This post is also available in: Português
A nuvem serve para armazenar e compartilhar dados, aplicativos e cargas de trabalho, trazendo mais praticidade para as organizações. Porém, ela também trouxe uma série de novas ameaças e desafios de segurança digital. Com tantos dados indo para a nuvem – e para serviços de nuvem pública em particular – esses recursos se tornaram alvos para os cibercriminosos.
A Cloud Security Alliance (CSA) atualizou seu relatório “Top Threats to Cloud Computing: Egregious Eleven”, para fornecer às organizações uma compreensão atualizada das questões de segurança na nuvem, para que possam tomar decisões sobre as estratégias de adoção da nuvem.
Lançado em setembro, o relatório lista as principais ameaças à nuvem que ocorreram em 2019.
A CSA diz que, embora existam muitas preocupações sobre a segurança na nuvem, o relatório listou 11 especificamente relacionadas à natureza compartilhada e sob demanda da computação em nuvem.
Continue a leitura e veja quais são os principais problemas de segurança na nuvem, classificados em ordem de gravidade de acordo com a pesquisa feita pela CSA.
Violações de dados
Podendo causar grandes danos financeiros e a reputação, as violações podem resultar em perda de propriedade intelectual (PI) e responsabilidades legais significativas.
Segundo o relatório, os dados acessíveis pela Internet são os mais vulneráveis a erros de configuração ou exploração. Eles até podem ser protegidos pela criptografia, mas com uma compensação no desempenho e na experiência do usuário.
Configuração incorreta e controle de mudança inadequado
Existem muitas empresas que expõem dados acidentalmente por meio da nuvem. E não é apenas com a perda de dados que as empresas precisam se preocupar, mas com a exclusão ou modificação de recursos feita com a intenção de interromper os negócios.
O relatório culpa as práticas de controle de alterações deficientes pela maioria dos erros de configuração incorreta. Isso causa uma complexidade dos recursos baseados em nuvem, tornando-os difíceis de configurar.
Os controles tradicionais e as abordagens de gerenciamento de mudança não são eficazes na nuvem. Segundo o relatório, é necessário utilizar automação e tecnologias que examinam continuamente os recursos configurados incorretamente.
Falta de arquitetura e estratégia de segurança em nuvem
O desejo de minimizar o tempo necessário para migrar sistemas e dados para a nuvem geralmente tem precedência sobre a segurança. Como resultado, a empresa se torna operacional na nuvem usando infraestrutura e estratégias de segurança que não foram projetadas para ela.
É necessário desenvolver e implementar uma estrutura de arquitetura de segurança, para que a mesma esteja alinhada com as metas e objetivos de negócios. Além disso, é preciso manter os modelos de ameaças atualizados e implantar um recurso de monitoramento contínuo.
Identidade, credencial, acesso e gerenciamento de chaves insuficientes
O gerenciamento e controle de acesso inadequados em torno de dados, sistemas e recursos físicos, como salas de servidores e edifícios, é uma ameaça nova na lista.
A nuvem exige que as configurações mudem as práticas relacionadas ao gerenciamento de identidade e acesso (IAM). Segundo o relatório, as consequências de não fazer isso podem resultar em incidentes de segurança e violações causadas por:
– Credenciais inadequadamente protegidas;
– Falta de rotação automatizada de chaves criptográficas, senhas e certificados;
– Falta de escalabilidade;
– Falha ao usar autenticação multifator;
– Falha ao usar senhas fortes.
Para evitar esse tipo de problema, é necessário utilizar controles rígidos de identidade e acesso para usuários e identidades da nuvem.
O relatório ainda diz para separar e segmentar contas, nuvens privadas virtuais e grupos de identidade com base nas necessidades de negócios e no princípio do menor privilégio.
Além disso, é necessário realizar uma abordagem programática e centralizada para a rotação de chaves e remover credenciais não utilizadas e privilégios de acesso.
Roubo de conta
Quanto mais eficazes e direcionados se tornam os ataques de phishing, maior é o risco de um cibercriminoso obter acesso a contas altamente privilegiadas. Mas o phishing não é a única maneira de se obter credenciais. Os cibercriminosos podem consegui-los comprometendo o próprio serviço de nuvem ou os roubando por outros meios.
Os danos que um cibercriminosos pode causar ao entrar no sistema fazendo uso de uma conta legitima são grandes. Ele pode causar uma interrupção e roubar ou destruir dados importantes. Ele pode também interromper a prestação de serviços ou causar uma fraude financeira.
As recomendações da CSA são para educar os usuários sobre os perigos e sinais de sequestro de conta para minimizar o risco.
As redefinições de senhas não devem ser feitas apenas quando as credenciais da conta forem roubadas, mas sim periodicamente.
