Home > Gestão

Como proteger a nuvem em 2019? Novos dados apontam o caminho

Confira como executar uma estratégia bem sucedida usando as ferramentas, informações e a estrutura organizacional necessárias

Michael Nadeau, CSO/EUA

11/12/2018 às 8h30

Foto: Shutterstock

A marcha em direção à nuvem para dados e serviços fez com que muitas empresas repensassem sua abordagem de segurança cibernética. Elas precisam de uma estratégia de segurança na nuvem? O que há de diferente em uma estratégia de segurança na nuvem?

Pesquisas recentes esclareceram como as estratégias de segurança estão mudando e, mais importante, como elas devem mudar.

Colocar mais infraestrutura de TI na nuvem é, de certa forma, mais seguro do que tê-la em casa. Por exemplo, você pode estar razoavelmente seguro de que o sistema está executando a versão mais recente com as correções corretas no lugar. Os provedores de serviços de nuvem também estão criando novos recursos, como o uso de linguagem de máquina para detecção de anomalias. No entanto, o uso crescente da nuvem também apresenta novos riscos, alguns dos quais resultantes da falta de entendimento de como gerenciar a segurança na nuvem.

É importante saber como a estratégia de TI em nuvem de uma empresa - seja ela híbrida, privada, hospedada ou pública - afeta sua estratégia de segurança cibernética e a execução tática dessa estratégia.

Quais dados confidenciais estão na nuvem?
Em outubro de 2018, a McAfee divulgou seu Cloud Adoption and Risk Report 2018. Essa pesquisa mostrou que o compartilhamento de dados confidenciais na nuvem aumentou em 53% em relação ao ano anterior - um grande salto. De todos os arquivos na nuvem, 21% contêm dados confidenciais, descobriu a McAfee, e 48% desses arquivos são compartilhados.

Esses dados confidenciais incluem dados confidenciais da empresa (27%), dados de e-mail (20%), dados protegidos por senha (17%), informações de identificação pessoal (PII) (16%), dados de pagamento (12%) e dados pessoais de saúde ( 9 por cento). O risco associado a dados confidenciais na nuvem está crescendo, pois as empresas confiam mais na nuvem. Vinte e oito por cento mais dados confidenciais foram colocados na nuvem em relação ao ano anterior, segundo a McAfee.

Com tantos dados confidenciais na nuvem e sendo compartilhados pela nuvem, o roubo por hackers não é o único risco. A McAfee descobriu que as empresas têm, em média, 14 instâncias de infra-estrutura como serviço (IaaS) configuradas incorretamente, resultando em uma média de 2.200 incidentes de configuração incorreta por mês, quando os dados são expostos ao público.

Qual é o risco de segurança na nuvem?
Os dados do provedor de segurança de nuvem Alert Logic mostram a natureza e o volume de riscos de cada forma de ambiente de nuvem, em comparação a um data center local. Durante 18 meses, a empresa analisou 147 petabytes de dados de mais de 3.800 clientes para quantificar e categorizar incidentes de segurança. Durante esse período, identificou mais de 2,2 milhões de incidentes de segurança verdadeiramente positivos. As principais descobertas?

- Os ambientes de nuvem híbrida apresentaram o maior número médio de incidentes por cliente em 977, seguidos pela nuvem privada hospedada (684), pelo data center no local (612) e pela nuvem pública (405).

- De longe, o tipo mais comum de incidente foi um ataque de aplicativo da Web (75%), seguido por ataque de força bruta (16%), recon (5%) e ransomware do lado do servidor (2%).

- Os vetores mais comuns para ataques a aplicativos da Web foram o SQL (47,74%), o Joomla (26,11%), o Apache Struts (10,11%) e o Magento (6,98%).

- O Wordpress foi o alvo de força bruta mais comum, com 41%, seguido pelo MS SQL, com 19%.

Seja um ambiente de nuvem pública, privada ou híbrida, as ameaças de aplicativos Web são dominantes. O que é diferente entre eles é o nível de risco a ser enfrentado. “Na Alert Logic, nossa capacidade de proteger efetivamente a nuvem pública também é maior, porque vemos uma melhor relação sinal-ruído e perseguimos menos ataques ruidosos”, diz Misha Govshteyn, co-fundador da empresa. “Quando vemos incidentes de segurança em ambientes de nuvem pública, sabemos que temos que prestar atenção, porque eles são geralmente mais silenciosos.”

