0
0
Embora muitos entrevistados reconheçam empregar práticas e comportamentos de risco em seus ambientes de nuvem, eles acreditam fortemente na eficácia de suas ferramentas e processos de segurança para proteger suas organizações contra ataques meticulosamente planejados, de acordo com Permiso.
Esse alto nível de confiança persiste mesmo entre organizações que já sofreram acesso não autorizado ou violação de dados em seu ambiente.
“Nossas descobertas são fascinantes e preocupantes”, disse Jason Martin, co-CEO da Permiso. “Há uma clara lacuna entre a proteção percebida e a dura realidade da preparação. Embora as organizações estejam confiantes em suas capacidades de defesa, seu reconhecimento das práticas de risco existentes, juntamente com a grande preocupação sobre sua capacidade de responder efetivamente a uma violação, não apenas aumenta a probabilidade de ser violado, mas significa que é muito improvável que detectem a violação em tempo hábil.”
Práticas de segurança na nuvem
A pesquisa avaliou as práticas de segurança em nuvem dos entrevistados e a escala de seu ambiente, incluindo o número de identidades e segredos que gerenciam, o tempo de resposta a um ataque, os diferentes métodos de acesso ao ambiente e os tipos de soluções que utilizam para ajudar a proteger seus ambientes. Também avaliou seu nível de confiança na capacidade de suas ferramentas e equipes de se defenderem ou detectarem uma violação em seu ambiente.
“Descobrimos que a maioria dos entrevistados (70%) caracterizaria seu tempo de resposta a um ataque entre 12 e 24 horas. Dados de ambientes de produção reais e respostas a incidentes mostram que esse número é superior a duas semanas (16 dias). Há uma desconexão significativa nos dados de pesquisa que coletamos e uma disparidade ainda mais significativa quando você compara isso com dados reais de ambientes de nuvem”, acrescentou o co-CEO da Permiso, Paul Nguyen.
O relatório resultante fornece uma visão holística do estado atual da segurança na nuvem e oferece insights valiosos sobre as melhores práticas e áreas potenciais de melhoria.
- 50% dos entrevistados relataram uma violação de dados devido ao acesso não autorizado ao seu ambiente de nuvem.
- 95% expressaram preocupação de que suas ferramentas e equipes atuais possam não ser capazes de detectar e responder a um evento de segurança em seu ambiente de nuvem.
- 55% descreveram seu nível de preocupação como “extremamente preocupado” e “muito preocupado”.
- Apesar das práticas de alto risco e da preocupação generalizada com uma violação em seu ambiente de nuvem, mais de 80% dos entrevistados acham que suas ferramentas e configurações existentes cobririam suficientemente sua organização de um ataque bem orquestrado em seu ambiente de nuvem.
Mais (e mais) identidades para gerenciar
Permiso descobriu que o gerenciamento de identidades em ambientes locais e na nuvem é um desafio crescente para muitas empresas. Mais de 80% dos entrevistados gerenciam pelo menos 1.000 identidades em seu ambiente de nuvem. Cerca de 44% gerenciam pelo menos 5.000 identidades em ambientes locais e na nuvem.
Many organizations manage many identities across cloud authentication boundaries in federated environments. This management, especially when actions involve shared credentials and roles, makes it challenging to identify change attribution. While 25% of the respondents use federation to access their cloud environment, only a little more than half of them have full visibility into the access activity of those federated users.
This inability to effectively manage the ever-growing number of identities creates significant risk. 46.4% of respondents allow console access via local IAM users, which presents numerous security risks and violates some enterprise security policies. Of those respondents, more than 25% don’t have full visibility into the activity of those users.
Additionally, 38% of respondents also stated that they leverage long-lived keys to grant access to their environment. Still, almost a third of them do not have visibility into the use of those keys to access their environments. Long-lived access keys can present a security risk to organizations and are more prone to being compromised the more they age.
Exposing secrets
As the number of API-driven ecosystems like CI/CD pipelines, data lakes and microservices grows, so do the number of secrets (i.e., keys/tokens/certificates) organizations need to secure the connections between applications and services. Over 60% of respondents manage at least 1,000 API secrets across their cloud environments, and a 30.9% manage at least 2,000 API secrets. This explosive growth of APIs and corresponding secrets has resulted in secrets leaking across development and deployment systems at an alarming rate.
A new approach to cloud environment security
Muitas organizações percebem que muitas ferramentas e técnicas de segurança que protegiam seus data centers são ineficazes para a nuvem. A pesquisa da Permiso descobriu que as duas categorias mais significativas de ferramentas adotadas na nuvem são aquelas que os provedores de nuvem oferecem e as soluções de gerenciamento de postura de segurança em nuvem (CSPM).
Muitas organizações aproveitam uma combinação dessas ferramentas nativas da nuvem, além de CSPMs e SIEMs, como um conjunto de soluções para ajudar a garantir que as cargas de trabalho implantadas sejam seguras e compatíveis e estejam consultando logs para ajudar a detectar possíveis agentes de ameaças em seus ambientes.
Recomendações
Além de adotar e aplicar boas práticas de segurança, como o uso altamente limitado ou proibido de acesso raiz ou usuários locais do IAM, a imposição de MFA a qualquer acesso ao console e a rotação rigorosa de chaves para evitar que ataques ocorram, há uma série de etapas que as organizações também podem adotar para detectar melhor os agentes de ameaças em seu ambiente.
“O primeiro passo é ter um inventário abrangente das identidades em seu ambiente e categorizar seu raio de explosão potencial para ajudar a determinar seu risco. Você também deve estar igualmente atento à obtenção de inventário e ao rastreamento de chaves/tokens/credenciais que são usados nesses ambientes. Em última análise, essas identidades assumem um papel para fazer mudanças, o que torna muito difícil rastrear o comportamento de volta a uma única identidade. Uma vez que você tenha um verdadeiro domínio sobre as identidades em seu ambiente e as credenciais que eles estão usando, você deseja fazer a linha de base das atividades para entender o comportamento ‘normal’ do usuário para que você possa desenvolver regras e alertas de logs para detectar anomalias de acesso e comportamentais em seu ambiente”, concluiu Martin.
FONTE: DARK READING