Nuvens ameaçadoras: como as empresas podem proteger seus dados de nuvem pública?

Não há fim para as evidências de que, à medida que mais e mais dados corporativos críticos e aplicativos corporativos são hospedados na nuvem pública, os cibercriminosos estão fazendo o possível para explorá-los.

Embora as organizações executem uma média de seis ferramentas ou recursos diferentes para proteger seus ambientes de nuvem pública, 96% dos tomadores de decisão ainda relatam que suas organizações enfrentaram incidentes de segurança nos últimos 12 meses. De acordo com o Thales Cloud Security Study de 2022, 45% das empresas sofreram uma violação de dados baseada em nuvem ou falha na auditoria no ano passado. Entre 2020 e 2021, os vazamentos de dados relacionados a ransomware aumentaram 82% e as campanhas interativas de intrusão aumentaram 45%.

Os hackers estão cada vez mais agressivamente perseguindo quaisquer fraquezas e vulnerabilidades – e roubando quaisquer credenciais e outras informações preciosas – que podem encontrar.

“Os serviços em nuvem são uma parte essencial do tecido digital da empresa moderna”, observa um relatório da empresa de tecnologia de segurança cibernética CrowdStrike.

Ainda assim, embora a adoção da nuvem traga maior agilidade, escalabilidade e economia de custos, também trouxe uma mudança adversa. “Assim como as organizações perceberam a eficiência por meio da nuvem, os invasores também”, escrevem os autores do relatório. “Os atores de ameaças estão usando os mesmos serviços que suas presas e pelo mesmo motivo: aprimorar e otimizar suas operações.”

Visibilidade nublada

Nuvens públicas não impõem inerentemente ameaças de segurança, disse o analista do Gartner VP Patrick Hevesi – na verdade, os provedores de nuvem de hiperescala geralmente têm mais camadas de segurança, pessoas e processos do que a maioria das organizações pode pagar em seus próprios data centers.

No entanto, a maior bandeira vermelha para as organizações ao selecionar um provedor de nuvem pública é a falta de visibilidade de suas medidas de segurança, disse ele.

Alguns dos maiores problemas da memória recente: configurações incorretas de buckets de armazenamento em nuvem, disse Hevesi. Isso abriu arquivos para exfiltração de dados. Alguns provedores de nuvem também tiveram interrupções devido a configurações incorretas de plataformas de identidade. Isso afetou a inicialização correta de seus serviços de nuvem, o que, por sua vez, afetou os locatários.

Enquanto isso, provedores de nuvem menores foram colocados offline devido a ataques distribuídos de negação de serviço (DDoS). Isso ocorre quando os criminosos tornam uma máquina ou recurso de rede indisponível para os usuários pretendidos, interrompendo os serviços — de curto ou longo prazo — de um host conectado a uma rede.

O vice-presidente e analista principal da Forrester, Andras Cser, identificou o maior problema como a configuração baseada em software de plataformas de nuvem pública – AWS, Google Cloud Platform, Microsoft Azure – que não possuem gerenciamento adequado de identidade e acesso.

“Esses artefatos de configuração são fáceis de modificar e permanecem fora do radar”, disse Cser.

A configuração insegura de instâncias de armazenamento — graváveis ​​em todo o mundo, não criptografadas, por exemplo — também fornece uma superfície de ameaça para os invasores. Ele também está vendo ameaças em torno do tráfego da rede de contêineres, disse ele.

Várias áreas de ataque

O relatório CrowdStrike também identificou esses vetores comuns de ataque na nuvem:

• Exploração de vulnerabilidades na nuvem (execução de código arbitrário, Accellion File Transfer Appliance, VMware).
• Roubo de credenciais (Microsoft Office 365, Okta, e-mail hospedado na nuvem ou serviços de hospedagem de arquivos).
• Abuso do provedor de serviços em nuvem (especialmente com MSPs ou provedores de serviços gerenciados).
• Uso de serviços em nuvem para hospedagem de malware e C2.
• Exploração de contêineres de imagem mal configurados (contêineres Docker, clusters Kubernetes).

