As cinco principais ameaças à segurança na nuvem

Shutterstock / metamorworks

Praticamente todas as empresas estão executando algum tipo de rede na nuvem, o que significa que a segurança na nuvem é vital. Aqui está nossa lista de tópicos que você precisa controlar para se manter seguro.

Alta disponibilidade – Incluindo atores de ameaças

Um dos principais benefícios da nuvem é a alta disponibilidade que ela oferece aos seus recursos hospedados. Eles são acessíveis de qualquer lugar. E isso é ótimo. Mas também significa que sua infraestrutura em nuvem está — inevitavelmente! — voltada para a Internet. Isso torna mais fácil para qualquer ator de ameaça tentar se conectar aos seus servidores e serviços, para fazer varredura de portas, ataques de dicionário e atividades de reconhecimento.

Alguns dos problemas de segurança que precisam ser resolvidos para a infraestrutura em nuvem são iguais aos da infraestrutura local tradicional. Alguns são diferentes ou incluem desafios adicionais. A primeira etapa é identificar os riscos associados à sua infraestrutura em nuvem. Você precisa implementar contra-medidas e outras respostas e atividades que reduzam ou mitiguem esses riscos. Certifique-se de documentá-los e ensaiá-los com todas as partes interessadas presentes e engajadas. Isso formará sua estratégia abrangente de segurança na nuvem.

Não ter uma estratégia de segurança na nuvem é como ignorar a segurança cibernética para redes terrestres. Na verdade, provavelmente é pior devido à natureza da nuvem voltada para a Internet.

Os riscos específicos que você enfrenta variam ligeiramente, dependendo de como você usa a nuvem e da combinação de ofertas da nuvem que está usando: infraestrutura como serviço, plataforma como serviço, software como -a-Service, Containers-as-a-Service e assim por diante. E existem diferentes maneiras de categorizar os riscos. Nós os reunimos em grupos de risco coerentes, mas genéricos. Pode haver alguns que não se apliquem aos seus casos de uso exatos, mas certifique-se de que realmente seja o caso antes de descartá-los.

Configuração incorreta e erro humano

Erros por descuido, excesso de trabalho ou simplesmente não saber de nada melhor ainda abundam em organizações de todos os tamanhos. Itens esquecidos e configurações perdidas comprometem o sistema todas as semanas. A violação massiva da Equifax em 2017, que vazou os dados pessoais de mais de 160 milhões de pessoas, explorou um certificado SSL desatualizado. Se houvesse um processo que rege os itens renováveis ​​e uma orientação clara sobre quem foi o responsável pelo processo, é provável que o certificado tivesse sido renovado e a violação nunca teria ocorrido.

Contêineres inseguros são encontrados quase que semanalmente por pesquisadores de segurança usando ferramentas como o Shodan, um mecanismo de busca que procura dispositivos, portas e serviços. Algumas dessas violações e exposições surgem porque as pessoas esperam que as coisas estejam seguras por padrão, o que não é o caso. Depois de ativar seu servidor remoto, você precisa realizar as mesmas etapas de proteção e melhorias de segurança de qualquer outro servidor. A correção também é vital. Para manter a integridade das defesas do servidor, ele precisa ter patches de segurança e manutenção aplicados em tempo hábil.

Aplicativos, especialmente armazenamentos de dados e bancos de dados como o Elastic Search, também precisam ser fortalecidos após a instalação. As contas padrão precisam ter suas credenciais alteradas e as APIs protegidas com o mais alto nível de segurança oferecido.

A autenticação de dois fatores ou multifator deve ser usada se estiver disponível. Evite a autenticação de dois fatores baseada em SMS, ela é facilmente comprometida. As APIs não utilizadas devem ser desligadas se não forem necessárias ou bloqueadas com chaves APIs não emitidas e privadas para evitar seu uso. Os firewalls de aplicativos da Web fornecerão proteção contra ameaças, como ataques de injeção de SQL e scripts entre sites.

