Recursos/White Papers

Gestão

Como proteger a nuvem? Novos dados apontam um caminho

Veja os conselhos sobre as ferramentas, informações e estrutura organizacional necessárias para executar uma estratégia de segurança na nuvem bem-sucedida

Michael Nadeau, CIO/EUA

Publicada em 14 de maio de 2018 às 09h17

A marcha em direção à nuvem de dados e serviços fez com que muitas empresas repensassem sua abordagem à segurança cibernética. Eles precisam de uma estratégia de segurança na nuvem? O que há de diferente em uma estratégia de segurança na nuvem?

Pesquisas recentes esclareceram como as estratégias de segurança estão mudando e, mais importante, como elas devem mudar.

Colocar mais infraestrutura de TI na nuvem é, de certa forma, mais seguro do que tê-la em casa. Por exemplo, você pode estar razoavelmente seguro de que o sistema está executando a versão mais recente com as correções corretas no lugar. Os provedores de serviços de nuvem também estão criando novos recursos, como o uso de linguagem de máquina para detecção de anomalias. No entanto, também apresenta novos riscos, alguns dos quais são o resultado de entender mal como gerenciar a segurança na nuvem.

É importante saber como a estratégia de TI em nuvem de uma empresa - seja ela híbrida, privada ou pública - afeta sua estratégia de segurança cibernética e a execução tática dessa estratégia.

Qual é o risco de segurança na nuvem?
Os dados do provedor de segurança de nuvem Alert Logic mostram a natureza e o volume de riscos para cada forma de ambiente de nuvem, em comparação a um data center on-premise. Durante 18 meses, a empresa analisou 147 petabytes de dados de mais de 3.800 clientes para quantificar e categorizar incidentes de segurança. Durante esse período, identificou mais de 2,2 milhões de incidentes de segurança verdadeiramente positivos. As principais descobertas incluem:

1 - Os ambientes de nuvem híbrida apresentaram o maior número médio de incidentes por cliente (977), seguidos pela nuvem privada hospedada (684), pelo data center no local (612) e pela nuvem pública (405). De longe, o tipo mais comum de incidente foi um ataque de aplicativo da Web (75%), seguido por ataque de força bruta (16%), reconhecimento (5%) e ransomware do lado do servidor (2%).

2 - Os vetores mais comuns para ataques a aplicativos da Web foram o SQL (47,74%), o Joomla (26,11%), o Apache Struts (10,11%) e o Magento (6,98%).

3 - O Wordpress foi o alvo de força bruta mais comum, com 41%, seguido pelo MS SQL, com 19%.

Seja um ambiente de nuvem pública, privada ou híbrida, as ameaças de aplicativos da Web são dominantes.

O que é diferente entre eles é o nível de risco que você enfrenta. “Nossa capacidade de proteger efetivamente a nuvem pública também é maior, porque vemos uma melhor relação sinal-ruído e perseguimos menos ataques ruidosos”, diz Misha Govshteyn, co-fundador da Alert Logic. “Quando vemos incidentes de segurança em ambientes de nuvem pública, sabemos que temos que prestar atenção, porque eles são geralmente mais silenciosos.”

Os dados mostram que algumas plataformas são mais vulneráveis ​​que outras. "Isso aumenta sua superfície de ataque, apesar de seus melhores esforços", diz Govshteyn. Como exemplo, ele observa que “apesar da crença popular”, a pilha LAMP tem sido muito mais vulnerável do que a pilha de aplicativos baseada em Microsoft. Ele também vê aplicativos PHP como um hotspot.

“Sistemas de gerenciamento de conteúdo, especialmente Wordpress, Joomla e Django, são usados ​​como plataformas para aplicativos da web muito mais do que a maioria das pessoas percebe e tem inúmeras vulnerabilidades”, diz Govshteyn. “É possível manter esses sistemas seguros, mas somente se você entender quais frameworks e plataformas Web suas equipes de desenvolvimento tendem a usar. A maioria das pessoas de segurança mal presta atenção a esses detalhes e toma decisões com base em suposições ruins. ”

Para minimizar o impacto das ameaças na nuvem, a Alert Logic tem três recomendações principais:

1 - Confie na aplicação da lista branca e bloqueie o acesso a programas desconhecidos. Isso inclui fazer avaliações de risco versus o valor de cada aplicativo usado na organização.

2 - Entenda seu próprio processo de patch e priorize a implantação de patches.

3 - Restrinja privilégios administrativos e de acesso com base nas tarefas atuais do usuário. Isso exigirá a manutenção de privilégios para aplicativos e sistemas operacionais atualizados.

