12 mitos sobre segurança na nuvem

Com o movimento de migração e implementação de nuvens públicas aumentando de forma acelerada pelas empresas, especialistas da Check Point, fornecedora de soluções de cibersegurança, depararam-se com alguns mitos que persistem entre as organizações. Veja 12 mitos sobre a segurança digital que você talvez não sabia:

Quanto mais ferramentas de segurança, melhor

Pelo contrário, mais ferramentas simplesmente não significam ter mais segurança. De acordo com o relatório “Oracle and KPMG Cloud Threat Report 2020 “, 70% dos entrevistados relataram que muitas ferramentas de segurança são necessárias para proteger ambientes de nuvem pública. Em média, cada um usa mais de 100 controles de segurança distintos. Entretanto, vários fornecedores de segurança, oferendo soluções distintas, bloqueando vetores de ataque diferentes, todos resultam em lacunas. E essas lacunas criam pontos de acesso para os atacantes. Ou seja:

Muita complexidade de nuvem + Muitas soluções de segurança diferentes + Soluções que não se integram ou não se comunicam entre si = Sem inteligência ou arquitetura compartilhada, lacunas e riscos

Para superar essas lacunas, é fundamental implementar ferramentas e recursos para ajudar a simplificar o gerenciamento de segurança da nuvem e assumir o controle da proteção.

A segurança é responsabilidade do provedor de nuvem

Como cliente da nuvem, a organização tem a responsabilidade de proteger os dados que colocam na nuvem no conhecido “modelo de responsabilidade compartilhada”. Para proteger a infraestrutura nativa da nuvem é vital entender exatamente quais são as responsabilidades, considerando que elas variam dependendo dos serviços que a empresa está consumindo. Existem muitas e diferentes formas de proteger seus dados na nuvem, e as organizações não estão conseguindo realizar a grande maioria delas.

Violações bem-sucedidas resultam de ataques sofisticados

Embora seja verdade que existem atacantes altamente sofisticados, a realidade é que essa sofisticação crescente não é a razão por trás da maioria dos ataques bem-sucedidos. Erros e configurações incorretas na nuvem por parte dos usuários finais são o que impulsionam a maior parte dos ataques. O Gartner prevê que, até 2025, pelo menos 99% das falhas na nuvem serão culpa do cliente.

A visibilidade da nuvem é fácil

O usuário está pagando para usar recursos de nuvem, então, ele deve saber precisamente quais são esses recursos, bem como todas as informações relevantes, como: “Quantas contas tenho?”, “Os desenvolvedores adicionaram máquinas, novas funcionalidades ou se conectaram ao mundo externo?”, “Quem colocou isso aí?”, “Está configurado corretamente?”, “Há vulnerabilidades?”. “Posso pará-los antes de atingir o ambiente de execução?”, entre outras.

Infelizmente, todas essas informações são muito mais difíceis de controlar do que muitos imaginam. Sem visibilidade de como os recursos devem se “comportar”, o usuário não pode observar quando esse comportamento se desvia. Sem painéis consolidados, é muito difícil identificar e agir sobre ameaças em tempo hábil. E isso não quer dizer nada sobre a importância da visibilidade para garantir que o usuário cumpra as leis e os padrões relevantes do setor. Trata-se da questão de dinheiro: o usuário deve se certificar de que não está pagando mais do que está usando.

É melhor deixar a segurança aos profissionais da área

Ao contrário de isolar a segurança do alcance de profissionais dedicados, as melhores práticas incluem tornar a segurança uma preocupação de todos. Por exemplo, adicionar segurança no início do ciclo de vida de desenvolvimento de software (no teste de desempenho antecipado shift-left), implementando-a durante o desenvolvimento, em vez de esperar pela implementação, ou pior, após realizá-la. É preciso tornar os desenvolvedores parte do processo em vez de adotar uma abordagem adversária. Assim, é necessário oferecer aos desenvolvedores a funcionalidade de autoatendimento para avaliar a segurança de uma pilha (estrutura stack) que eles estão prestes a implementar e fornecer as ferramentas para corrigir problemas automaticamente antes de entrarem em produção.

A nuvem é inerentemente mais segura

Na verdade, este não é realmente um mito, mas sim um factoide: um pouco de verdade e um pouco de falsidade, todos juntos. Os provedores de nuvem, geralmente, são mais confiáveis em tarefas como aplicar patches a servidores. Deixar essa tarefa para eles faz sentido e a confiança nos provedores de serviços em nuvem é merecidamente alta. No relatório The Egregious 11 , da Cloud Security Alliance (CSA), estão descritas as principais ameaças à computação em nuvem. As respostas de uma pesquisa recente mostraram uma queda significativa na classificação dos problemas tradicionais de segurança na nuvem sob a responsabilidade dos provedores de serviços em nuvem. As preocupações caíram tanto que a CSA optou por excluí-los do último relatório.