De acordo com o relatório, a CrowdStrike também continua a ver atividades adversárias quando se trata de:

• Infraestrutura de nuvem negligenciada prevista para aposentadoria, mas ainda contendo dados confidenciais. Isso cria vulnerabilidades porque as organizações não estão mais investindo em controles de segurança — monitoramento, registro detalhado, arquitetura de segurança e correção de postura de planejamento.
• A falta de restrições de saída e proteção de carga de trabalho contra a exfiltração de dados. Isso é particularmente um problema quando certas infraestruturas de nuvem são negligenciadas, mas ainda contêm dados e sistemas críticos de negócios.
• Adversários aproveitando brechas nas estratégias de proteção de identidade e autenticação multifator (MFA). Isso ocorre quando as organizações falham: ao implantar totalmente o MFA, desabilitar protocolos de autenticação herdados que não oferecem suporte a MFA e rastrear e controlar privilégios e credenciais para usuários e entidades de serviço de nuvem.

Como as organizações podem se proteger de ataques à nuvem pública?

Em última análise, tudo se resume a ser estratégico e diligente na seleção – e avaliação contínua – dos provedores de nuvem pública.

As ferramentas mais valiosas, de acordo com Cser da Forrester:

• Proteção de carga de trabalho na nuvem (CWP) ou Segurança de carga de trabalho na nuvem (CWS): Esse processo protege as cargas de trabalho que se movem em diferentes ambientes de nuvem. O relatório Forrester Wave do primeiro trimestre de 2022 da Forrester identificou os principais fornecedores nesta área como Aqua Security, Bitdefender, Broadcom, Check Point, CrowdStrike, Kaspersky, McAfee, Palo Alto Networks, Radware, Rapid7, Sysdig e Trend Micro.
• Gerenciamento de postura de segurança na nuvem (CSPM): Essa ferramenta de programação identifica problemas de configuração incorreta e riscos de conformidade na nuvem. Ele monitora continuamente a infraestrutura de nuvem para identificar lacunas na aplicação da política de segurança.
• Programa de proteção de aplicativos nativos da nuvem (CNAPP), que combina CWP e CSPM: Esse processo emergente permite que as organizações protejam aplicativos nativos da nuvem em todo o ciclo de vida do aplicativo. Ele integra e centraliza funções de segurança que, de outra forma, estariam isoladas em uma única interface.

Segurança na nuvem ‘santo graal’

O Gartner apresenta uma estrutura de segurança em nuvem complexa, multicamada e multicomponente:

As soluções acima podem proteger ambientes de nuvem pública IaaS, PaaS e SaaS, disse Hevesi, e as acima ilustram como elas se encaixam tecnicamente na arquitetura. Eles são eficazes especialmente se a organização tiver vários provedores de nuvem IaaS, SaaS e PaaS, pois o corretor de segurança de acesso à nuvem (CASB) pode fornecer às equipes de segurança “um único painel de vidro” para todas as suas plataformas.

Ele sugere que as organizações também considerem o seguinte:

• Quais certificações um provedor de nuvem pública possui para sua infraestrutura?
• Quais ferramentas e processos eles possuem para manter a segurança e responder a incidentes?
• Que segurança física eles têm?
• Como eles realizam verificações de antecedentes para seus funcionários?
• Como eles protegem os locatários e protegem o acesso do usuário a locatários e funcionários?

Ameaças ocorrem quando tais exemplos não são estabelecidos e seguidos pelos provedores de nuvem, disse Hevesi. A configuração incorreta da nuvem ainda é o maior problema, independentemente de IaaS, PaaS ou SaaS.

“Se um usuário com acesso de administrador configurar incorretamente uma configuração acidentalmente, isso poderá ter um impacto enorme em toda a infraestrutura do provedor de nuvem – o que afetará os clientes”, disse Hevesi.

Forro de prata

Especialistas apontam para o aumento encorajador do uso de criptografia e gerenciamento de chaves – usado por 59% e 52%, respectivamente, dos entrevistados da pesquisa da Thales, por exemplo. Os modelos de confiança zero também estão em alta – de acordo com a Thales, 29% já estão executando uma estratégia de confiança zero, 27% dizem que estão avaliando e planejando uma e 23% estão considerando.

As organizações devem adotar cada vez mais soluções de governança de identidade de nuvem (CIG) e gerenciamento de direitos de infraestrutura de nuvem (CIEM) e realizar monitoramento e investigações com inteligência artificial, de acordo com a CrowdStrike. Também é fundamental habilitar proteções de tempo de execução e obter visibilidade em tempo real.

A defesa da nuvem só se tornará mais complexa à medida que os adversários evoluem e aumentam as tentativas de direcionar a infraestrutura da nuvem, além de aplicativos e dados, conclui o relatório. “No entanto, com uma abordagem abrangente baseada em visibilidade, inteligência de ameaças e detecção de ameaças, as organizações podem se dar a melhor oportunidade de aproveitar a nuvem sem sacrificar a segurança.”