Por Vinicius Bortoloni* – Com o novo modelo de trabalho híbrido, vemos as organizações movendo cada vez mais suas configurações de carga de trabalho (workload) para a nuvem. Embora essa transformação ofereça grandes benefícios de agilidade e escalabilidade, ela traz riscos inerentes e maiores à segurança e à conformidade. Um simples erro de configuração pode resultar na exposição de toda a sua organização aos cibercriminosos que não precisam mais invadir seu data center para acessar os dados críticos ou realizar ataques de ransomware.
O Gartner prevê que, até 2025, 99% dos problemas de segurança na nuvem serão resultados de erro humano ao configurar ativos e a proteção na nuvem. No momento atual em que as organizações estão se tornando cada vez mais dependentes de fornecedores de nuvem de terceiros, como AWS, Microsoft Azure, IBM e Google Cloud Platform, para gerenciar seus dados com segurança, provavelmente aumentará ainda mais a preocupação com configurações incorretas e outras vulnerabilidades na nuvem. Além disso, muitas das organizações que se encontram em risco tiveram que acelerar suas iniciativas de transformação digital em um ritmo desconfortável nos últimos dois anos, resultando em brechas de conhecimento e talento que só aumentam seus medos em relação à segurança na nuvem.
Sob o modelo de responsabilidade compartilhada – uma estrutura de segurança projetada para garantir a cuidado por dados comprometidos e outros incidentes -, o provedor de nuvem oferecerá segurança básica na nuvem, mas cabe às próprias empresas proteger seus próprios dados nesse ambiente. Em outras palavras, se os provedores de nuvem garantirem que os “portões da cidade” estejam trancados e o perímetro esteja bem guardado, ainda cabe às empresas garantir que suas próprias portas estejam trancadas. Isso não é tarefa fácil, principalmente quando consideramos que muitas grandes empresas, agora, contam com três ou quatro plataformas de nuvem como parte de uma estratégia de múltiplas nuvens.
Aumentam os ataques a provedores de serviços em nuvem
De acordo com recente Relatório de Segurança de 2022, no ano passado houve uma onda de ataques que exploraram falhas nos serviços de importantes provedores de nuvem. Para os cibercriminosos envolvidos, o objetivo final é alcançar o controle total sobre a infraestrutura de nuvem de uma organização ou, pior, toda a propriedade de TI, incluindo seu código proprietário e registros de clientes. Desnecessário dizer que isso pode ter um impacto devastador nas empresas afetadas e elas estão certas em se preocupar.
Os tipos de falhas sobre as quais abordamos aqui não são brechas lógicas ou baseadas em permissão derivadas da política de controle de uma organização que os cibercriminosos podem usar para obter acesso não autorizado e aumentar privilégios. Isso poderia pelo menos ser identificado e tratado pela organização em questão. Em vez disso, essas brechas tendem a ser vulnerabilidades críticas dentro da própria infraestrutura de nuvem que podem ser muito mais difíceis para as empresas se protegerem.
Veja a falha OMIGOD, por exemplo, que abriu as portas quando se tratou de atacar serviços em nuvem em 2021. Em setembro de 2021, quatro vulnerabilidades críticas foram descobertas no agente de software Microsoft Azure que permitia aos usuários gerenciar configurações em ambientes remotos e locais. Estima-se que 65% da base de clientes do Azure ficou vulnerável por essa exploração, colocando em risco milhares de organizações e milhões de dispositivos de endpoint.
Por meio dessa falha do OMIGOD, os cibercriminosos conseguiram executar código arbitrário remoto na rede de uma organização e aumentar os privilégios de root, assumindo efetivamente a rede. Como parte de sua atualização de setembro de 2021, a Microsoft abordou o problema, mas a correção automática lançada pareceu ineficaz por vários dias. Outras falhas foram expostas nos serviços de nuvem do Microsoft Azure ao longo do ano, incluindo a vulnerabilidade “ChaosDB”, que permitiu que os cibercriminosos recuperassem várias chaves internas usadas para obter privilégios de root que, eventualmente, permitiriam gerenciar os bancos de dados e contas das organizações visadas. Entre as empresas que ficaram vulneráveis por essa “porta aberta” específica estão a Coca-Cola, Skype e a Symantec.
É provável que haja muito mais vulnerabilidades de provedores de nuvem em 2022, mas, hoje há coisas sob o controle de uma organização que podem mitigar o risco.
Travando as portas e reforçando a segurança interna
Reforçar a segurança na nuvem não é apenas ter os produtos e serviços certos, mas também fomentar uma mentalidade de segurança em uma organização como um todo. Independentemente do que um acordo de nível de serviço entre uma organização e um provedor de nuvem possa significar, o ônus final recai sobre a organização para garantir que os registros de seus clientes e outros dados importantes sejam protegidos.
Portanto, antes de mover cargas de trabalho de missão crítica para a nuvem, as organizações devem garantir que as “portas” para seus aplicativos e dados estejam firmemente trancadas. Isso significa ajustar o gerenciamento de identidade e acesso, implementando o princípio de “menor privilégio” para que os dados sejam acessados apenas por humanos e aplicativos estritamente necessários. Isso também significa melhor segmentação de redes e uso de tecnologia de firewall para garantir que dados confidenciais possam ser adequadamente isolados e protegidos quando necessário.
A segurança na nuvem é complexa e, com ambientes de múltiplas nuvens, fica ainda mais difícil. Portanto, devemos pensar em consolidar toda a segurança na nuvem em todos os fornecedores de nuvem em uma solução que monitore todas as atividades maliciosas e reduza a carga de trabalho, automatizando tarefas comuns como atualizações de políticas. Em um mundo ideal, isso significaria uma abordagem de “painel único” para o gerenciamento de segurança em todos os seus ativos de nuvem, para que os profissionais possam ficar de olho nos incidentes de segurança e concentrar seus esforços naqueles de maior preocupação.
E, finalmente, a empresa precisa introduzir a segurança no estágio inicial do desenvolvimento do aplicativo. As organizações não querem que as verificações de segurança diminuam a velocidade do DevOps indevidamente e atrase o lançamento do aplicativo, mas também não podem se dar ao luxo de cortar custos na segurança. Uma abordagem DevSecOps que permite escanear o código em busca de configurações incorretas ou até malware como parte do processo de DevOps garantirá que vulnerabilidades não serão “incorporadas” desde o início.
A mudança para a nuvem só será acelerada à medida que as organizações perceberem os benefícios que ela traz em termos de vantagem competitiva, agilidade e resiliência. Então, agora é a hora de adotar uma abordagem responsável de segurança e conformidade e aumentar a proteção na nuvem. É uma tarefa desafiadora e complexa, mas a boa notícia é que existem soluções não apenas para bloquear a rede na nuvem, mas também maneiras, usando IA e automação, para reduzir a carga de trabalho de detecção e prevenção de ameaças, mesmo aquelas que ainda não foram criadas. Finalmente isso pode ser feito com velocidade! É tudo na nuvem!
*Vinicius Bortoloni é engenheiro de segurança da Check Point Software Brasil.