0
0
À medida que a tecnologia em nuvem se expande tanto no uso mundial quanto na complexidade das ofertas, alguns mitos persistem. Na Check Point, reunimos nossas cabeças e criamos a seguinte lista dos mitos mais comuns de segurança na nuvem, seguida pelas realidades conflitantes.
1. Quanto mais ferramentas de segurança você tiver, melhor
Pelo contrário, mais ferramentas de segurança simplesmente não são iguais a mais segurança. De acordo com o Oracle e o KPMG Cloud Threat Report 2020,70% dos entrevistados relatam que muitas ferramentas são necessárias para proteger ambientes de nuvem pública. Em média, cada um usa mais de 100 controles de segurança discretos. Vários fornecedores de segurança, fornecendo soluções diferentes, bloqueando diferentes vetores de ataque, todos resultam em lacunas. E essas lacunas criam pontos de acesso para atacantes.
Muita complexidade em nuvem + Muitas soluções de segurança diferentes + Soluções que não cooperam = Nenhuma inteligência ou arquitetura compartilhadas, lacunas e riscos
Para superar essas lacunas, é imprescindível implementar ferramentas e recursos para ajudar a simplificar a gestão de segurança da nuvem e assumir o controle da segurança.
2. A segurança é responsabilidade do provedor de nuvem
Como cliente em nuvem, a organização de usuários finais retém a responsabilidade de proteger os dados que eles colocam na nuvem no conhecido modelo de responsabilidade compartilhada. Ao proteger a infraestrutura nativa em nuvem, é vital entender exatamente onde estão as responsabilidades, considerando que suas responsabilidades variam dependendo dos serviços que você está consumindo.
Existem muitas maneiras diferentes de proteger seus dados na nuvem, e as organizações estão falhando em fazer a grande maioria deles.
3. Violações bem sucedidas resultam de ataques sofisticados
Embora seja verdade que atacantes altamente sofisticados existem, a realidade é que sua crescente sofisticação não é a razão por trás da maioria dos ataques bem sucedidos. Erros e configuração errada por parte dos usuários finais são o que impulsionam a grande maioria dos ataques.
O Gartner prevê que, até 2025, pelo menos 99% das falhas na nuvem serão culpa do cliente.
Os filmes podem retratar uma cena emocionante no estilo Missão Impossível,com atacantes se esquivando sob lasers e quebrando o código na porta do cofre. Mas a realidade é mais parecida com um ladrão sortudo simplesmente encontrando uma porta destrancada no momento oportuno – porque a última pessoa que fechou a porta não conseguiu girar o mostrador.
Na verdade, Sergio Lourerio, diretor de segurança em nuvem do Outpost24, disse:“Ainda estamos nos primeiros dias de segurança de infraestrutura em nuvem e o que estamos vendo é uma prevalência de ataques oportunistas, não muito sofisticados, como procurar baldes de dados AWS S3 acessíveis publicamente.”
4. A visibilidade da nuvem é fácil
Você está pagando para usar recursos em nuvem, então você deve saber precisamente quais são esses recursos, bem como todas as informações relevantes, tais como:
- Quantas contas temos?
- Os desenvolvedores adicionaram máquinas, novas funcionalidades ou se conectaram ao mundo exterior?
- Quem colocou isso aí?
- Está configurado corretamente?
- Tem vulnerabilidades?
- Posso pará-los antes que atinja o ambiente de tempo de execução?
Infelizmente, todas essas informações são muito mais difíceis de acompanhar do que muitos imaginam. Sem visibilidade de como os recursos devem se comportar, você não pode observar quando esse comportamento se desvia. Sem painéis consolidados, é muito difícil identificar e agir sobre ameaças em tempo hábil.
(E isso não diz nada da importância da visibilidade em garantir que você atinja o cumprimento das leis e padrões relevantes do setor. Ah, e a pequena questão do dinheiro – certificando-se de que você não está pagando por mais do que está usando.)
5. Segurança é melhor esquerda para profissionais de segurança
Em vez de isolar a segurança para a alçada de profissionais de segurança dedicados, as melhores práticas incluem tornar a segurança o problema de todos. Por exemplo, a segurança de mudança deixada no ciclo de vida do desenvolvimento de software, implementando segurança durante o desenvolvimento, em vez de esperar pela implantação, ou pior, após a implantação. Faça com que os desenvolvedores façam parte do processo em vez de tomar uma abordagem contraditória. Ofereça aos desenvolvedores funcionalidade de autoatendimento para avaliar a segurança de uma pilha que eles estão prestes a implantar e fornecer ferramentas para corrigir automaticamente problemas antes de entrar em produção..
6. A nuvem é inerentemente mais segura
Na verdade, este não é realmente um mito, mas sim um factoide: um pouco de verdade, e um pouco de falsidade tudo embrulhado.
Verdade alimentando o mito:
Os provedores de nuvem geralmente são mais confiáveis em tarefas como patches de servidores. Deixar isso para eles faz sentido e a confiança nos provedores de serviços em nuvem é merecidamente alta. Em, The Notória 11, The Cloud Security Alliance (CSA) descreve as principais ameaças à computação em nuvem. As respostas recentes da pesquisa mostraram uma queda significativa no ranking de problemas tradicionais de segurança na nuvem sob a responsabilidade dos provedores de serviços em nuvem. As preocupações caíram tão baixas que a CSA optou por excluí-las do último relatório.