Como proteger a nuvem
De acordo com uma pesquisa realizada pela Vanson Bourne e patrocinada pelo  provedor de soluções de monitoramento de rede Gigamon, 73% dos entrevistados esperam que a maioria de suas cargas de trabalho de aplicativos esteja na nuvem pública ou privada. Ainda assim, 35% desses entrevistados esperam lidar com a segurança de rede exatamente da mesma maneira que fazem em suas operações locais. O restante, apesar de relutante em mudar, acredita que não tem escolha a não ser mudar sua estratégia de segurança para a nuvem.

É claro que nem toda empresa está migrando dados confidenciais ou críticos para a nuvem, portanto, para eles, há menos motivos para mudar a estratégia. No entanto, a maioria das empresas está migrando informações críticas e proprietárias da empresa (56%) ou ativos de marketing (53%). Quarenta e sete por cento esperam ter informações pessoalmente identificáveis ​​na nuvem, o que tem implicações devido a novas regulamentações de privacidade, como o GDPR da UE .

As empresas devem se concentrar em três áreas principais para sua estratégia de segurança na nuvem, de acordo com Govshteyn:

1 - Ferramentas 
As ferramentas de segurança que você implanta em ambientes de nuvem devem ser nativas para a nuvem e capazes de proteger aplicativos da Web e cargas de trabalho na nuvem.

“As tecnologias de segurança formuladas para proteção de endpoint estão focadas em um conjunto de vetores de ataque pouco comuns na nuvem e estão mal equipados para lidar com as ameaças OWASP Top 10, que constituem 75% de todos os ataques na nuvem”, diz Govshteyn. Ele observa que as ameaças de terminal visam navegadores da Web e software cliente, enquanto ameaças de infraestrutura visam servidores e estruturas de aplicativos.

2 - Arquitetura
Defina sua arquitetura em torno dos benefícios de segurança e gerenciamento oferecidos pela nuvem, não da mesma arquitetura que você usa em seus data centers tradicionais. 

"Agora temos dados mostrando que os ambientes públicos puros permitem que as empresas tenham taxas de incidentes menores, mas isso só é possível se você usar os recursos de nuvem para projetar uma infraestrutura mais segura", diz Govshteyn. 

Ele recomenda que você isole cada aplicativo ou micro-serviço em sua própria nuvem privada, o que reduz o raio de explosão de qualquer invasão. "Grandes violações, como o Yahoo, começaram com aplicativos da Web triviais como o vetor de entrada inicial, portanto, os aplicativos menos importantes geralmente se tornam seu maior problema".

Além disso, não corrija vulnerabilidades em suas implantações de nuvem. Em vez disso, implante uma nova infraestrutura de nuvem executando o código mais recente e desative sua infraestrutura antiga. "Você só pode fazer isso se automatizar suas implantações, mas ganhará o nível de controle sobre sua infraestrutura que nunca conseguiria em data centers tradicionais", diz Govshteyn.

3 - Pontos de conexão
Identifique pontos em que suas implantações de nuvem estão interconectadas a datacenters tradicionais que executam código herdado. “Essas provavelmente serão sua maior fonte de problemas, pois vemos uma tendência clara de que as implantações de nuvem híbrida tendem a ver a maioria dos incidentes de segurança”, diz ele.

Nem tudo sobre a estratégia de segurança existente precisa mudar para a nuvem. “Usar a mesma estratégia de segurança on-premise para a nuvem - por exemplo, inspeção profunda de conteúdo para análise forense e detecção de ameaças -  não é uma má ideia por si só. As empresas que buscam isso normalmente buscam a consistência entre suas arquiteturas de segurança para limitar as lacunas em sua postura de segurança ”, afirma Tom Clavel, gerente sênior de marketing de produto da Gigamon.

“O desafio é como eles têm acesso ao tráfego de rede para esse tipo de inspeção”, acrescenta Clavel. “Embora esses dados estejam prontamente disponíveis on-premise pelo uso de uma variedade de ferramentas e estratégias, eles não estão disponíveis na nuvem. Além disso, mesmo que tenham acesso ao tráfego, o backhauling das informações para as ferramentas locais de inspeção, sem a inteligência, é extremamente caro e contraproducente ”.