Falta de controle de mudança

Relacionadas a erros de configuração, estão as vulnerabilidades introduzidas quando você altera ou atualiza um sistema em funcionamento. deve ser feito de forma controlada e previsível. Isso significa planejar e concordar com as alterações, revisar o código, aplicar as alterações a um sistema em área restrita, testá-las e implementá-las no sistema ativo. Isso é algo perfeitamente adequado para automação — contanto que o pipeline de desenvolvimento para implantação seja adequadamente robusto e realmente teste o que você pensa que faz, tão minuciosamente quanto você precisa.

Outras alterações das quais você precisa estar ciente estão no cenário de ameaças. Você não pode controlar novas vulnerabilidades sendo descobertas e adicionadas à lista de explorações que os agentes de ameaças podem usar. O que você pode fazer é verificar se sua infraestrutura de nuvem está sendo analisada para que todas as vulnerabilidades atualmente conhecidas sejam corrigidas.

Varreduras de penetração frequentes e completas devem ser executadas em sua infraestrutura de nuvem. Encontrar e retificar vulnerabilidades é um elemento central para manter seu investimento na nuvem seguro. As varreduras de penetração podem procurar portas abertas esquecidas, APIs fracas ou desprotegidas, pilhas de protocolo desatualizadas, configurações incorretas comuns, todas as vulnerabilidades no banco de dados de Vulnerabilidades e Exposições Comuns e muito mais. Eles podem ser automatizados e configurados para alertar quando um item acionável for descoberto.

Roubo de conta

Roubo de conta é o nome usado para comprometer um sistema ao acessar a conta de e-mail de uma pessoa autorizada, credenciais de login ou qualquer outra informação necessária para autenticação em um sistema ou serviço de computador . O ator da ameaça tem então a liberdade de alterar a senha da conta e de conduzir atividades maliciosas e ilegais. Se eles comprometeram a conta de um administrador, eles podem criar uma nova conta para si próprios e fazer login nela, deixando a conta do administrador aparentemente intacta.

Ataques de phishing ou ataques de dicionário são meios comuns de obter credenciais. Além de palavras e permutações de dicionário usando o número comum e substituições de letras, os ataques de dicionário usam bancos de dados de senhas de outras violações de dados. Se algum dos titulares da conta foi pego em violações anteriores em outros sistemas e reutilizou a senha comprometida em seus sistemas, eles criaram uma vulnerabilidade em seu sistema. As senhas nunca devem ser reutilizadas em outros sistemas.

A autenticação de dois fatores e de vários fatores ajudará aqui, assim como a verificação automatizada de registros em busca de tentativas de acesso malsucedidas. Mas certifique-se de verificar as políticas e procedimentos do seu provedor de hospedagem. Você supõe que eles seguirão as práticas recomendadas do setor, mas em 2019 foi revelado que o Google armazenava senhas do G Suite em texto simples — por 14 anos.

Visibilidade reduzida

Dirigir no nevoeiro é uma tarefa ingrata. E administrar um sistema sem as informações granulares de baixo nível que os profissionais de segurança usam para monitorar e verificar a segurança de uma rede é uma perspectiva semelhante. Você não fará um trabalho tão bom quanto se pudesse ver o que precisa.

A maioria dos servidores em nuvem geralmente oferece suporte a vários métodos de conexão, como Remote Desktop Protocol, Secure Shell e portais da web integrados, para citar alguns. Todos eles podem ser atacados. Se houver ataques, você precisa saber. Alguns provedores de hospedagem podem fornecer melhor registro ou acesso mais transparente aos registros, mas você deve solicitar isso. Eles não fazem isso por padrão.

Ter acesso aos logs é apenas a primeira etapa. Você precisa analisá-los e procurar comportamentos suspeitos ou eventos incomuns. Agregar os logs de vários sistemas diferentes e examiná-los em uma única linha do tempo pode ser mais revelador do que examinar cada log individualmente. A única maneira de conseguir isso de forma realista é usar ferramentas automatizadas que procurarão eventos inexplicáveis ​​ou suspeitos. As melhores ferramentas também encontrarão e encontrarão padrões de eventos que podem ser resultado de ataques e que certamente justificam investigações adicionais.

Não conformidade com os regulamentos de proteção de dados

A não conformidade é a proteção e privacidade de dados equivalente à configuração incorreta do sistema. Não implementar políticas e procedimentos legalmente exigidos para garantir a coleta, processamento e transmissão legais de dados pessoais é um tipo diferente de vulnerabilidade, mas é vulnerabilidade, no entanto.

É uma armadilha fácil de cair também. A proteção de dados é obviamente uma coisa boa, e a legislação que exige que as organizações funcionem de forma a salvaguardar e proteger os dados das pessoas também é uma coisa boa. Mas acompanhar a legislação em si é muito difícil sem ajuda de um especialista ou recursos internos com habilidades e experiência suficientes.

Uma nova legislação está sendo promulgada o tempo todo e a legislação existente é alterada. Quando o Reino Unido deixou a União Econômica Europeia (EEU) em 31 de janeiro de 2020, as empresas britânicas se viram em uma posição curiosa. Eles devem aderir à versão específica do Reino Unido do Regulamento Geral de Proteção de Dados contido no Capítulo Dois da Lei de Proteção de Dados do Reino Unido de 2018 — para quaisquer dados que possuam sobre cidadãos do Reino Unido. Se algum dos dados pessoais que eles possuem pertence a pessoas que residem em outro lugar na Europa, então o GDPR da UE entra em jogo.

E o GDPR se aplica a todas as organizações, independentemente de onde estejam. Se você coletar, processar ou armazenar dados pessoais pertencentes a cidadãos do Reino Unido ou europeus, um desses GDPRs se aplicará a você — não são apenas as organizações do Reino Unido e da UE que terão que lidar com isso. O mesmo modelo se aplica ao California Consumer Privacy Act (CCPA). Ele protege os residentes da Califórnia, independentemente de onde o processamento de dados ocorre. Portanto, não é algo que apenas as organizações californianas precisam enfrentar. Não é a sua localização que conta. É a localização da pessoa cujos dados você está processando que conta.

A Califórnia não é a única a abordar a privacidade de dados por meio de legislação. Nevada e Maine também têm legislação em vigor, e Nova York, Maryland, Massachusetts, Havaí e Dakota do Norte estão implementando suas próprias leis de privacidade de dados.

Isso é um acréscimo à legislação federal com foco vertical, como o Health Insurance Portability and Accountability Act (HIPAA), a Children &’ s Online Privacy Protection Rule (COPPA) e o Gramm-Leach-Bliley Agir (GLBA) se algum deles se aplicar às suas atividades.

Se você coletar informações por meio de um portal ou site na sua infraestrutura de nuvem, ou processar dados em um servidor hospedado, parte dessa grande quantidade de legislação se aplicará a você. O não cumprimento pode gerar penalidades financeiras significativas no caso de violações de dados, juntamente com danos à reputação e a possibilidade de ações judiciais coletivas.

Feito da maneira certa, é um trabalho de tempo integral

A segurança é um desafio sem fim e a computação em nuvem traz seu próprio conjunto de preocupações exclusivas. A escolha cuidadosa de hospedagem ou provedor de serviços é um fator crítico. Certifique-se de fazer a devida diligência antes de se envolver formalmente com eles.

• Eles próprios levam a sério a segurança? Qual é o seu histórico?
• Eles oferecem orientação e suporte, ou vendem seus serviços e deixam você com isso?
• Quais ferramentas e medidas de segurança eles fornecem como parte de seus oferta de serviço?
• Quais registros são disponibilizados para você?

Quando a computação em nuvem é discutida, alguém geralmente oferece esta frase de efeito bem conhecida: “ Nuvem significa apenas o computador de outra pessoa. ” Como todas as frases de efeito, é uma simplificação grosseira. Mas ainda há alguma verdade nisso. E esse é um pensamento preocupante.