Proteger tudo em várias nuvens envolve proteger o acesso, gerenciar identidades e auditoria constante, para citar apenas alguns pontos. O aumento da dispersão de cargas de trabalho em várias nuvens públicas e privadas resulta na dificuldade de obter visibilidade e na falta de contexto de ponta a ponta em torno do risco. Esses desafios são exacerbados pelas lacunas de segurança inevitáveis com soluções diferente.

Além disso, as tecnologias serverless fragmentam suas aplicações em componentes menores que podem ser “chamados” (objeto callable). Essa mudança, somado ao uso de gatilhos baseados em eventos de diversas fontes (como armazenamento, filas de mensagens e bancos de dados), significa que os atacantes têm mais alvos e mais vetores de ataque.

O usuário deve desacelerar os desenvolvedores para estar seguro

Os desenvolvedores devem receber plug-ins que acionam controles de segurança e conformidade em cada etapa do processo de DevOps, expondo os resultados diretamente nas ferramentas que costumam usar para permitir a correção rápida do código vulnerável. Além disso, as etapas de correção devem ser automatizadas para corrigir problemas ou simplificar os processos de segurança. Assim, é importante permitir que os desenvolvedores façam seus trabalhos com segurança, sem adicionar atividades, fornecendo as ferramentas para automatizar tarefas e gerar permissões para funções serverless. Medidas devem ser tomadas para remover o atrito em vez de desacelerar as coisas.

A automação de segurança é ideal, tornando a supervisão humana antiga e desnecessária

Novamente, temos aqui um factoide que mistura verdade e ficção. O verdadeiro ideal de segurança é uma combinação de automação e supervisão humana.

O relatório 2020 State of Pentesting apontou sobre exames de quais vulnerabilidades de segurança de aplicações web podem ser encontradas de forma confiável usando máquinas em comparação com a experiência humana. “O estudo descobriu que tanto humanos quanto máquinas agregam valor quando se trata encontrar classes específicas de vulnerabilidades. Os humanos ‘vencem’ ao encontrar desvios de lógica de negócios, race conditions e exploits em cadeia”, de acordo com o relatório.

A segurança dos aplicativos SaaS é gerenciada pelo provedor e não requer sua atenção

Ao contrário do IaaS, os aplicativos SaaS realmente não exigem esforços para corrigir os servidores. Como usuário final, ele simplesmente concede acesso aos funcionários de sua organização e os deixa rodar.

No entanto, muitas aplicações SaaS necessariamente conterão informações confidenciais. Os usuários geralmente podem interagir com os arquivos, incluindo compartilhamento e configuração de acesso. E os usuários que concedem acesso a outras pessoas e não têm esse acesso rescindido quando deixam sua organização são, de fato, problemas de segurança que requerem sua atenção.

Buckets S3 são seguros por padrão

Como configuração padrão, os buckets (contêineres para objetos) do Amazon S3 são privados e só podem ser acessados por aqueles que receberam acesso. Então, sim, eles estão seguros. No entanto, assim como os cintos de segurança, eles não ajudam se não forem usados.

Além disso, muitas violações de dados resultam de configurações incorretas, como simplesmente tornar públicos os depósitos, ou outros erros, como armazenar senhas em texto não criptografado em depósitos do GitHub ou S3.

De acordo com o Relatório de Ameaças da Internet de 2019 da Symantec, em 2018 “(AWS)os buckets S3 surgiram como um calcanhar de Aquiles às organizações, com mais de 70 milhões de registros roubados ou vazados como resultado de configuração inadequada.”

Recipientes e funções serverless são inerentemente mais seguros

Os contêineres e as funções serverless são projetados para serem efêmeros e tendem a ter uma vida útil curta, o que fortalece a segurança. Os atacantes não conseguem alcançar facilmente uma presença de longo prazo em seu sistema.

Embora, em essência, essa afirmação seja verdadeira, o uso de gatilhos baseados em eventos de diversas fontes significa que os atacantes têm mais alvos e mais vetores de ataque. Configuradas corretamente, essas tecnologias nativas da nuvem podem ser absolutamente mais seguras, mas apenas se configuradas corretamente.

CVEs são as únicas vulnerabilidades com as quais é preciso se preocupar

Como já foi dito, a sofisticação crescente não é a razão para a maioria dos ataques bem-sucedidos. Portanto, é lógico ter foco na mitigação do risco dos vetores de ataque mais comuns.

No entanto, a escolha deliberada de negligenciar a segurança fora do escopo dos CVEs (Common Vulnerabilities and Exposures), por definição, levará a um risco maior. De acordo com um relatório da Balbix, um dos cinco tipos de vulnerabilidades que NÃO são CVEs incluem configurações incorretas, que, conforme declarado, são o motivo de muitas violações bem-sucedidas.

Como os pesquisadores quiseram mostrar, a segurança da nuvem está repleta de mitos, mas, após desvendá-los, é fácil descobrir os fatos e identificar as estratégias necessárias para transformar a segurança da sua empresa na nuvem.