Os problemas de visibilidade da nuvem
Uma reclamação que os entrevistados da Vanson Bourne tinham é que a nuvem pode criar pontos cegos dentro do cenário de segurança. No geral, metade disse que a nuvem pode "ocultar" informações que permitem identificar ameaças. Eles também disseram que, com a nuvem, também estão faltando informações sobre o que está sendo criptografado (48%), aplicativos inseguros ou tráfego (47%) ou validade de certificado SSL / TLS (35%).

Um ambiente de nuvem híbrida pode dificultar ainda mais a visibilidade, pois pode impedir que as equipes de segurança vejam onde os dados estão realmente armazenados, de acordo com 49% dos entrevistados da pesquisa. Dados em silos, alguns mantidos por operações de segurança e alguns por operações de rede, podem dificultar ainda mais sua localização, afirmaram 78% dos entrevistados.

Não são apenas dos dados que as equipes de segurança têm visibilidade limitada. Sessenta e sete por cento dos entrevistados da Vanson Bourne disseram que os pontos cegos da rede eram um obstáculo para protegerem sua organização. Para obter melhor visibilidade, Clavel recomenda primeiro identificar como você deseja organizar e implementar sua postura de segurança. “Está tudo dentro da nuvem ou estendido do local para a nuvem? Em ambos os casos, certifique-se de que a visibilidade generalizada do tráfego de rede do aplicativo esteja no centro da sua estratégia de segurança. Quanto mais você vê, mais você pode garantir ”, diz ele.

“Para atender às necessidades de visibilidade, identifique uma maneira de adquirir, agregar e otimizar o tráfego de rede para suas ferramentas de segurança, seja um sistema de detecção de intrusão (IDS), informações de segurança e gerenciamento de eventos (SIEM), forense, prevenção de perda de dados ( DLP), detecção avançada de ameaças (ATD) ou para todos eles concorrentemente ”, acrescenta Clavel. “Por fim, adicione procedimentos SecOps para automatizar a visibilidade e a segurança contra ameaças detectadas, mesmo com o aumento de sua cobertura na nuvem.”

Esses pontos cegos e pouca visibilidade das informações podem criar problemas de conformidade com o GDPR. Sessenta e seis por cento dos entrevistados dizem que a falta de visibilidade dificultará o cumprimento do GDPR. Apenas 59% acreditam que suas organizações estarão prontas para o GDPR até o prazo final de maio de 2018.

Políticas e práticas de segurança que não acompanham a adoção da nuvem
De acordo com a edição 2018 do Relatório de Ameaças na Nuvem da Oracle e da KPMG, 87% das empresas têm agora uma estratégia cloud-first e 90% das empresas dizem que metade dos dados que possuem na nuvem é sensível. Embora essas empresas tenham adotado uma abordagem agressiva para adotar a nuvem, as práticas e políticas de segurança não parecem ter sido alcançadas, como mostram os dados do mesmo relatório, provenientes de uma pesquisa com 450 cibersegurança e profissionais de todo o mundo. Os entrevistados estavam claramente preocupados com a segurança na nuvem, mas a maioria não tomou medidas óbvias para reduzir o risco de ter dados confidenciais na nuvem.

Oito e dois por cento acham que seus funcionários não seguem os procedimentos de segurança na nuvem, mas 86% não conseguem coletar e analisar a maioria dos dados de eventos de segurança:

Apenas 38% dos entrevistados disseram que detectar e responder a incidentes de segurança na nuvem é o desafio número um de segurança cibernética. E só 41% possuem um arquiteto de segurança dedicado na nuvem.

Existem alguns sinais de que as empresas levarão a segurança na nuvem mais a sério no futuro próximo. A maioria dos entrevistados (84%) espera aumentar seu nível de automação de segurança e 89% esperam aumentar seus orçamentos de segurança cibernética no próximo ano.

Vai ajudar na aprendizagem automática?
Provedores de serviços em nuvem estão trabalhando para melhorar a capacidade dos clientes de identificar e lidar com possíveis ameaças. A Amazon Web Services (AWS), por exemplo, anunciou dois serviços em 2017 que dependem de Machine Learning para proteger os ativos dos clientes.

Em agosto, a AWS anunciou seu serviço Macie , focado principalmente em conformidade com PCI, HIPAA e GDPR . Ele treina o conteúdo dos usuários nos buckets do Amazon S3 e alerta os clientes quando detecta atividades suspeitas. O AWS GuardDuty , anunciada em novembro, usa aprendizado de máquina para analisar o AWS CloudTrail, os logs de fluxo VPC e os registros de DNS da AWS. Como o Macie, o GuardDuty se concentra na detecção de anomalias para alertar os clientes sobre atividades suspeitas.

