0
0
O Departamento de Segurança Interna (DHS) dos EUA iniciou na semana passada uma investigação sobre a ameaça de ataques cibernéticos contra ambientes de computação em nuvem, enquanto a Microsoft enfrenta intenso escrutínio sobre como lidar com um grande ataque à infraestrutura de nuvem do Azure.
Em 11 de agosto, o DHS anunciou o próximo projeto para seu Conselho de Revisão de Segurança Cibernética (CSRB), um subgrupo conjunto público-privado que no último ano e meio investigou a vulnerabilidade Log4j , e o grupo Lapsus$ (cujos resultados eramlançado em 10 de agosto ). Este terceiro empreendimento se concentrará em “questões relacionadas à infraestrutura de autenticação e identidade baseada em nuvem que afetam os CSPs aplicáveis e seus clientes”, disse o DHS em um anúncio.
Alguns especialistas consideram a mudança um bom começo para consertar o que está quebrado nos serviços de segurança em nuvem atualmente.
A revisão do CSRB foi estimulada pela recente violação do serviço de nuvem Azure da Microsoft , processada com sucesso por um APT chinês que a Microsoft rastreia como Storm-0558. A campanha comprometeu dezenas de órgãos do setor público , além de muitas empresas privadas, e a extensão total dos danos ainda não está clara . O DHS ” começou a considerar se este incidente seria um assunto apropriado para a próxima revisão do Conselho imediatamente após saber do incidente em julho”, observou.
“O recente incidente da Microsoft abriu as portas para esse tipo de ação direta, e o DHS entrou direto”, explica Craig Burland, CISO da Inversion6. “Embora muitos provavelmente expressem oposição ao fato de o governo entrar, sem ser convidado, em um novo reino de regulamentação, organizações grandes e pequenas se beneficiarão de uma mudança na responsabilidade compartilhada de atualizar as proteções padrão oferecidas a todos os clientes de nuvem”.
Rebalanceando a responsabilidade compartilhada na nuvem
Como aponta Karen Walsh, CEO da Allegro Solutions, a revisão é um passo para a implementação doObjetivo 2.4 da Estratégia Nacional de Segurança Cibernética dos EUA , “Prevenir o abuso da infraestrutura baseada nos EUA”, uma iniciativa destinada a interromper e desmantelar os agentes de ameaças que visam as organizações americanas.
Além dessa iniciativa mais ampla, há uma questão mais profunda e estrutural em questão.
Os últimos meses trouxeram instâncias repetidas de vulnerabilidades graves na infraestrutura de nuvem, mesmo dos provedores mais sofisticados como a Microsoft. A AWS vazou tokens , seus novos recursos foram comprometidos e os agentes de ameaças o aproveitaram regularmente para roubar dados comerciais confidenciais e realizar ataques subsequentes. O Google Cloud teve seus próprios problemas com tokens roubados , bem como seu serviço de banco de dados e certos tipos de conteúdo , e sofreu suas próprias violações recentemente.
Claramente, a nuvem está em risco, mas os usuários finais geralmente não ouvem sobre isso, porque os provedores de nuvem gerenciam seus próprios sistemas. Sem a necessidade de patch dos clientes, o modelo de divulgação também muda. Por exemplo, vulnerabilidades de nuvem não são atribuídas a CVEs tradicionais.
A falta de clareza sobre quem tem quais responsabilidades na proteção de ambientes em nuvem e como se comunicar entre fornecedor e cliente começou a ter sérias ramificações em ataques cibernéticos do mundo real.
Microsoft no assento quente
Alguns veem o Microsoft Azure como um exemplo de onde o modelo de responsabilidade compartilhada falhou, porque não foi apenas uma APT alinhada ao estado hostil que violou o Azure Active Directory (AD), afetando o governo e até milhões de aplicativos do Microsoft 365. A maior ofensa, dizem eles, é a maneira como a Microsoft lidou com o processo de divulgação e revisão.
“Para muitos clientes e investidores, foi decepcionante ver a Microsoft nas notícias mais uma vez por motivos de segurança”, diz Claude Mandy, principal divulgador de segurança de dados da Symmetry Systems. Mais de um mês após a divulgação inicial da violação, ele enfatiza, “os detalhes sobre como a violação ocorreu e seu impacto potencial ainda são vagos, sem nenhuma certeza fornecida pela Microsoft. Em vez disso, as preocupações e avaliações estão sendo levantadas apenas por pesquisadores externos de segurança cibernética. . Como indústria, exigimos mais transparência.”
Em particular, Mandy questiona como a Microsoft, até recentemente, retinha o registro de segurança como um custo adicional para 365 clientes. A Microsoft estava “restringindo as empresas de terem recursos de segurança essenciais, a menos que pagassem mais”, diz ele, sobrecarregando seus clientes. Desde então, a Microsoft reverteu essa política .
Esse sentimento foi apoiado por pesquisadores de segurança da Tenable, que em 3 de agosto publicaram os detalhes de uma vulnerabilidade totalmente separada do Azure, permitindo certo acesso não autorizado a aplicativos entre locatários e dados confidenciais, incluindo segredos de autenticação. “Para se ter uma ideia de como isso é ruim, nossa equipe descobriu muito rapidamente os segredos de autenticação de um banco”, escreveu o CEO da Tenable, Amit Yoran, em um post no LinkedIn .
Em uma declaração fornecida ao Dark Reading, a Microsoft afirmou que o problema foi mitigado para a maioria dos clientes em junho e, desde então, foi totalmente resolvido.
Mas os pesquisadores da Tenable rejeitam essa explicação, escrevendo que “a Microsoft corrigiu essa vulnerabilidade para todos os novos aplicativos usando o serviço afetado, no entanto, os aplicativos existentes que foram desenvolvidos e implantados antes dessa correção ainda são afetados e vulneráveis”.
Um porta-voz da Microsoft forneceu a seguinte explicação:
“Agradecemos a colaboração com a comunidade de segurança para divulgar com responsabilidade os problemas do produto. Seguimos um processo extenso que envolve uma investigação completa, desenvolvimento de atualizações para todas as versões dos produtos afetados e testes de compatibilidade entre outros sistemas operacionais e aplicativos. Por fim, desenvolvemos uma atualização de segurança é um equilíbrio delicado entre pontualidade e qualidade, garantindo ao mesmo tempo proteção maximizada do cliente com interrupção mínima do cliente.”
O DHS pode corrigir a responsabilidade compartilhada?
Walsh e outros esperam que a ação do governo possa ajudar a superar os tipos de falhas de segurança e comunicações no centro de histórias como essas.
“À medida que o CSRB se envolve mais profundamente nesta revisão, os provedores de serviços em nuvem provavelmente arcarão com mais responsabilidades sob o Modelo de Responsabilidade Compartilhada. Uma linha principal da Estratégia Nacional de Segurança Cibernética está transferindo a responsabilidade para organizações que têm mais recursos. Nesse caso, os provedores têm mais recursos do que seus clientes”, diz ela.
Burland defende a necessidade de transferir mais carga de segurança dos clientes para os fornecedores. “Hoje, os CSPs detêm grande parte do poder no modelo de responsabilidade compartilhada, essencialmente protegendo seus próprios ativos enquanto esperam que clientes menos capazes e menos informados façam o mesmo”, lamenta.
“Se as conclusões do CSRB desencadearem mudanças imediatas no modelo de responsabilidade compartilhada, terá sido um sucesso e promoverá os objetivos estratégicos do governo. Se as descobertas simplesmente plantarem sementes de que novos regulamentos podem estar no horizonte, ainda assim será um sucesso ,” ele diz. “Em ambos os casos, a revisão avançará outra peça de xadrez no tabuleiro, posicionando o governo para exigir e garantir uma defesa comum contra ameaças de segurança cibernética”.
FONTE: DARKREADING