Os dados mostram que algumas plataformas são mais vulneráveis ​​que outras. "Isso aumenta sua superfície de ataque, apesar dos melhores esforços de segurança", diz Govshteyn. Como exemplo, ele observa que “apesar da crença popular”, a pilha LAMP tem sido muito mais vulnerável do que a pilha de aplicativos baseada em Microsoft. Ele também vê aplicativos PHP como um hotspot.

“Sistemas de gerenciamento de conteúdo, especialmente Wordpress, Joomla e Django, são usados ​​como plataformas para aplicativos da Web muito mais do que a maioria das pessoas percebe e têm inúmeras vulnerabilidades”, diz Govshteyn. “É possível manter esses sistemas seguros, mas somente se você entender quais frameworks e plataformas Web suas equipes de desenvolvimento tendem a usar. A maioria das pessoas de segurança mal presta atenção a esses detalhes e toma decisões com base em suposições ruins. ”

Para minimizar o impacto das ameaças na nuvem, o Alert Logic tem três recomendações principais:

1 - Confie na aplicação na lista branca e bloqueie o acesso a programas desconhecidos. Isso inclui fazer avaliações de risco versus valor para cada aplicativo usado na organização.

2 - Entenda seu próprio processo de patch e priorize a implantação de patches.

3 - Restrinja privilégios administrativos e de acesso com base nas tarefas atuais do usuário. Isso exigirá a manutenção de privilégios para aplicativos e sistemas operacionais atualizados.

6 tipos de ameaças na nuvem
Em abril, o provedor de plataforma de segurança na nuvem ShieldX descreveu seis categorias de ameaças à segurança na nuvem que acredita que possam ocorrer desde então. A maioria das organizações terá dificuldade em reduzir o risco dessas ameaças devido a uma lacuna entre suas defesas e a natureza das ameaças, diz Manuel Nedbal, CTO e vice-presidente sênior da ShieldX. “Há uma incompatibilidade entre o modelo do data center físico e o perímetro virtual. Controles de segurança tradicionais foram construídos para proteger o formato físico, o que abre as portas para ameaças de segurança. ”

Esses controles devem mudar à medida que as organizações mudam para data centers virtualizados e conteinerizados em nuvens privadas e públicas. “A segurança tem que se adaptar a essas novas fronteiras entre e dentro de infraestruturas virtuais”, diz Nedbal. Ele acrescenta que as ferramentas de segurança na nuvem precisam ser “muito pequenas, muito dinâmicas, colocadas onde e quando necessárias e na escala correta”.

1. Ataque entre nuvens
Com um ataque entre nuvens, um hacker pode, por exemplo, acessar sistemas on-premise e sistemas de nuvem privada por meio de uma nuvem pública. Cargas de trabalho em uma nuvem pública que são tomadas por agentes mal-intencionados podem levar à disseminação do ataque à nuvem privada.

O risco é minimizado se as defesas laterais corretas estiverem em vigor, mas ao mudar para as nuvens públicas, as organizações geralmente ignoram o fato de que o perímetro de segurança se estende para o novo ambiente. No entanto, as nuvens públicas não oferecem os mesmos controles de segurança em comparação com as defesas on-premise e é difícil mover a segurança tradicional. "A quantidade de ataques contra a nuvem está aumentando", diz Nedbal. Os hackers monitoram novas instâncias de nuvem. "Assim que houver uma carga de trabalho expondo os serviços publicamente, eles serão atacados e as defesas nas nuvens públicas serão mais fracas do que os controles locais tradicionais". Além disso, se uma organização tiver diferentes conjuntos de controles para seus sistemas on-premise e na nuvem, poderia deixar lacunas que os hackers exploram.

2. Ataque entre data centers
Uma vez que um hacker invade o data center, o próximo passo é ele se espalhar lateralmente. A razão pela qual isso é possível é que as conexões entre os pontos de entrega (PoDs) em um data center são consideradas zonas confiáveis. Se um invasor comprometer um PoD, ele poderá se espalhar para outros data centers conectados.

Em um post no seu blog, Nedbal aconselhou o envio de todo o tráfego através de um sistema de defesa de múltiplas camadas com um conjunto similar de controles de segurança encontrados no perímetro.

3. Ataques multi-tenant
Em um ambiente multi-tenant, os hackers podem explorar o tráfego de rede entre os tenants que, por sua vez,  podem supor que o provedor tenha garantido seus ativos na nuvem, quando, na verdade, são eles os responsáveis ​​pela implementação de grande parte das defesas. Novamente, o envio de tráfego por meio de um sistema de defesa de várias camadas com os controles apropriados reduzirá o risco dessa ameaça na nuvem, mas exigirá a capacidade de colocar esses controles na escala correta, onde e quando necessário.

4. Ataque entre cargas de trabalho
Cargas de trabalho virtualizadas e baseadas na nuvem, bem como containers, podem se conectar facilmente a outras pessoas. Basta comprometer uma carga de trabalho e um invasor pode acessar outras cargas de trabalho, independentemente de ocorrerem em uma área de trabalho virtual, no servidor Web virtual ou no banco de dados. A defesa contra ataques de cargas de trabalho cruzadas, especialmente se forem executados no mesmo tenant, é difícil. "Se você apenas isolar todas as cargas de trabalho umas das outras, elas estarão seguras, mas não conseguirão executar a função para a qual foram projetadas", diz Nedbal. O conselho? As cargas de trabalho com requisitos de segurança semelhantes devem ser colocadas em uma zona que tenha controles apropriados para monitorar o tráfego, além da segmentação básica.

5. Ataques de orquestração
A orquestração em nuvem permite muitas tarefas importantes, incluindo provisionamento, implementação de servidores, gerenciamento de armazenamento e de rede, gerenciamento de identidades e privilégios e criação de cargas de trabalho. Os hackers geralmente executam ataques de orquestração para roubar logins de contas ou chaves de criptografia privadas. De posse dessas informações, o invasor pode executar tarefas de orquestração para obter controle e acesso. “Uma vez dentro, [um atacante] pode criar cargas de trabalho adicionais para seus próprios propósitos, como mineração de criptografia ou remoção de cargas de trabalho”, diz Nedbal. Quanto maior o privilégio roubado, mais danos causados.

A maneira de se defender dos ataques de orquestração, diz Nedbal, é através do monitoramento do comportamento do administrador. “[A ameaça de orquestração] precisa de um novo tipo de monitoramento de segurança que não faça parte dos sistemas tradicionais de segurança de rede que procuram padrões incomuns de contas se comportando de forma anormal”, diz ele.

6. Ataques serverless
Os aplicativos sem servidor permitem que as organizações criem rapidamente funções baseadas na nuvem sem precisar construir ou estender a infraestrutura. Realizados através das chamadas funções como um serviço (FaaS), eles apresentam novas oportunidades para hackers e novos desafios para os defensores da rede. Uma nova função pode ter acesso a ativos confidenciais, como um banco de dados. Se os privilégios para essa função estiverem configurados incorretamente, um invasor poderá executar várias tarefas por meio dessa função. Isso inclui acessar dados ou criar novas contas. Assim como nos ataques de orquestração, a melhor maneira de detectar um ataque serverless é monitorando os comportamentos da conta, mas para ser eficaz, deve ser combinado com a inspeção de tráfego de rede.

Como proteger a nuvem?
De acordo com uma pesquisa realizada pela VansonBourne e patrocinada pelo Gigamon, 73% dos entrevistados esperam que a maioria de suas cargas de trabalho de aplicativos esteja na nuvem pública ou privada. Ainda assim, 35% desses entrevistados esperam lidar com a segurança de rede exatamente da mesma maneira como protegem suas operações locais. O restante, apesar de relutante em mudar, acredita que não tem escolha a não modificar sua estratégia de segurança para as necessidade da nuvem.

É claro que nem toda empresa está migrando dados confidenciais ou críticos para a nuvem, portanto, para eles, há menos motivos para mudar a estratégia. Outras já estão migrando informações críticas e proprietárias da empresa (56%) ou ativos de marketing (53%). Quarenta e sete por cento esperam ter informações pessoalmente identificáveis ​​na nuvem, o que tem implicações devido a novas regulamentações de privacidade, como o GDPR, da UE, e no Brasil, futuramente, da LGPD.

As empresas devem se concentrar em três áreas principais para sua estratégia de segurança na nuvem, de acordo com Govshteyn:

1. Ferramentas
As ferramentas de segurança que você implanta em ambientes de nuvem devem ser nativas para a nuvem e capazes de proteger aplicativos da Web e cargas de trabalho na nuvem. “As tecnologias de segurança formuladas para proteção de endpoint estão focadas em um conjunto de vetores de ataque pouco comuns na nuvem e estão mal equipados para lidar com as ameaças OWASP Top 10, que constituem 75% de todos os ataques na nuvem”, diz Govshteyn. Ele observa que as ameaças de terminal visam navegadores Web e software cliente, enquanto ameaças de infraestrutura visam servidores e estruturas de aplicativos.

2. Arquitetura
Defina sua arquitetura em torno dos benefícios de segurança e gerenciamento oferecidos pela nuvem, não em trono da mesma arquitetura que você usa em seus datacenters tradicionais.

“Agora temos dados mostrando que os ambientes públicos puros permitem que as empresas tenham taxas de incidentes menores, mas isso só é possível se você usar os recursos da nuvem para projetar uma infraestrutura mais segura”, diz Govshteyn.

Ele recomenda que você isole cada aplicativo ou micro-serviço em sua própria nuvem privada virtual, o que reduz o raio de explosão de qualquer invasão.

"Grandes violações, como o Yahoo, começaram com aplicativos da Web triviais como o vetor de entrada inicial, portanto, os aplicativos menos importantes geralmente se tornam seu maior problema".

Além disso, não corrija vulnerabilidades em suas implantações de nuvem. Em vez disso, implante uma nova infraestrutura de nuvem executando o código mais recente e desative sua infraestrutura antiga.

"Você só pode fazer isso se automatizar suas implementações, mas ganhará o nível de controle sobre sua infraestrutura que nunca conseguiria em data centers tradicionais", diz Govshteyn.

3. Pontos de conexão
Identifique pontos em que suas implementações de nuvem estão interconectadas a data centers tradicionais que executam código herdado. “Essas provavelmente serão sua maior fonte de problemas, pois vemos uma tendência clara de que as implementações de nuvem híbrida tendem a ver a maioria dos incidentes de segurança”, diz ele.

Nem tudo sobre a estratégia de segurança existente de uma empresa precisa mudar para proteger a nuvem. “Usar a mesma estratégia de segurança - por exemplo, inspeção profunda de conteúdo para análise forense e detecção de ameaças - tanto para nuvem quanto on-premise  não é uma má ideia por si só. As empresas que buscam isso normalmente buscam a consistência entre suas arquiteturas de segurança para limitar as lacunas em sua postura de segurança”, afirma Tom Clavel, gerente sênior de marketing de produto da Gigamon.

“O desafio é como eles têm acesso ao tráfego de rede para esse tipo de inspeção”, acrescenta Clavel. “Embora esses dados estejam prontamente disponíveis on-premise, eles não estão disponíveis na nuvem. Além disso, mesmo que tenham acesso ao tráfego, o backhauling das informações para as ferramentas locais de inspeção, sem a inteligência, é extremamente caro e contraproducente ”.

Problemas de visibilidade da nuvem
Uma reclamação que os entrevistados da VansonBourne tinham é que a nuvem pode criar pontos cegos dentro do cenário de segurança. No geral, metade disse que a nuvem pode "ocultar" informações que permitem identificar ameaças. E que, com a nuvem, também estão faltando informações sobre o que está sendo criptografado (48%), aplicativos inseguros ou tráfego (47%) ou validade de certificado SSL/TLS (35%).

Um ambiente de nuvem híbrida pode dificultar ainda mais a visibilidade, pois pode impedir que as equipes de segurança vejam onde os dados estão realmente armazenados, de acordo com 49% dos entrevistados da pesquisa. Dados em silos, alguns mantidos por operações de segurança e alguns por operações de rede, podem dificultar ainda mais a localização de dados, afirmaram 78% dos entrevistados.

E não são apenas sobre dados que as equipes de segurança têm visibilidade limitada. Sessenta e sete por cento dos entrevistados da VansonBourne disseram que os pontos cegos da rede eram um obstáculo para protegerem sua organização.  Nesses casos, para obter melhor visibilidade, a Clavel recomenda que você primeiro identifique como deseja organizar e implementar sua postura de segurança. “Está tudo dentro da nuvem ou estendido do local para a nuvem? Em ambos os casos, certifique-se de que a visibilidade generalizada do tráfego de rede do seu aplicativo esteja no centro da sua estratégia de segurança. Quanto mais você vê, mais você pode garantir”, diz ele.

“Para atender às necessidades de visibilidade, identifique uma maneira de adquirir, agregar e otimizar o tráfego de rede para suas ferramentas de segurança, seja um sistema de detecção de intrusão (IDS), informações de segurança e gerenciamento de eventos (SIEM), forense, prevenção de perda de dados ( DLP), detecção avançada de ameaças (ATD) ou para todos eles concorrentemente”, acrescenta Clavel. “Por fim, adicione procedimentos SecOps para automatizar a visibilidade e a segurança contra ameaças detectadas, mesmo com o aumento de sua cobertura na nuvem.”

Esses pontos cegos e pouca visibilidade das informações podem criar problemas de conformidade com o GDPR e, futamente, no Brasil, com a LGPD. Sessenta e seis por cento dos entrevistados dizem que a falta de visibilidade dificultará o cumprimento do GDPR. Apenas 59% acreditam que suas organizações estarão prontas para o GDPR até o prazo final de maio de 2018.

Políticas e práticas de segurança que não acompanham a adoção da nuvem
De acordo com o "Oracle and KPMG Cloud Threat Report 2018", 87% das empresas têm agora uma estratégia de cloud-first e 90% das empresas dizem que metade dos dados que possuem na nuvem é sensível. Embora essas empresas tenham adotado uma abordagem agressiva para migração para a nuvem, as práticas e políticas de segurança não parecem ter sido alcançadas, como mostram os dados abaixo.

Os dados do relatório da Oracle/KPMG são provenientes de uma pesquisa com 450  profissionais de cibersegurança de todo o mundo. Os entrevistados estavam claramente preocupados com a segurança na nuvem, mas a maioria não tomou algumas medidas óbvias para mitigar o risco de ter dados confidenciais na nuvem.

- Oitenta e dois por cento acham que seus funcionários não seguem os procedimentos de segurança na nuvem, mas 86% não conseguem coletar e analisar a maioria dos dados de eventos de segurança.

- Apenas 38% dos entrevistados disseram que detectar e responder a incidentes de segurança na nuvem é o desafio número um de segurança cibernética.

- Apenas 41% possuem um arquiteto de segurança dedicado na nuvem.

Existem alguns sinais de que as empresas levarão a segurança na nuvem mais a sério no futuro próximo. A maioria dos entrevistados (84%) espera aumentar seu nível de automação de segurança e 89% esperam aumentar seus orçamentos de segurança cibernética no próximo ano.

O Machine Learning vai ajudar?
Provedores de serviços em nuvem estão trabalhando para melhorar a capacidade dos clientes de identificar e lidar com possíveis ameaças. A Amazon Web Services (AWS), por exemplo, anunciou dois serviços que dependem de Machine Learning para proteger os ativos dos clientes.

Em agosto, a AWS anunciou seu  serviço Macie, focado principalmente em conformidade com PCI, HIPAA e GDPR . Ele treina o conteúdo dos usuários nos buckets do Amazon S3 e alerta os clientes quando ele detecta atividades suspeitas. A AWS  GuardDuty, anunciada em novembro, usa Machine Learning para analisar o AWS CloudTrail, os logs de fluxo VPC e os registros de DNS da AWS. Como Macie, GuardDuty se concentra na detecção de anomalias para alertar os clientes sobre atividades suspeitas.

A eficácia do Machine Learning depende de modelos, que consistem de um algoritmo e dados de treinamento. O modelo é tão bom quanto os dados sobre os quais ele é treinado; qualquer evento que esteja fora dos dados no modelo provavelmente não será detectado por um serviço como Macie ou GuardDuty.

Dito isso, um provedor de segurança em nuvem como a AWS terá um conjunto de dados muito mais rico para funcionar do que qualquer cliente individual faria. A AWS tem visibilidade em toda a sua rede, facilitando muito o treinamento de seu modelo de Machine Learning sobre o que é normal e o que pode ser malicioso. No entanto, os clientes precisam entender que o aprendizado de máquina não detectará ameaças que estejam fora dos dados de treinamento do modelo usado. Eles não podem confiar apenas em serviços como Macie e GuardDuty.

Quem é o responsável pela segurança na nuvem?
Dado o que está em jogo, não é surpresa que 62% dos entrevistados tenham manifestado o desejo de que seus centros de operações de segurança (SOCs) controlem o tráfego de rede e os dados para garantir a proteção adequada em um ambiente de nuvem. Metade deles aceitaria o conhecimento do tráfego e dos dados da rede.

Obter controle ou mesmo visibilidade total pode ser um desafio para muitas organizações devido à estrutura dos grupos que gerenciam o ambiente de nuvem. Embora as operações de segurança sejam responsáveis ​​pela segurança na nuvem em 69% das organizações dos entrevistados, operações na nuvem (54%) ou operações de rede também estão envolvidas. Isso resultou em confusão sobre quem está assumindo a liderança em segurança na nuvem e como as equipes devem colaborar. De fato, 48% dos entrevistados disseram que a falta de colaboração entre as equipes é o maior obstáculo para identificar e relatar uma violação.

“Frequentemente, as empresas dividem responsabilidades entre rede, segurança e nuvem”, diz Clavel. “Cada um tem orçamentos distintos, propriedade distinta e até mesmo ferramentas distintas para gerenciar essas áreas. Obter visibilidade da nuvem para protegê-la requer a quebra dos muros de comunicação entre essas três organizações. As mesmas ferramentas de segurança implantadas on-premise também poderão proteger a nuvem - portanto, as equipes de segurança e de nuvem precisam se comunicar ”.

Que tipo de pessoa deve levar em consideração a segurança na nuvem da organização? Precisa ser alguém ou uma equipe com as habilidades certas e capacidade de se comprometer a longo prazo. “Encontre a pessoa ou a equipe capaz de avançar mais rapidamente para os novos paradigmas de segurança na nuvem e permita que eles criem sua estratégia de segurança nos próximos três a cinco anos”, afirma Govshteyn.

“Nos últimos anos, isso tende a ser a equipe de operações de TI ou uma equipe de segurança corporativa, mas há sempre um colaborador individual, com nível de arquiteto ou uma equipe de segurança de nuvem dedicada no centro desse esforço. Essa nova geração de profissionais de segurança pode escrever código, gastar mais de 80% de seu tempo automatizando seus trabalhos e visualizar as equipes de desenvolvimento como seus pares, em vez de adversários ”, diz Govshteyn, acrescentando que em empresas de tecnologia a segurança às vezes é uma função de a equipe de engenharia.

Embora os Conselhos de Administração estejam tendo grande interesse em segurança atualmente, eles não ajudarão muito na prática. “Na verdade, grande parte da tomada de decisão crítica, quando se trata de segurança na nuvem hoje, vem de tecnólogos capazes de acompanhar o ritmo acelerado de mudanças na nuvem pública”, diz ele.

Para complicar ainda mais a tarefa de proteger a nuvem, para mais da metade (53%) dos entrevistados, o fato de que suas organizações não implementaram uma estratégia ou estrutura de nuvem é um problema. Embora quase todas essas organizações planejem fazê-lo no futuro, não está claro quem está liderando essa iniciativa.

“As ferramentas de segurança e monitoramento também serão capazes de alavancar a mesma plataforma de entrega de segurança para maior flexibilidade - para que a rede, a segurança e a nuvem também concordem em compartilhar a responsabilidade da plataforma de entrega de segurança”, diz Clavel. “As empresas que consolidam suas atividades de segurança e monitoramento - como parte do SOC - ou pelo menos estabelecem orçamentos comuns e compartilham a propriedade de uma plataforma de entrega de segurança, são recompensadas com melhor flexibilidade, tomada de decisões mais rápida e segurança consistente no local e implantações em nuvem. ”

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail