0
0
A computação em nuvem foi a salvação que manteve muitas empresas funcionando durante a pandemia. Mas foi um caso clássico de remédio que vem com sérios efeitos colaterais.
Ter acesso a dados e aplicativos em qualquer lugar e a qualquer hora dá às empresas uma enorme flexibilidade em um mundo em rápida mudança, além de meios para dimensionar e personalizar a TI à vontade. A nuvem é um ativo ou atualização em quase todos os sentidos.
Com uma exceção gritante: segurança cibernética.
A nuvem prometia tornar as empresas mais seguras e a segurança mais simples. No entanto, no mesmo período em que a nuvem assumiu a computação, os ataques cibernéticos ficaram cada vez piores, enquanto as equipes de segurança se sentiam cada vez mais sobrecarregadas.
Por quê?
Explicaremos em breve. Para equipes de segurança enxutas, a questão mais importante é como fazer a segurança na nuvem funcionar, especialmente porque a pegada da nuvem cresce (muito) mais rápido que os recursos de segurança. A nuvem sempre lançará uma sombra sobre a segurança cibernética?
Não com a estratégia descrita em um ebook gratuito da Cynet chamado “The Lean IT Guide to Cloud Security” . Ele explica como as equipes de segurança com menos de 20, 10 ou até 5 membros podem fazer a segurança na nuvem funcionar daqui em diante.
Tempestades se formando na nuvem
A “corrida das nuvens” provocada pela pandemia certamente chamou a atenção dos hackers. Os ataques a serviços em nuvem aumentaram 630% em 2020 e superaram os ataques locais pela primeira vez . O aumento repentino na adoção da nuvem explica parte desse aumento – a nuvem era um alvo maior do que antes. Mas isso realmente não tinha nada a ver com a pandemia.
Foi apenas uma questão de tempo até que os hackers começassem a atacar implacavelmente a nuvem, agora custando às empresas US$ 3,8 milhões em média com cada violação bem-sucedida.
As nuvens olham para os hackers como alvos principais, mais atraentes do que quase qualquer outro.
Por um lado, as nuvens abrigam enormes armazenamentos de dados valiosos junto com aplicativos de missão crítica. Eles estão onde os alvos valiosos vivem, então eles são um vetor de ataque óbvio e até inevitável.
Por outro lado, as nuvens complicam ou comprometem muitas das defesas cibernéticas já existentes, ao mesmo tempo em que vêm com seus próprios requisitos defensivos complicados. Muitos ambientes de nuvem acabam inseguros, tornando-os também um vetor de ataque fácil.
Enquanto os hackers continuarem a ver as nuvens como igualmente vulneráveis e valiosas, a enxurrada de ataques só piorará. Os danos também serão.
Entendendo o modelo de responsabilidade compartilhada
Uma grande razão pela qual as lacunas de segurança na nuvem são tão comuns (e tão escancaradas) é por causa da maneira única como abordamos a segurança cibernética na nuvem.
A maioria dos provedores de nuvem confia no modelo de responsabilidade compartilhada, onde as responsabilidades de segurança são divididas entre o fornecedor e o cliente.
Normalmente, os clientes lidam com responsabilidade de dados, proteção de endpoint e gerenciamento de identidade e acesso. Os fornecedores lidam com controles de aplicativos e de rede, infraestrutura de host e segurança de servidor físico (os acordos de compartilhamento variam).
Pesquisas mostram consistentemente que os clientes estão confusos sobre o que é e o que não é responsabilidade deles. Mas mesmo entre aqueles que não estão confusos, a linha divisória entre as responsabilidades pode (e tem) levar a disputas contenciosas ou brechas de segurança esperando que os hackers as encontrem.
Por mais problemático que seja o modelo de responsabilidade compartilhada, é uma prática padrão. Além disso, pode ser um grande trunfo conhecer as equipes de segurança em particular, desde que elas conheçam suas responsabilidades… e escolham o parceiro certo.
A segurança na nuvem começa com a seleção do fornecedor
Para o bem ou para o mal, o modelo de responsabilidade compartilhada obriga os clientes de nuvem a formar parcerias de segurança com seus fornecedores. E alguns fornecedores são melhores que outros.
A verificação completa de qualquer provedor de nuvem deve ser um pré-requisito, mas isso leva tempo por parte do avaliador e transparência por parte do provedor. Certificações como STAR Nível 2 verificam as credenciais de segurança de um provedor, mas algumas empresas vão além e contratam serviços de gerenciamento de risco para avaliar uma determinada nuvem. De qualquer forma, o objetivo é obter provas independentes e objetivas de que o provedor leva a segurança a sério.
Ao selecionar um fornecedor, seguir suas orientações de segurança (ao pé da letra) não poderia ser mais importante. A falha em fazer isso causou mais do que alguns ataques na nuvem. As equipes enxutas podem fazer grandes melhorias na segurança da nuvem, geralmente sem nenhum custo, simplesmente fazendo o que o fornecedor diz para fazer.
As peças-chave para equipes de segurança enxutas
Escolher o provedor/parceiro certo resolve grande parte do quebra-cabeça de segurança na nuvem. Dito isso, responsabilidades importantes e contínuas ainda recaem inteiramente sobre a equipe de segurança. Esses podem ser os pontos fracos que abrem as portas para ataques na nuvem – mas as ferramentas certas abordam cada uma das principais responsabilidades enfrentadas pelos clientes da nuvem, e os fornecedores certos integram mais dessas ferramentas nas plataformas para consolidar a segurança na nuvem de forma gerenciável.
No ebook “The Lean IT Guide to Cloud Security” , Cynet descreve como é o kit de ferramentas de segurança em nuvem ideal, além de como as equipes de segurança enxutas podem aproveitar pontos fortes semelhantes sem aumentar a equipe ou aumentar os gastos com segurança.
O e-book oferece um guia eficaz de segurança na nuvem para muitas empresas que lutam para proteger sua TI mais importante. Por design, no entanto, também é uma estrutura prática e acessível projetada para ajudar equipes de segurança de qualquer tamanho a proteger implantações de nuvem de qualquer tamanho.
Se a segurança da nuvem recair sobre seus ombros, use as orientações da Cynet para obter o máximo impacto com o mínimo de investimento.
Descubra as chaves para o sucesso em “The Lean IT Guide to Cloud Security” baixando o eBook .
FONTE: HELPNET SECURITY