Como gerenciar ameaças na nuvem?

Views: 143
0 0
Read Time:5 Minute, 48 Second

Entender a extensão da superfície de ataque está no topo da lista de prioridades da segurança

Por Vlad Klasnja*

As pessoas mal intencionadas estão sempre buscando novas formas de ataques as empresas. Existem padrões conhecidos de execução: como phishing, golpes de BEC (Business email compromise), pesquisas de vulnerabilidades em sites, falta de sistemas reforçados e configurações incorretas deixadas sem endereçamento/sem triagem antes de serem liberadas para produção, o que deixa os ativos corporativos expostos.

Num cenário orientado para a nuvem, onde muitos serviços estão disponíveis diariamente, é difícil acompanhar a velocidade de uma empresa na utilização desses serviços com intuito de ganhar competitividade sobre os concorrentes e se manter viável. Só que a segurança exige uma movimentação cada vez mais ágil para atender essa demanda do mundo corporativo.

Embora a compreensão de possíveis vetores de ataque seja crucial, o gerenciamento de ameaças começa com uma arquitetura adequada e a higiene nos processos automatizados e a capacidade de relatar e corrigir instantaneamente o que for necessário. As respostas ao incidente (RI) e os processos forenses devem ser bem compreendidos e incorporados às atividades no dia a dia. Também é raro que o departamento de segurança tenha maturidade no que se refere a modelagem de ameaças, uma das etapas principais no design para proteção dos ativos organizacionais.

Muitas vezes propagamos que a visibilidade é um dos recursos mais importantes no quesito segurança, mas entender a extensão da superfície de ataque também está no topo dessa lista. Não é muito difícil saber o que você precisa proteger, onde está, o porquê e como protegê-lo. Mesmo assim, é impressionante como as equipes de segurança sempre parecem esquecer etapas, antes de liberar sistemas específicos ou serviços, o que leva a exposições. Isso é uma dificuldade nos processos, falta de qualidade nos recursos, má execução no gerenciamento dos projetos/programas ou pode ser um pouco de tudo isso?CIO2503

Uma pessoa mal intencionada procura inicialmente por dispositivos e identidades expostas. Este método é usual. Temos muita exposição, ao deixar tantas portas abertas para alguém apenas transpô-las. Hackear um serviço de VPN é um exemplo perfeito disso, onde o ‘ticket to ride’ oferece a alguém mal-intencionado a capacidade de perambular pelo perímetro organizacional pelo tempo que quiser ou até que seja pego. E que tal se começarmos a pensar em como fornecer conectividade específica apenas para ‘recursos individuais’ durante uma sessão de rede, em que qualquer solicitação, movimento ou atividade de acesso possa ser monitorada, analisada e abordada no presente? O objetivo é minimizar a superfície de ataque. Isso é simples e já está disponível, mas requer pensar fora da caixa.

Dessa forma, o mindset herdado precisa desaparecer.

Tendências de ameaças na nuvem

Os vários artigos sobre pesquisas de ameaças mostram o óbvio, que pessoas mal-intencionadas estão usando a nuvem cada vez mais. Isso não ocorre apenas porque eles desejam utilizar a escalabilidade e a velocidade de execução proporcionada pela cloud, mas também porque percebem algo que muitas equipes de segurança esquecem: mover as cargas de trabalho para a nuvem de maneira inadequada, aumenta o risco organizacional à exposição e a possível perda de dados.

Para contextualizar, aponto algumas conclusões do Netskope Threat Research Labs sobre quais os vetores de ataque que precisamos conhecer e defender. Confira, a seguir:

  • Quase metade (44%) das ameaças são baseadas na nuvem

Os invasores estão migrando para a nuvem para se misturar, aumentar as taxas de sucesso e evitar a detecção. Os invasores iniciam ataques por meio de serviços e apps na nuvem, usando técnicas conhecidas, incluindo golpes, phishing, entrega de malware, comando e controle, formjacking (quebra de formulário), chatbots e exfiltração de dados. Eles abusam da confiança implícita que os usuários depositam nos apps em nuvem.

  • Mais da metade das violações de política de dados vem de armazenamento em nuvem, colaboração e apps de webmail

Esses são os apps e serviços com os quais as organizações estão mais preocupadas e estão a definir políticas proativas para ajudar a controlar o fluxo de dados na nuvem. Os tipos de violações incluem privacidade, assistência médica (healthcare), finanças, código fonte e senhas e credenciais.

  • Um quinto (20%) dos usuários move dados lateralmente entre apps em nuvem

São vários apps em uso, do OneDrive ao Google Drive; ou do Google Drive ao webmail, ou ainda do webmail ao Slack. Os dados cruzam muitos limites: movendo-se entre suítes de apps em nuvem, instâncias e apps gerenciados e não gerenciados, categorias de apps e níveis de risco de apps. A escala de expansão de dados na nuvem é enorme. No total, vimos movimentação de dados entre 2.481 diferentes apps em nuvem e serviços. Nossa nova série sobre vazamentos de dados na nuvem destaca um dos riscos da expansão da nuvem: vazamentos de dados causados ​​por configurações incorretas.

  • Um terço (33%) dos usuários corporativos trabalha remotamente

Percebemos que um terço dos usuários trabalha remotamente, acessando apps públicos e privados na nuvem. Também vemos um crescimento na implantação de apps privados na nuvem, com organizações implantando aplicativos privados em vários provedores de serviços em nuvem e em várias regiões. Existem riscos que rodeiam esses apps seja na AWS, GCP ou Azure, para citar nuvens mais utilizadas.

Outra questão que assombra as organizações é o ransomware elevado a outro nível. Não se trata mais apenas de bloquear o acesso ao sistema ou aos dados para resgate, já que muitos podem apenas restaurar o sistema ou os dados para o nível anterior. Agora, os invasores percebem que, depois de acessarem dados confidenciais e qual seu valor, eles têm um trunfo adicional, pois podem ameaçar divulgar esses dados ao público se o resgate não for pago, manchando a reputação da marca ou da organização.

É interessante considerar que se as pessoas mal intencionados classificam os dados, então, por que não podemos também fazer isso? Você pode estar confiante em seu processo de backup ou de disaster recovery, mas se seu programa de proteção de dados tiver brechas, as consequências negativas podem ser enormes.

Aqui estão mais algumas atividades comuns:

  • Domínio fronting – ataques de DNS que atacam identidades e tentam assumir a propriedade do domínio
  • Atividades Cloud on Cloud – atores mal intencionados focados na lavagem de suas conexões, ocultando-se na infraestrutura do CSP.

Precisamos redefinir como solucionar os problemas, criando uma segurança mais sólida com uma arquitetura moderna, com transparência para os usuários (habilitar a adoção) e permitindo, assim, a inovação para os negócios com segurança.

Não há educação e colaboração que seja suficiente sobre qual o grau de tolerância ao risco organizacional. Ponderar sobre o alcance do risco comercial é algo aceitável, uma etapa que deve ser incorporada a qualquer departamento encarregado de projetar, implementar ou executar soluções tecnológicas já que proteger uma marca não é uma tarefa pequena, mas compreender o potencial do impacto negativo pode diminuir drasticamente a exposição a riscos.

*Vlad Klasnja é diretor de Serviços para Arquiteturas na Nuvem da Netskope

FONTE: CIO

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *