0
0
Os cibercriminosos sempre procuram pontos cegos no gerenciamento de acesso, sejam configurações incorretas, práticas inadequadas de credenciamento, bugs de segurança não corrigidos ou outras portas ocultas para o castelo corporativo. Agora, à medida que as organizações continuam sua tendência de modernização para a nuvem, os maus atores estão aproveitando uma oportunidade emergente: falhas de acesso e configurações incorretas na forma como as organizações usam as camadas de gerenciamento de identidade e acesso (IAM) dos provedores de nuvem.
Em uma palestra na quarta-feira, 10 de agosto na Black Hat USA intitulada ” IAM The One Who Knocks “, Igal Gofman, chefe de pesquisa da Ermetic, oferecerá uma visão dessa fronteira de risco emergente. “Os defensores precisam entender que o novo perímetro não é a camada de rede como era antes. Agora é realmente o IAM – é a camada de gerenciamento que governa tudo”, disse ele ao Dark Reading.
Complexidade, Identidades de Máquina = Insegurança
A armadilha mais comum que as equipes de segurança enfrentam ao implementar o Cloud IAM é não reconhecer a complexidade do ambiente, observa ele. Isso inclui entender a quantidade crescente de permissões e acesso que os aplicativos de software como serviço (SaaS) criaram.
“Os adversários continuam colocando as mãos em tokens ou credenciais, seja por meio de phishing ou alguma outra abordagem”, explica Gofman. “Antes, eles não davam muito ao invasor além do que estava em uma máquina local. Mas agora, esses tokens de segurança têm muito mais acesso, porque todos nos últimos anos migraram para a nuvem e têm mais acesso a recursos de nuvem.”
A questão da complexidade é particularmente picante quando se trata de entidades de máquina – que, ao contrário dos humanos, estão sempre funcionando. No contexto de nuvem, eles são usados para acessar APIs de nuvem usando chaves de API; habilitar aplicativos sem servidor; automatizar funções de segurança (ou seja, corretores de serviços de acesso à nuvem ou CASBs); integrar aplicativos e perfis SaaS uns com os outros usando contas de serviço; e mais.
Dado que a empresa média agora usa centenas de aplicativos e bancos de dados baseados em nuvem, essa massa de identidades de máquina apresenta uma rede altamente complexa de permissões e acessos entrelaçados que sustentam as infraestruturas das organizações, que são difíceis de obter visibilidade e, portanto, difíceis de gerenciar. diz Gofmann. É por isso que os adversários procuram explorar cada vez mais essas identidades.
“Estamos vendo um aumento no uso de identidades não humanas, que têm acesso a diferentes recursos e serviços internamente”, observa. “São serviços que falam com outros serviços. Eles têm permissões e, geralmente, acesso mais amplo do que humanos. Os provedores de nuvem estão pressionando seus usuários a usá-los, porque no nível básico eles os consideram mais seguros. Mas há alguns técnicas de exploração que podem ser usadas para comprometer ambientes usando essas identidades não humanas.”
Entidades de máquina com permissões de gerenciamento são particularmente atraentes para os adversários usarem, acrescenta.
“Este é um dos principais vetores que vemos como alvo de cibercriminosos, especialmente no Azure”, explica ele. “Se você não tem uma compreensão íntima de como gerenciá-los no IAM, está oferecendo uma brecha de segurança.”
Como aumentar a segurança do IAM na nuvem
Do ponto de vista defensivo, Gofman planeja discutir as muitas opções que as organizações têm para enfrentar o problema de implementar um IAM eficaz na nuvem. Por um lado, as organizações devem usar os recursos de log dos provedores de nuvem para criar uma visão abrangente de quem – e o que – existe no ambiente.
“Na verdade, essas ferramentas não são usadas extensivamente, mas são boas opções para entender melhor o que está acontecendo em seu ambiente”, explica ele. “Você também pode usar o registro para reduzir a superfície de ataque, porque pode ver exatamente o que os usuários estão usando e quais permissões eles têm. Os administradores também podem comparar as políticas declaradas com o que realmente está sendo usado em uma determinada infraestrutura.”
Ele também planeja detalhar e comparar os diferentes serviços IAM dos três principais provedores de nuvem pública – Amazon Web Services, Google Cloud Platform e Microsoft Azure – e suas abordagens de segurança, todas ligeiramente diferentes. O IAM multinuvem é um problema adicional para corporações que usam nuvens diferentes de provedores diferentes, e Gofman observa que entender as diferenças sutis entre as ferramentas que eles oferecem pode ajudar bastante a reforçar as defesas.
As organizações também podem usar uma variedade de ferramentas de código aberto de terceiros para obter melhor visibilidade em toda a infraestrutura, observa ele, acrescentando que ele e seu co-apresentador Noam Dahan, líder de pesquisa da Ermetic, planejam demonstrar uma opção.
“O Cloud IAM é superimportante”, diz Gofman. “Vamos falar sobre os perigos, as ferramentas que podem ser usadas e a importância de entender melhor quais permissões são usadas e quais permissões não são usadas, e como e onde os administradores podem identificar pontos cegos”.
FONTE: DARK READING