Ameaças internas
As ameaças internas são causadas por usuários internos, ou seja, pessoas que não precisam romper as defesas de uma empresa para acessar seus sistemas. Podem ser funcionários atuais ou ex-funcionários que não necessariamente tem uma intenção maliciosa para causar danos.
Para evitar essa ameaça, é necessário treinar e educar os funcionários sobre as práticas adequadas para proteger dados e sistemas. Isso precisa ser contínuo. Além disso, deve ser auditado regularmente e corrigidos os servidores em nuvem com falhas, restringindo o acesso a sistemas críticos.
Interfaces e APIs inseguras
As vulnerabilidades API podem fornecer aos cibercriminosos um caminho claro para roubar credenciais de usuários ou funcionários.
Segundo o relatório da CSA, as organizações precisam entender que APIs e interfaces de usuários são frequentemente as partes mais expostas de um sistema e incentiva uma abordagem de segurança desde o design para construí-las.
Portanto, é necessário proteger as chaves de API e evitar reutilização. As boas práticas de API, como supervisão de itens como proteção de inventário, teste, auditoria e atividade normal devem ser empregadas.
Plano de controle fraco
O plano de controle é fraco se a pessoa responsável por esses processos não tem controle total sobre a lógica, segurança e verificação da infraestrutura de dados.
As partes interessadas no controle precisam entender a configuração de segurança, como os dados fluem e os pontos cegos ou pontos fracos da arquitetura. Não fazer isso, pode resultar em vazamento de dados, indisponibilidade de dados ou corrupção de dados.
É necessário se certificar de que o provedor de serviços em nuvem oferece os controles de segurança necessários para cumprir as obrigações legais e estatuárias.
Falha na metaestrutura e na infraestrutura
A metaestrutura de um provedor de serviços em nuvem contém informações de segurança sobre como protege seus sistemas e divulga essas informações por meio de chamadas de API.
As APIs ajudam os clientes a detectar o acesso não autorizado, mas também contêm informações altamente confidenciais, como logs ou dados do sistema de auditoria.
Essa linha de corte também é um ponto potencial de falha, que pode dar aos cibercriminosos acesso aos dados ou a capacidade de interromper os clientes na nuvem.
A implementação deficiente da API costuma ser a causa de uma vulnerabilidade. Portanto, é preciso certificar que o provedor de serviços em nuvem oferece visibilidade e expõe atenuações.
A CSA ainda sugere que sejam implementados recursos e controles apropriados em designs nativos da nuvem e que se certifique que o provedor de serviços de nuvem conduza testes de penetração e forneça descobertas aos clientes.
Visibilidade limitada do uso da nuvem
Um ambiente de nuvem acaba “cegando” os profissionais de segurança para muitos dos dados de que precisam para detectar e prevenir atividades maliciosas.
O desafio de visibilidade de uso limitado é dividido em dois: uso de aplicativos não sancionado e uso indevido de aplicativo sancionado.
Os aplicativos não sancionados são essencialmente shadow IT – aplicativos que são usados sem permissão por funcionários, suporte de TI ou segurança.
Aplicativos que não atendem as diretrizes corporativas de segurança, representam um risco desconhecido à equipe de segurança.
As equipes de segurança precisam ser capazes de dizer a diferença entre usuários válidos e inválidos, detectando comportamentos fora do normal.
As empresas devem desenvolver um esforço de visibilidade na nuvem de cima para baixo que conecte pessoas, processos e tecnologia, diz o relatório.
Além disso, a empresa deve implementar um modelo de confiança zero, conduzir treinamento obrigatório sobre as políticas e aplicação aceitas de uso na nuvem. Deve investir também em um corretor de segurança de acesso à nuvem ou gateways definidos por software para analisar atividades de saída, e em um firewall de aplicação para analisar conexões de entrada.
Abuso e uso nocivo de serviços em nuvem
Os cibercriminosos estão fazendo uso de serviços em nuvem legítimos para apoiar suas atividades. Os provedores de serviços em nuvem devem ter mitigações para prevenir e detectar abusos, como fraude de instrumento de pagamento ou uso indevido de serviços em nuvem.
É importante para os provedores de nuvem ter uma estrutura de resposta a incidentes em vigor para responder ao uso indevido e permitir que os clientes relatem o uso indevido.
Segundo o relatório da CSA, deve ser realizado um monitoramento do uso da nuvem pelos funcionários em busca de abuso. Soluções de prevenção de perda de dados em nuvem para monitorar e interromper a exfiltração (transferência não autorizada de dados), também devem ser empregados.
Como citado anteriormente, os serviços na nuvem trazem muita praticidade para as organizações, mas muitos riscos também. É necessário seguir as recomendações para manter sua empresa segura e evitar prejuízos.
Se você ainda não utiliza os serviços na nuvem, mas gostaria de utilizar, acesse este link e descubra qual o melhor tipo para sua empresa.
This post is also available in: Português