Necessidade de ‘Guardrails’ em aplicações nativas da nuvem se intensifica

Views: 52
0 0
Read Time:5 Minute, 54 Second

Com mais organizações mudando para serviços de nuvem na pandemia, especialistas dizem que o processo tradicionalmente manual de assegurá-los será substituído por ferramentas automatizadas em 2021 e além.

As consequências de segurança da corrida para criar escritórios de funcionários na pandemia COVID-19 não foram apenas sobre pontos finais vulneráveis e redes domésticas: Ainda mais preocupante foi a adoção apressada de tecnologias baseadas em nuvem à medida que escritórios físicos e centros de operações de segurança ficavam escuros e os escritórios domésticos se iluminavam.

A infraestrutura de TI física e baseada em nuvem híbrida é real agora em muitas organizações, alterando o cenário corporativo para 2021 e além graças ao COVID-19, levando as organizações a mudar para um modelo de trabalho de casa praticamente da noite para o dia.

As organizações já vinham lutando para gerenciar e proteger adequadamente suas infraestruturas físicas de TI, que haviam se expandido com dispositivos móveis e de Internet das Coisas e arriscavam expor dados corporativos.

Agora adicione serviços em nuvem ao mix – como armazenamento de dados AWS S3, Salesforce, Slack, ServiceNow e outros – e o potencial para pontos cegos e dispositivos vulneráveis se multiplica. A infame onda de incidentes com baldes de armazenamento AWS S3 que começou em 2017 e continua hoje foi apenas um indício do que está por vir, dado o quão fácil é confundir inadvertidamente a segurança na nuvem.

O principal desafio é a visibilidade e o controle do que se conecta à rede corporativa, e a nuvem exacerbou uma tarefa já obscura e difícil. A maioria dos serviços baseados em nuvem respeitáveis realmente vêm com controles de segurança incorporados, mas ainda cabe ao cliente gerenciar e configurar essas configurações, e esse é muitas vezes o problema. De acordo com o Gartner, 99% dos acidentes de segurança na nuvem até 2025 estarão nas mãos do cliente. E isso provavelmente levará ao vazamento e compromisso de dados confidenciais.

Várias startups e tecnologias estão surgindo para tentar resolver o problema de visibilidade e gestão. DisruptOps, por exemplo, a criação dos diretores da Securosis Rich Mogull, Mike Rothman e Adrian Lane, saiu de um projeto construído pelos consultores de segurança veteranos e recentemente levantou US$ 9 milhões em financiamento da Série A menos de dois anos após seu lançamento no outono de 2018. O serviço baseado em nuvem fornece o que os fundadores chamam de “guardrails” que avaliam e aplicam automaticamente políticas de segurança em uma infraestrutura em nuvem – incluindo percalços de configuração.

No mês passado, a startup de segurança como serviço JupiterOne emergiu da furtividade com US$ 19 milhões em financiamento da Série A. Seu serviço encontra e mantém dispositivos e ativos físicos e virtuais atualizados automaticamente em uma organização, incluindo serviços nativos da nuvem.

Identificar e gerenciar a segurança de serviços e ativos nativos da nuvem tradicionalmente tem sido um trabalho manual demorado. Atribuir aos engenheiros a tarefa de fazer o inventário manualmente e manter todos os ativos de uma organização também é caro, observa Will Gregorian, CISO do serviço de gestão de patrimônio Addepar.

“Você está sempre [apenas] alcançando o programa de gestão de ativos”, diz ele.

A Addepar recentemente trocou sua ferramenta de governo, gerenciamento de riscos e conformidade (GRC) pelo serviço da JupiterOne. Gregorian diz que sua empresa agora pode executar consultas em contas AWS S3 para garantir que elas sejam devidamente bloqueadas e não expostas na Internet pública, e medir políticas atribuídas a um balde de armazenamento.

“Você pode ver quem tem acesso a qual balde”, diz ele, por exemplo, além de identificar chaves de acesso que não são mais necessárias e podem ser aposentadas.