A eficácia do Machine Learning depende de modelos, que consistem em um algoritmo e dados de treinamento. O modelo é tão bom quanto os dados sobre os quais ele é treinado; qualquer evento que esteja fora dos dados no modelo provavelmente não será detectado por um serviço como o Macie ou o GuardDuty.

Dito isso, um provedor de segurança em nuvem como a AWS terá um conjunto de dados muito mais rico para funcionar do que qualquer cliente individual faria. A AWS tem visibilidade em toda a sua rede, facilitando muito o treinamento de seu modelo de Machine Learning sobre o que é normal e o que pode ser malicioso. No entanto, os clientes precisam entender que o Machine Learning não detectará ameaças que estejam fora dos dados de treinamento do modelo. Eles não podem confiar apenas em serviços como o Macie e o GuardDuty.

cloud

Quem é o proprietário da segurança na nuvem?
Dado o que está em jogo, não é surpresa que 62% dos entrevistados tenham manifestado o desejo de que seus centros de operações de segurança (SOCs) controlem o tráfego de rede e os dados para garantir a proteção adequada em um ambiente de nuvem. Metade deles aceitaria o conhecimento do tráfego e dos dados da rede.

Obter controle ou mesmo visibilidade total pode ser um desafio para muitas organizações devido à estrutura dos grupos que gerenciam o ambiente de nuvem. Embora as operações de segurança sejam responsáveis ​​pela segurança na nuvem em 69% das organizações dos entrevistados, operações na nuvem (54%) ou operações de rede também estão envolvidas. Isso resultou em confusão sobre quem está assumindo a liderança em segurança na nuvem e como as equipes devem colaborar. De fato, 48% dos entrevistados disseram que a falta de colaboração entre as equipes é o maior obstáculo para identificar e relatar uma violação.

“Frequentemente, as empresas dividem responsabilidades entre rede, segurança e nuvem”, diz Clavel. “Cada um tem orçamentos distintos, propriedade distinta e até mesmo ferramentas distintas para gerenciar essas áreas. Obter visibilidade da nuvem para protegê-la requer a quebra dos muros de comunicação entre essas três organizações. As mesmas ferramentas de segurança implantadas no local também poderão proteger a nuvem - portanto, as equipes de segurança e de nuvem precisam se comunicar”.

Que tipo de pessoa deve levar em consideração a segurança na nuvem da organização? Precisa ser alguém ou uma equipe com as habilidades certas e capacidade de se comprometer a longo prazo. “Encontre a pessoa ou a equipe capaz de avançar mais rapidamente para os novos paradigmas de segurança na nuvem e permita que eles criem sua estratégia de segurança pelos próximos três a cinco anos”, diz Govshteyn.

“Nos últimos anos, tende a ser a equipe de operações de TI ou uma equipe de segurança corporativa, mas há sempre um colaborador individual de nível de arquitetura ou uma equipe de segurança de nuvem dedicada no centro desse esforço. Essa nova geração de profissionais de segurança pode escrever código, gastar mais de 80% de seu tempo automatizando seus trabalhos e visualizar as equipes de desenvolvimento como seus pares, em vez de adversários ”, diz Govshteyn, acrescentando que em empresas de tecnologia a segurança às vezes é uma função de a equipe de engenharia.

Embora os conselhos de administração estejam tendo grande interesse em segurança atualmente, eles não ajudarão no nível do solo. “Na verdade, grande parte da tomada de decisão crítica quando se trata de segurança na nuvem hoje vem de tecnólogos capazes de acompanhar o ritmo acelerado de mudanças na nuvem pública”, diz ele.

Para complicar ainda mais a tarefa de proteger a nuvem para mais da metade (53%) dos entrevistados, está o fato de que suas organizações não implementaram uma estratégia ou estrutura de nuvem. Embora quase todas essas organizações planejem fazê-lo no futuro, não está claro quem está liderando essa iniciativa.

“As ferramentas de segurança e monitoramento também serão capazes de alavancar a mesma plataforma de entrega de segurança para maior flexibilidade - para que a rede, a segurança e a nuvem também concordem em compartilhar a responsabilidade da plataforma de entrega de segurança”, diz Clavel. “As empresas que consolidam suas atividades de segurança e monitoramento - como parte do SOC - ou pelo menos estabelecem orçamentos comuns e compartilham a propriedade de uma plataforma de entrega de segurança, são recompensadas com melhor flexibilidade, tomada de decisões mais rápida e segurança consistente no local e implantações em nuvem. ”



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui

White Papers