0
0
As organizações tradicionalmente têm lutado para rastrear vulnerabilidades em plataformas e serviços de nuvem pública por causa da falta de um programa comum de enumeração de vulnerabilidades (CVE), como o que o MITRE mantém para problemas de segurança de software divulgados publicamente.
Um novo banco de dados baseado na comunidade lançado esta semana busca começar a resolver esse problema, fornecendo um repositório central de informações sobre problemas de segurança conhecidos do provedor de serviços em nuvem e as medidas que as organizações podem tomar para mitigá-los.
O banco de dados — cloudvulndb.org — é ideia de pesquisadores de segurança da Wiz, que há algum tempo defendem a necessidade de um catálogo público de falhas de segurança conhecidas em plataformas e serviços executados por empresas como AWS, Microsoft e Google. O banco de dados atualmente lista cerca de 70 problemas e vulnerabilidades de segurança na nuvem que o pesquisador de segurança Scott Piper havia compilado anteriormente em um documento no GitHub intitulado “Errar de segurança do Cloud Service Provider“. Daqui para frente, qualquer pessoa é livre para sugerir novos problemas para adicionar ao site ou sugerir novas correções para problemas existentes. O objetivo é listar problemas que um provedor de serviços em nuvem já pode ter resolvido.
Repositório centralizado de vulnerabilidades
“O banco de dados centralizado pode ajudar as organizações a revisar todos os problemas de segurança anteriores em seu [provedor de serviços em nuvem] a qualquer momento e verificar se elas não aplicaram as ações de correção necessárias”, diz Alon Schindel, diretor de pesquisa de dados e ameaças da Wiz. “Por exemplo, as organizações podem verificar se estavam usando um determinado serviço durante o período de exploração de um problema crítico de segurança e usar os métodos de detecção recomendados – se disponíveis – para verificar se foram afetados.”
Por enquanto, o site do banco de dados de vulnerabilidades não possui um sistema para notificar automaticamente os usuários quando novos problemas de segurança forem adicionados a ele. Mas o objetivo é adicionar um feed RSS ou uma lista de discussão para esse fim, diz Schindel, um dos mantenedores do novo banco de dados.
Schindel — como muitos outros pesquisadores — observou como a falta de um sistema formal e padronizado para registrar publicamente problemas de segurança na nuvem e compartilhar informações sobre eles está aumentando os riscos para as organizações. Em um blog em novembro passado, Schindel e outro pesquisador da Wiz apontaram vulnerabilidades – como uma apelidada de ChaosDB no Microsoft Azure e outra chamada OMIGOD no Microsoft Azure – como razões específicas pelas quais um banco de dados de vulnerabilidades na nuvem se tornou uma necessidade crítica do setor. Ambas as vulnerabilidades foram graves. E, ao contrário de muitas vulnerabilidades na nuvem, a responsabilidade de mitigar o risco com ambas as vulnerabilidades recaiu não apenas sobre o provedor de nuvem, mas também sobre seus clientes.
O ChaosDB impactou quatro serviços Azure e deu aos usuários acesso excessivamente permissivo a buckets de armazenamento pertencentes a outros inquilinos da nuvem.O OMIGOD foi um conjunto de quatro falhas no OMI, uma tecnologia de middleware em nuvem da Microsoft, que permitiu a execução remota de código e o escalonamento de privilégios. Embora a AWS e a Microsoft tenham abordado as vulnerabilidades prontamente, muitas organizações que usam os serviços afetados tinham informações limitadas sobre as mudanças necessárias para resolvê-las, disseram os pesquisadores da Wiz.
“Normalmente, os problemas de segurança do provedor de serviços em nuvem não têm um patch no sentido tradicional, pois os problemas são corrigidos internamente pelo CSP sem a necessidade de qualquer ação manual do usuário”, diz Schindel. Mas nenhum ECV significa que não há convenções do setor para avaliar a gravidade, nem canais de notificação adequados e nem mecanismos de rastreamento unificados.
“Isso significa que é difícil para um cliente em nuvem responder a perguntas simples como: ‘O meu ambiente está atualmente vulnerável a isso?’ ou, ‘Algo foi vulnerável a isso?'” ele acrescenta.
Práticas Inconsistentes
Atualmente, todos os principais CSPs aceitam vulnerabilidades divulgadas de forma responsável, e alguns têm um programa oficial de recompensa de bugs ou recompensa de vulnerabilidade em vigor. Ocasionalmente, um provedor de serviços em nuvem pode até publicar detalhes de uma correção que eles possam ter desenvolvido para uma vulnerabilidade de segurança relatada. No entanto, há pouca consistência entre os vários provedores, diz Schindel.
“Os canais de notificação variam; os fornecedores geralmente enviam um e-mail apenas para os clientes afetados ou enviam uma notificação por meio de um sistema de saúde de serviço”, diz ele.
Wiz não conseguiu encontrar nenhuma consistência na cadência de publicação de problemas de segurança dos diferentes CSPs, embora a Microsoft geralmente tenha incluído correções para a vulnerabilidade do Azure em seu ciclo mensal de lançamento de patches.
Wiz manterá o novo site, embora qualquer pessoa seja livre para contribuir para ele. O objetivo é tentar fazer com que os principais CSPs se envolvam com o esforço ou usem o site para fornecer mais transparência em torno das vulnerabilidades descobertas em seus serviços. Isso pode incluir informações como indicar os períodos de tempo durante os quais um problema de segurança pode ter sido explorável.
“Também esperamos que o valor de tal banco de dados ajude os CSPs a padronizar seus processos de publicação de problemas de segurança”, diz ele.
FONTE: DARK READING