0
0
O mercado de segurança cibernética está aprendendo sobre a importância da convergência de ferramentas de defesa. A análise do comportamento de usuários e entidades, que foi um componente autônomo por bastante tempo, convergiu predominantemente a partir do uso do SIEM
Por Subhalakshmi Ganapathy
Um sistema cloud não é uma réplica de uma rede on-premise ou de um data center. Ao contrário dos centros de processamento de dados tradicionais, que têm um rígido projeto de arquitetura de TI, a nuvem traz uma flexibilidade que permite que os usuários arquitetem sua infraestrutura e recursos. Nesses espaços dinâmicos, clientes podem alterar suas estruturas ou optar por uma arquitetura diferente. Além disso, a forma como as transferências de dados e os sistemas se comunicam difere muito entre a nuvem e as redes on-premise. E essa diferença se dá pois, na nuvem, as ferramentas interagem umas com as outras por meio de interfaces de programação de aplicações – conhecidas como APIs.
Os provedores de nuvem oferecem várias opções de APIs, tais como Platform as a Service – PaaS (Plataforma como Serviço), Software as a Service – SaaS (Software como Serviço), e Infrastructure as a Service – IaaS (Infraestrutura como Serviço), para que os usuários se conectem a seus serviços, transfiram e gerenciem o acesso aos dados e sistemas hospedados no ambiente virtual. Tais particularidades na forma como a arquitetura de TI é projetada e, como ela se comunica hoje em dia, são pontos que diferenciam a segurança da nuvem e da rede.
O modelo de segurança de rede não se encaixa na nuvem
Atualmente, as invasões são as ameaças mais comuns às redes locais. Atacantes tentam explorar pontos de entrada, vulnerabilidades em endpoints com acesso à Internet, entre outros, para invadir a rede. Em seguida, eles se movem lateralmente dentro do espaço para se apropriar de contas de maior importância, ou de recursos críticos para realizar ataques. Além disso, eles recorrem a táticas e técnicas de exfiltração lenta para obter dados sensíveis sem serem detectados. No caso da segurança na nuvem, esses riscos acabam sendo irrelevantes, pois, nesse formato, o que os invasores têm que fazer é assumir o controle das APIs para sequestrar os recursos e direcionar dados sensíveis para seus próprios servidores de comando e controle.
De acordo com o Relatório de Segurança X-Force Cloud Threat Landscape da IBM 2021, dois terços dos incidentes na nuvem podem ser atribuídos a APIs mal configuradas que permitem acessos não autorizados. À medida que as empresas migram para o ambiente cloud, é provável que muitas delas enfrentem consequências de erros de ajuste – empresas de pesquisa tecnológica, como a Gartner, também esperam que, até 2023, pelo menos 99% das falhas de segurança na nuvem sejam causadas por má-configuração dos seus recursos.
Como diminuir as ameaças à segurança em nuvem
Cada provedor de serviços cloud tem seus próprios recursos, especificidades de configuração, APIs e interfaces. Se uma organização adota um ambiente multi-nuvem, a complexidade de gerir as muitas APIs e interfaces é enorme – e ajustar as políticas, controles e propriedades de configuração não deve ser um esforço único. Mudanças na estrutura após a implantação, chamadas de drift, também podem levar a amplos vazamentos de dados se não forem monitoradas constantemente.
Dicas para evitar as ameaças à segurança de cloud computing
1: Conhecer bem a nuvem
A maioria das falhas de configuração ocorrem devido à falta de visibilidade. Diante disso, as empresas precisam garantir transparência nos diferentes pontos de comunicação da nuvem, auditando constantemente as políticas e controles de segurança. Além disso, é importante se atentar a mudanças drásticas e analisar a legitimidade de uma alteração de política – que pode prevenir erros desastrosos de configuração.
2: Entender os usuários da nuvem
É indispensável que as companhias monitorem os usuários que tentam acessar seus recursos e dados da nuvem. Com o aumento da adoção deste tipo de solução, o tráfego malicioso de API também aumentou. Portanto, é primordial entender os padrões de fluxo, que tipo de serviços ou aplicativos os funcionários usam e qual é a fonte de tráfego de entrada no ambiente virtual.
Enquanto as questões de visibilidade, shadow IT e monitoramento de tráfego na nuvem podem ser resolvidas por meio de uma solução robusta de corretor de segurança de acesso à nuvem (CASB). Ainda, a detecção e correção de falhas de configuração na infraestrutura, plataforma e software hospedado virtualmente podem ser feitas com ferramentas de gerenciamento de postura de segurança na nuvem (CSPM). Nesses casos, uma ferramenta de gestão de informações e eventos de segurança (SIEM), com um componente de análise comportamental e detecção e resposta estendida (XDR), pode complementar o trabalho das soluções CASB e CSPM para garantir a segurança do ambiente.
Um console unificado
Cada dia mais, vemos organizações adotando diferentes ferramentas para lidar com as ameaças à segurança na nuvem, tais como manter o shadow IT sob vigilância, interromper o tráfego de APIs maliciosas e garantir que as políticas e controles de segurança corretos sejam empregados, além de detectar e corrigir erros de configuração. Quando estas ferramentas estão desconectadas e não se comunicam entre si, existe uma maior complexidade para garantir a proteção em cloud. Um console unificado, que organiza diferentes ações e ferramentas de segurança, exibe métricas relevantes que ajudam a resolver estes problemas – além de ser eficiente e econômico.
O mercado de segurança cibernética está aprendendo sobre a importância da convergência de ferramentas de defesa. A análise do comportamento de usuários e entidades, que foi um componente autônomo por bastante tempo, convergiu predominantemente a partir do uso do SIEM.
Paralelamente, outras ferramentas de segurança, tais como plataformas de inteligência de ameaças, coordenação de segurança, automação e resposta (SOAR), e XDR estão se consolidando dentro de uma plataforma principal de SIEM. Tais melhorias ajudam as empresas a formular estratégias e sistemas de defesa mais fortes para afastar atacantes.
Essas ferramentas SIEM atuam como uma plataforma unificada, na qual todos os dados de segurança são consolidados e analisados. Os avisos de segurança, tais como feeds de ameaças, pontos de dados de malware e inferências de scanners de vulnerabilidade são introduzidos no sistema para uma análise aprofundada e eficaz. Com a inteligência artificial ou um componente analítico comportamental baseado em Machine Learning, as ocorrências de segurança são melhor analisadas e os avisos são descobertos com precisão.
Com um componente SOAR ou XDR eficaz que acompanha a ferramenta SIEM, a detecção e solução de incidentes fica mais fácil e o centro de operações de segurança pode sempre rastrear suas principais métricas. O mercado de cibersegurança aprendeu com o passado e com o aumento da adoção da nuvem, e ferramentas como CSPM e CASBs também estão garantindo seu lugar em plataformas mais completas, como o SIEM.
*Subhalakshmi Ganapathy, Evangelista de Produtos de Segurança de TI na ManageEngine
FONTE: SECURITY REPORT