Preocupações com a segurança na nuvem que estouram o mito:
Proteger tudo em várias nuvens envolve garantir acesso, gerenciar identidades e auditoria constante, para citar apenas algumas. O aumento da expansão das cargas de trabalho em várias nuvens públicas e privadas resulta em dificuldade para obter visibilidade e falta de contexto de ponta a ponta em torno do risco. Esses desafios só são exacerbados pelas lacunas de segurança inevitáveis com soluções díspares.
Além disso, as tecnologias sem servidor fragmentam seu aplicativo para componentes menores que são callable. Essa mudança, juntamente com o uso de gatilhos baseados em eventos de diversas fontes (como armazenamento, filas de mensagens e bancos de dados) significa que os atacantes têm mais alvos e mais vetores de ataque.
7. Você deve desacelerar os desenvolvedores para serem seguros
Extraídos de um artigo na Computer Business Review, “os desenvolvedores devem ser capacitados com plug-ins que acionam controles de segurança e conformidade em cada etapa do processo DevOps, expondo os resultados apenas dentro das ferramentas que eles comumente usam para permitir a rápida remediação do código vulnerável.”
Além disso, as etapas de remediação devem ser automatizadas se para corrigir problemas ou agilizar processos de segurança. Permitir que os desenvolvedores façam seus trabalhos com segurança, sem adicionar trabalho, como fornecer ferramentas para automatizar tarefas, como gerar permissões para funções sem servidor. Tome medidas para remover o atrito em vez de retardar as coisas.
8. Automação de segurança é ideal, tornando a supervisão humana arcaica e desnecessária
Mais uma vez, um “factoide” aqui que mistura verdade e ficção. O verdadeiro ideal de segurança é uma combinação de automação e supervisão humana.
O relatório State of Pentesting 2020 analisou quais vulnerabilidades de segurança de aplicativos da Web podem ser encontradas de forma confiável usando máquinas versus conhecimento humano. “O estudo constatou que tanto humanos quanto máquinas trazem valor quando se trata de encontrar classes específicas de vulnerabilidades. Os humanos ‘ganham’ em encontrar desvios de lógica empresarial, condições de corrida e explorações acorrentadas, de acordo com o relatório.”
9. A segurança dos aplicativos SaaS é gerenciada pelo Provedor e Não Requer Atenção do SaaS
Ao contrário do IaaS, os aplicativos SaaS realmente não exigem seus esforços para corrigir servidores. Como usuário final, você simplesmente concede acesso aos funcionários da sua organização e os deixa correr.
No entanto, muitos aplicativos SaaS necessariamente conterão informações confidenciais. Os usuários são frequentemente capazes de interagir com arquivos, incluindo compartilhamento e configuração de acesso. E os usuários que concedem acesso a outros e não têm esse acesso rescindido quando saem da sua organização são de fato problemas de segurança que requerem sua atenção.
10. Baldes S3 são seguros por padrão
Como configuração padrão, os baldes Amazon S3 são privados e só podem ser acessados por aqueles que tiveram acesso. Então, sim, eles estão seguros. No entanto, assim como os cintos de segurança, eles não são de nenhuma ajuda se não forem usados.
E muitas violações de dados resultam de configurações erradas, como simplesmente tornar os baldes públicos, ou outros erros, como armazenar senhas em texto claro em baldes GitHub ou S3.
De acordo com o Relatório de Ameaças da Internet 2019da Symantec, em 2018 “(AWS) os baldes S3 emergiram como um calcanhar de Aquiles para organizações, com mais de 70 milhões de registros roubados ou vazados como resultado de uma configuração ruim”.
11. Contêineres e funções sem servidor são inerentemente mais seguras
Os contêineres e funções sem servidor são projetados para serem efêmeros e tendem a ter vida útil curta, o que fortalece a segurança. Os atacantes são incapazes de alcançar facilmente a presença a longo prazo em seu sistema.
Embora, em essência, essa afirmação seja verdadeira, o uso de gatilhos baseados em eventos de diversas fontes significa que os atacantes têm mais alvos e mais vetores de ataque. Configuradas corretamente, essas tecnologias nativas em nuvem absolutamente podem ser mais seguras… mas somente se configurado corretamente.
12. CVE’s são as únicas vulnerabilidades com as que preciso me preocupar
Como já dito, a crescente sofisticação não é a razão para a maioria dos ataques bem sucedidos. Portanto, é lógico focar em mitigar o risco dos vetores de ataque mais comuns.
No entanto, a escolha deliberada de negligenciar a segurança fora do escopo dos CVEs levará, por definição, a um risco aumentado. De acordo com um relatório da Balbix, um dos 5 Tipos de Vulnerabilidades que não são CVEs incluem configurações erradas, que, como dito, são o condutor de muitas violações bem sucedidas.
Como você pode ver, a segurança na nuvem está repleta de mitos, mas uma vez que você desvenda os mitos, é fácil descobrir os fatos e identificar as estratégias necessárias para transformar a segurança do seu negócio na nuvem.
FONTE: CHECKPOINT