A configuração errada de aplicativos nativos de segurança como serviço (SaaS) ou nativos da nuvem é comum e principalmente devido a erros humanos e ao fato de que é quase impossível acompanhar manualmente todas as configurações e conexões potenciais oferecidas nesses serviços. De acordo com uma nova pesquisa da AppOmni, quase 60% das organizações hoje auditam manualmente seus aplicativos baseados em nuvem para segurança e conformidade. Além disso, apenas 31% executam ferramentas automatizadas para gerenciar a configuração e segurança do SaaS, enquanto 10% não têm nenhum processo para isso.

“As equipes de segurança estão muitas vezes tão ocupadas sendo reativas com ransomware, precisando corrigir e endurecendo o perímetro” que o gerenciamento da configuração do SaaS muitas vezes é deixado nas linhas de negócios, que dependem de TI para configurar e administrar manualmente os aplicativos, observa Brendan O’Connor, CEO da AppOmni, que oferece um serviço que gerencia a segurança dos aplicativos SaaS, incluindo APIs e configurações de configuração.

Muitas vezes as equipes de segurança nem sequer têm acesso a login para Salesforce.com ou outros aplicativos usados em uma organização, observa. Isso pode levar à configuração errada dos controles de segurança no ServiceNow, Slack e outros aplicativos baseados em nuvem, diz O’Connor.

“A visibilidade é o principal desafio”, diz ele, e as equipes de segurança normalmente não têm a largura de banda para dominar totalmente todos os detalhes desses aplicativos ou a maneira como as conexões de API com aplicativos SaaS funcionam interna e externamente.

Aplicativos Massive SaaS como Salesforce e ServiceNow têm “centenas de botões e switches” para aprender, diz ele. O serviço da AppOmni encontra regularmente usuários com acesso desnecessário e excessivamente perecido a esses aplicativos, diz ele, e é principalmente devido a erros de configuração ou supervisão em vez de atividades maliciosas.

Mesmo assim, uma conta deixada exposta à Internet pública está pronta para abusos, especialmente com cibercriminosos regularmente procurando por sistemas vulneráveis sentados lá fora.

Kurt John, diretor de segurança cibernética da Siemens USA, diz que muitas organizações passaram de mapear um lançamento gradual de nuvem para uma adoção instantânea na pandemia que acabou com seus planos.

“Com esse movimento acelerado… eles obviamente precisam priorizar as operações de negócios, e muitas vezes isso acontece em detrimento da segurança”, diz.

É por isso que as organizações precisam investir em gerenciamento e configuração suficiente de ativos em nuvem, observa Richard Stiennon, fundador da IT-Harvest. Stiennon diz que provavelmente haverá ondas de divulgações de violação de dados em 2021, na esteira de ataques de phishing relacionados ao COVID-19 este ano.

“Estou preocupado que o próximo ano seja o todo sobre violações novamente”, diz Stiennon.

E dado que cerca de 96% das organizações em todo o mundo planejam realocar dados confidenciais para a nuvem nos próximos dois anos, de acordo com um novo estudo da Trustwave, as violações podem ficar ainda mais feias se as organizações não gerenciarem e protegerem adequadamente seus serviços em nuvem.

Enquanto isso, a rápida adoção de nuvem em meio ao COVID-19 está acelerando novas tecnologias para ajudar a gerenciar essas novas infraestruturas híbridas: a próxima grande coisa para manter a nuvem sob controle pode ser um modelo de IA mais útil. Keith Neilson, evangelista técnico do fornecedor de governança em nuvem CloudSphere, diz que em 2021, a IA evoluirá de apenas detectar anomalias, como a maioria de suas iterações fazem hoje, para realmente alertar as equipes de segurança sobre ameaças críveis.

FONTE: DARK READING

Previous post Ética para equipes de resposta a incidentes e segurança
Next post Thales apresenta nova edição do “Manual de Ciberameaças: o cibercrime organizado”

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *