Aceitando o risco da nuvem: o primeiro passo para torná-la mais segura

Diante da necessidade de criação e desenvolvimento de sistemas que auxiliem nos processos, infraestrutura e negócios das organizações, a computação em nuvem e a virtualização fazem parte hoje da realidade da maioria das empresas.

O lado negativo dessas tecnologias e avanços é a exposição de dados e acessos indevidos, resultantes de um conjunto de fatores que representam um desafio à sua administração, como: configurações incorretas, vazamentos de credenciais e desenvolvimento não seguro.

Atacantes tiram proveito dessas questões e invadem infraestruturas de empresas de todo o mundo, extraindo documentos e exigindo pagamentos para não vazar tais informações, como nos casos de crescentes ransomware em que os hackers deixam empresas sem funcionamento ou parcialmente inoperantes.

Segurança e preocupações

Várias organizações adotaram a computação em nuvem em graus variados em seus negócios, especialmente durante o período pandêmico, acelerando significativamente o uso de provedores públicos de Serviços de Infraestrutura e Plataforma em Nuvem, visando escalarem e se tornarem mais ágeis.

Esses esforços foram necessários para apoiar o trabalho remoto, impulsionar os negócios e entender o aumento da superfície de ataque hacker no meio corporativo.

No entanto, com essa adoção surge a necessidade de garantir que a estratégia de segurança na nuvem da organização seja capaz de proteger contra as principais ameaças.

Cenário que é comprovado pelo Índice Global de Risco Cibernético (Cyber Risk Index – CRI). De acordo com o estudo, quando se trata de infraestrutura de TI, as organizações estão mais preocupadas com funcionários remotos e com a computação em nuvem, com uma pontuação classificada de “alto risco” para ataques hackers. As organizações dos EUA colocam a pontuação de risco de computação em nuvem em 9,87, de 10.

Isso demonstra o desafio contínuo das empresas em garantir os investimentos digitais. O levantamento revelou também que 76% das organizações globais acreditam que serão atacadas, com sucesso, nos próximos 12 meses.

E não para por aí! Em uma pesquisa realizada pela Checkpoint, empresas responderam quais são as questões mais preocupantes ao utilizar a computação em nuvem:

1.       Configuração Incorreta – Misconfiguration;
2.       Acesso Não Autorizado;
3.       Interfaces Inseguras;
4.       Sequestro de Conta – Account Hijacking.

pesquisa realizada pela Checkpoint

1. Configuração Incorreta – Misconfiguration

Falta de visibilidade da infraestrutura completa e familiaridade com os controles de segurança em ambientes de nuvem são pontos relevantes no tangente a essa questão. Muitas organizações migram sua infraestrutura para a nuvem e encontram desafios para efetuar as devidas configurações de segurança, tornando-se um alvo de exploração por parte de atores de ameaças.

2. Acesso não Autorizado

Sendo um vetor de ataque em alta nas últimas investidas, as empresas encontram-se em risco quando credenciais são vazadas e utilizadas para acesso indevido aos sistemas por parte de atores de ameaça, bem como o uso de configurações padrão ou até mesmo incorretas que permitam tal acesso. Ao contrário de uma infraestrutura local, o ambiente em nuvem está fora do perímetro da rede e pode ser acessado diretamente pela Internet, facilitando assim, a exploração desse vetor.

3. Interfaces Inseguras

As interfaces para acesso dos usuários e APIs são também alvos de atacantes, que agem de maneira maliciosa ao analisar como uma determinada interface de aplicação pode estar vulnerável e se aproveitam também da exposição de dados de determinadas API, assim como de fragilidades em suas implementações.

4. Sequestro de Conta – Account Hikacking

Muitas pessoas têm uma segurança de senha extremamente fraca e utilizam a mesma combinação em diversos outros sistemas. Essa questão é extremamente séria, pois um invasor com as credenciais de um funcionário pode acessar dados ou funcionalidades confidenciais da aplicação ou servidor. Além disso, na nuvem, as organizações geralmente não têm a capacidade de identificar e responder a essas ameaças com a mesma eficácia da infraestrutura local.

Ainda de acordo com a pesquisa, Microsoft Azure e AWS se encontram no topo dos serviços de nuvem, por isso são tão estudadas por atacantes como forma de identificar os pontos mais fracos e suscetíveis de invasão. Muitas empresas utilizam mais de um provedor de serviços em nuvem, ampliando ainda mais o espectro de opções para um invasor explorar de acordo com as suas habilidades.

pesquisa realizada pela Checkpoint

Virtualização

Como forma de possuir visibilidade centralizada e gerenciamento simplificado de hosts e servidores, muitas organizações também utilizam a virtualização. Porém, esta também é um grande alvo de atacantes e necessita de controles de segurança muito bem aplicados, pois um ataque bem-sucedido a uma máquina virtual pode infectar todas as máquinas virtuais em um servidor físico – ou seja, a extensão do ataque pode ser muito grande.

Assim como aplicações e softwares, ambientes virtualizados precisam ter patches de segurança instalados com extrema brevidade, a fim de ter uma infraestrutura mais resistente a possíveis ataques.

Embora as facilidades de uma infraestrutura híbrida ou completamente em nuvem sejam uma grande vantagem para as empresas, precisa-se ter em mente a necessidade de proteger esse ambiente, conhecê-lo em sua totalidade e ter total visibilidade para que essa expansão de serviços tecnológicos seja segura contra possíveis ataques.

Recomendações

A segurança de sistemas em nuvem é um fator bastante desafiador.

Abaixo, apresentamos alguns questionamentos que irão direcionar os seus esforços na melhor direção caso já exista um ambiente em nuvem na sua organização:

  • Há um processo de gestão de vulnerabilidades, principalmente dos seus ativos publicados na internet?
  • Os ciclos de varreduras de vulnerabilidades são respeitados?
  • Existem ações efetivas dentro do SLA/SLO para tratamento das vulnerabilidades?
  • Já foi realizado um assessment para a descoberta de sua “Superfície de Ataque”?
  • Se este assessment foi realizado, já foi criado um plano de ação para mitigação das questões apontadas?
  • Existe um cofre de senhas e um processo de uso correto de contas administrativas e mudança automatizada destas senhas?

Caso o ambiente em nuvem ainda não seja uma realidade, mas pretende-se possuir futuramente, é interessante primeiro seguir alguns passos, como:

Desenvolver uma estratégia

Precisa-se primeiro avaliar o objetivo da migração. Isso ajudará a estabelecer os principais indicadores de desempenho (KPIs) de migração para a nuvem, como tempos de carregamento de página, tempos de resposta, disponibilidade, uso de CPU, uso de memória etc.

Identificar as aplicações corretas

Nem todos os aplicativos são compatíveis com a nuvem. Alguns têm melhor desempenho em nuvens privadas ou híbridas do que em uma nuvem pública. Alguns podem precisar de pequenos ajustes, enquanto outros precisam de alterações de código detalhadas. Uma análise completa da arquitetura, complexidade e implementação é mais fácil de fazer antes da migração do que depois.

Ter um bom provedor de nuvem

Um aspecto fundamental da otimização envolverá a seleção de um provedor de nuvem que possa ajudar a orientar o processo de migração durante sua transição e depois dela.

Manter a integridade dos dados e a continuidade operacional

Gerenciar riscos é fundamental e dados confidenciais podem ser expostos durante uma migração para a nuvem. A validação pós-migração dos processos de negócios é crucial para garantir que os controles automatizados produzam os mesmos resultados sem interromper as operações normais.

Executar a migração para a nuvem

A migração para a nuvem dependerá parcialmente da complexidade e da arquitetura de seus aplicativos e da arquitetura de seus dados. É possível mover toda a sua aplicação, executar um teste para ver se ela funciona e, em seguida, alternar seu tráfego. Como alternativa, pode-se adotar uma abordagem mais fragmentada, testando o ambiente de nuvem lentamente e utilizando-o completamente quando as validações forem finalizadas.

Além disso, a CISA criou o Cloud Security Technical Reference Architecture para orientar as agências do governo americano à medida que continuam a adotar a tecnologia de nuvem e aborda questões como:

  • Implantação de nuvem
  • Soluções Adaptáveis
  • Arquiteturas Seguras
  • Desenvolvimento, Segurança e Operações (DevSecOps)
  • Zero Trust

Adicionalmente, recomenda-se fortemente o uso de desenvolvimento seguro; cuidados com senhas como: reuso, vazamento e complexidade; bem como uma gestão de vulnerabilidades eficiente.

Referências:

  1. Checkpoint
  2. Gartner
  3. RedHat
  4. VmWare
  5. CISA
  6. IBM