos em nuvem) e exploração de recursos (como mineração de criptos).
É por isso que o princípio do “menor privilégio” se tornou tão importante. O objetivo final do menor privilégio é conceder aos usuários o conjunto mínimo de permissões necessárias para realizar um trabalho ou tarefa específico, e nada mais. Embora a padronização das permissões seja um primeiro passo, certamente não é suficiente. As empresas devem ser capazes de monitorar de perto as permissões e como elas são usadas pelos usuários, políticas e funções.
Somente quando as empresas têm essa visão das permissões podem expor a lacuna entre as permissões configuradas versus as que estão sendo usadas. E só então podem alcançar uma verdadeira prática de menor privilégio e reduzir a superfície de ataque.
Número 2: Não se concentrar nos alertas de segurança que importam
Focar nos alertas de segurança que mais importam é também um grande ponto cego de segurança na nuvem para as organizações. Não é incomum que os centros de operações de segurança recebam dezenas de milhares de alertas de segurança por dia. Embora os sistemas de segurança modernos detectem muitos eventos, há uma série de razões pelas quais a atividade maliciosa ainda passa despercebida.
O grande volume de logs é um fator considerável. Quando você tem muitos registros, é impossível saber quais alertas de segurança importam e quais não. Identificar um evento malicioso em um mar de falsos positivos é como tentar encontrar uma agulha em um palheiro.
Alertas de baixo risco criam outro desafio. Embora muitos eventos sejam detectados, a maioria deles são alertas de médio e baixo risco que não valem a pena investigar.
A falta de contexto atrapalha ainda mais o processo. Ao olhar para uma atividade individual separadamente, é impossível dizer se essa atividade é legítima ou não. Pense em um login de um administrador no meio da madrugada — ele ocorreu por que ele está com insônia, ou por que alguém roubou suas credenciais de usuário?
Para evitar perder o alerta que abre portas para uma violação, suas equipes de segurança críticas têm uma visão unificada em vários ambientes de nuvem e contas com pontuações de alertas incorporadas para uma priorização eficiente.
Número 3: Falha em conectar os pontos
A capacidade de correlacionar eventos/alertas individuais ao longo do tempo em um “enredo” de ataque é outro grande ponto cego de segurança na nuvem para muitas organizações.
Violações de dados não acontecem instantaneamente; elas levam algum tempo para se concretizarem. Violações são um longo processo de tentativa e erro por parte do invasor, composto por uma grande quantidade de pequenos passos e atividades à medida que o invasor tenta obter acesso a dados confidenciais. Esses pequenos passos e atividades, muitos dos quais considerados eventos de baixa ou média prioridade, são frequentemente negligenciados.
Para piorar a situação, o tempo médio para detectar e conter um ataque cibernético é de 287 dias, de acordo com o Relatório de Custo de Violação de Dados da IBM. Isso é mais de nove meses! Isso significa que os alertas relacionados ao ataque serão detectados por um período prolongado. Quando os eventos são detectados em sequência, é fácil dizer que eles estão relacionados. Mas o que acontece quando eles são detectados com meses de diferença? É inviável esperar que os gerentes de segurança sejam capazes de conectar um evento aleatório a outro evento que eles detectaram semanas ou meses atrás.
É por isso que é tão importante usar ferramentas automatizadas que não só detectam eventos individuais, mas também os correlacionam em uma sequência lógica que mostra como eles estão relacionados.
Uma violação de dados não é uma coisa errada, mas uma lista inteira de coisas dando errado. A melhor maneira de interromper uma violação de dados é preveni-la antes que ela ocorra — o que significa atuar com uma abordagem de segurança construída para enfrentar os pontos cegos e proteger esse novo mundo da nuvem pública.
Imagem: Divulgação.
