Além dos cibercriminosos que usam exploits para vulnerabilidades zero-day, um risco muito mais real para as organizações - especialmente ao embarcarem em ambiciosos projetos de transformação digital - é o erro humano. De fato, "diversos erros" foram responsáveis por 17% dos vazamentos de dados no ano passado, segundo a Verizon. Quando se trata de segurança na nuvem, uma tendência em particular se destaca acima de todas as outras: a má configuração. Este problema é responsável pelo vazamento de bilhões de registros a cada ano e continua sendo uma grande ameaça à segurança corporativa, à reputação e ao resultado final.
Mitigar essa ameaça persistente em forma humana exigirá que as organizações se enfoquem na obtenção de uma melhor visibilidade e controle de seus ambientes na nuvem, usando ferramentas automatizadas sempre que possível.
Qual é a gravidade dos vazamentos de dados na nuvem?
A transformação digital salvou muitas organizações durante a pandemia. E essa mesma transformação agora é vista como a chave para o sucesso à medida em que o mundo consegue vencer a crise econômica. Os investimentos na nuvem estão no centro desses projetos, apoiando aplicativos e processos comerciais destinados a impulsionar novas experiências para os clientes e eficiências operacionais. A Gartner prevê que os gastos globais com serviços públicos na nuvem crescerão 18,4% em 2021 para um total de quase US$ 305 bilhões, e aumentarão mais 19% neste ano.
Entretanto, esse processo abre portas para o erro humano, pois as más configurações expõem os dados sensíveis a cibercriminosos. Às vezes, esses registros contêm informações pessoalmente identificáveis (PII, sigla em inglês), como foi o caso do vazamento que afetou milhões de pessoas como consequência de um servidor mal configurado de um software de reserva de hotel espanhol em 2020. No entanto, às vezes é, sem dúvida, ainda mais sensível. Em outubro de 2021, uma lista com informações confidenciais contendo registros de terroristas monitorados pelos Estados Unidos foi supostamente exposta.
A má notícia para as organizações é que os cibercriminosos estão cada vez mais em busca desses bancos de dados expostos. No passado, as informações contidas nessas bases de dados foram apagadas e mantidas para solicitar o pagamento de um resgate, e inclusive foram alvo de ataques de web skimming.
A escala desses vazamentos é de assombrar: um estudo realizado pela IBM no ano passado constatou que o vazamento de mais de 85% dos 8,5 bilhões de registros em 2019 ocorreu devido a servidores em nuvem e outros sistemas mal configurados. Isso é um aumento de menos da metade a partir de 2018. É provável que o número continue aumentando até que as organizações tomem as devidas medidas.
Qual é o problema?
A Gartner previu que até 2020, 95% dos incidentes de segurança na nuvem seriam culpa do cliente. Então, quem tem a culpa? Isso se deve a uma série de fatores, incluindo a falta de supervisão, a falta de conscientização das políticas, a falta de monitoramento contínuo e o excesso de APIs e sistemas na nuvem para gerenciar. O último é particularmente mais sério, pois as organizações investem em múltiplos ambientes de nuvens híbridas. Estimativas sugerem que 92% das empresas têm hoje uma estratégia multi-nuvem, enquanto 82% têm uma estratégia híbrida de nuvens que aumenta a complexidade.
As más configurações dos serviços na nuvem podem assumir muitas formas, inclusive:
- Ausência de restrições de acesso. Isto inclui o problema comum de acesso público aos buckets de armazenamento AWS S3, que podem permitir que atacantes remotos acessem dados e escrevam em contas na nuvem;
- Políticas de segurança excessivamente permissivas. Isto poderia incluir servidores AWS EC2 acessíveis pela internet via porta SSH 22, o que pode permitir ataques remotos;
- Falta de controles de permissões. A falha em limitar usuários e contas a privilégios mínimos pode expor a organização a um risco ainda maior;
- Rotas de conectividade com a Internet mal compreendidas;
- Funções de rede virtualizadas mal configuradas.
As Shadow IT também podem aumentar as chances de ocorrência do que mencionamos acima, uma vez que a TI não saberá se os sistemas na nuvem foram configurados corretamente ou não.
Como corrigir uma má configuração na nuvem
A chave para as organizações é encontrar e corrigir automaticamente quaisquer problemas o mais rápido possível. No entanto, este processo está falhando. De acordo com um relatório produzido pela Fugue, um atacante pode detectar erros de configuração dentro de 10 minutos, mas apenas 10% das organizações estão corrigindo esses problemas dentro desse tempo. Na verdade, metade (45%) das organizações estão corrigindo as más configurações em períodos que podem ser entre uma hora e uma semana depois do incidente.
E o que pode ser feito para melhorar esse cenário? O primeiro passo é entender o modelo de responsabilidade compartilhada para a segurança na nuvem. Isto envolve compreender quais tarefas são de responsabilidade do prestador de serviços na nuvem (CSP) e qual é a responsabilidade do cliente. Enquanto os CSPs são responsáveis pela segurança na nuvem (hardware, software, rede e outras infraestruturas), os clientes devem assumir a responsabilidade pela segurança na nuvem, que inclui a configuração de seus ativos.
Aqui estão algumas dicas de melhores práticas:
- Limitar as permissões: aplicar o princípio do menor privilégio aos usuários e contas na nuvem, minimizando assim a exposição ao risco.
- Criptografia de dados: aplique criptografia forte a dados críticos para o negócio ou altamente regulamentados para mitigar o impacto de um vazamento.
- Verificar a conformidade antes do provisionamento: priorizar a infraestrutura como código e automatizar as verificações de configuração de políticas o mais cedo possível no ciclo de vida do desenvolvimento.
- Auditoria contínua: os recursos da nuvem são notoriamente efêmeros e mutáveis, enquanto os requisitos de conformidade também evoluíram com o tempo. Isso torna crítico o monitoramento constante das configurações em relação às políticas. Considere ferramentas de gerenciamento da postura de segurança na nuvem (CSPM) para automatizar e simplificar esse processo.
Com a estratégia correta, é possível gerenciar os riscos de segurança na nuvem de forma mais eficaz e deixar que os profissionais possam ser mais produtivos em outros lugares. À medida em que os cibercriminosos melhoram seus métodos de encontrar dados expostos na nuvem, as organizações não têm tempo a perder.