Por Juan Carlos Zevallos, IBM Security Manager em América Latina
As empresas embarcam sua jornada de tecnologia para a nuvem híbrida pelas razões certas: para alcançar dinamismo, diversificação, inovação, flexibilidade e velocidade em seus negócios. É por isso que hoje 95% das empresas no Brasil [1] a utilizam, transformando a nuvem híbrida na arquitetura tecnológica dominante. Com diversas ferramentas, serviços e nuvens de vários fornecedores, pode-se dizer que as empresas têm um “Frankenstein” tecnológico. E nessa complexidade reside o desafio da segurança.
Segundo o relatório Cloud Threat Landscape 2023, a equipe IBM X-Force rastreou quase 3.900 vulnerabilidades relacionadas à nuvem, uma quantidade que dobrou desde 2019. O relatório também revelou que, enquanto os cibercriminosos procuram constantemente melhorar a sua produtividade, eles não se apoiam exclusivamente na sofisticação para conseguir isso. Eles continuam a usar táticas simples, mas confiáveis, que oferecem facilidade de uso e muitas vezes acesso direto a ambientes privilegiados.
Os criminosos continuam a tecer teias de aranha para obter credenciais legítimas de acesso (usuários e senhas) e entrar nas organizações. De fato, o uso indevido de credenciais com permissões excessivas foi a principal causa de incidentes de segurança na nuvem que a X-Force respondeu em todo o mundo. Quando a nuvem faz parte da superfície de ataque, as credenciais comprometidas poderiam até mesmo ser usadas para acessar as tecnologias sem gerar níveis apropriados de suspeita ou detecção.
Considerando que na América Latina 43% de vazamentos de dados na nuvem híbrida resultam em perda de informação, estas são três recomendações para as empresas identificarem lacunas na nuvem:
Repensar a identidade e os controles de acesso
É fundamental ter controles suficientes para garantir que “os usuários são quem eles afirmam ser”. Modernizar o gerenciamento de acesso (IAM), fortalecer as políticas e práticas de controle de acesso, estabelecer princípios de privilégio mínimo e aumentar os requisitos de autenticação de múltiplos fatores para contas privilegiadas são alguns grandes passos. As capacidades de IA também ajudam a examinar identidades digitais, detectar comportamentos anormais e verificar a ‘legitimidade’ dos usuários.
Conhecer a superfície de ataque
Como não se sabe o que não se conhece, as organizações tendem a ser mais expostas do que percebem. Gerenciar a superfície de ataque é uma forma de entender a soma de vulnerabilidades, rotas ou métodos que os cibercriminosos podem usar para obter acesso não autorizado às organizações para realizar um ciberataque. Essa é a maneira de descobrir toda a extensão da tecnologia de uma empresa na sombra para ver os fantasmas.
Testar a postura de segurança
Simular ataques usando cenários baseados em nuvem é um bom exercício para treinar e praticar uma resposta eficaz a incidentes. Isso deve ir da mão dos testes de penetração para encontrar e corrigir as falhas que podem expor a nuvem para os invasores. Os testes manuais podem ajudar a descobrir falhas que ferramentas sozinhas não podem encontrar, como as configurações incorretas ou os privilégios excessivos.
Talvez, a pergunta que muitos podem fazer é: por que os cibercriminosos optam por atacar a nuvem? As razões podem variar. No entanto, algumas incluem mineração de criptomoedas. Por exemplo, aqueles por trás dessa modalidade veem na nuvem os recursos para mineração que, de outra forma, seriam muito caros, levando o custo para as empresas. Além disso, se a nuvem receber um monitoramento menos abrangente, o malware pode funcionar por mais tempo antes de ser detectado e removido.
E tudo começa principalmente com as credenciais legítimas que são comprometidas, que são a máquina de fazer dinheiro da dark web e são vendidas pelo preço de uma dúzia de pães franceses. É claro que este é um vetor de ameaça “ativo” e é imperativo que as organizações sejam capazes de enfrentá-lo. Por isso, conhecer antecipadamente a rota e o possível destino dos cibercriminosos pode evitar muitas dores de cabeça. “Quem pensa que não é atacado não está procurando o suficiente.”
[1]IBM & Oxford Economic: Cloud’s next leap