Por que sua segurança na nuvem não está diminuindo e o que fazer a respeito

A Pesquisa de Segurança em Nuvem de 2019 do SANS Institute é preocupante (você precisará se inscrever para uma associação gratuita para lê-la). Escrito por Dave Shackleford em abril de 2019, o relatório apresenta alguns fatos e números decepcionantes. Por exemplo, alguém poderia pensar que, depois de todos os relatórios de violação recentes, seríamos melhores em proteger nossos recursos de nuvem. Mas não apenas ainda somos muito ruins, o grande problema nem é a tecnologia. Ainda são pessoas. Uma indicação clara disso aparece na lista do relatório dos principais tipos de ataques, começando com o seqüestro de contas ou credenciais, e o motivo número dois da configuração incorreta dos serviços e recursos da nuvem.

"O seqüestro de credenciais é uma metodologia de acesso comprovada porque você está atacando pessoas", disse Mike Sprunger, gerente sênior da consultoria de segurança na Insight Enterprises 'Security Consulting Practice. "As pessoas sempre serão o elo mais fraco, porque é aqui que você entra em muitos dos problemas tradicionais de engenharia social, como chamadas para o suporte técnico, phishing e spear phishing".

Obviamente, existem muitas maneiras pelas quais as credenciais podem ser roubadas, sendo o phishing simplesmente o mais recente e, em alguns casos, o mais difícil de lidar. Mas as credenciais também podem ser coletadas dos dados de outras violações simplesmente porque as pessoas reutilizam as mesmas credenciais onde podem, para que não se lembrem mais do que o necessário. Além disso, a prática consagrada pelo tempo de escrever informações de logon em notas adesivas e colá-las ao lado de um teclado ainda existe muito.

A configuração incorreta dos serviços em nuvem é outra área na qual as pessoas são o ponto fraco. A diferença aqui é que as pessoas saem e oferecem um serviço em nuvem sem ter idéia do que estão fazendo e depois o usam para armazenar dados sem protegê-lo.

"Primeiro, na adoção da nuvem, tem havido tanto sobre como é fácil levantar uma nuvem que existem expectativas irreais", explicou Sprunger. "As pessoas cometem erros, e não está claro o que você precisa fazer para definir a segurança em torno dos contêineres".

A imprecisão na segurança não é boa

Parte do problema é que os provedores de nuvem realmente não fazem um trabalho adequado para explicar como as opções de segurança funcionam (como descobri ao analisar recentemente as soluções de infraestrutura como serviço ou IaaS), então você precisa adivinhar ou ligar para o fornecedor para obter ajuda. Por exemplo, com muitos serviços em nuvem, você tem a opção de ativar um firewall. Mas descobrir como configurá-lo quando estiver em execução pode não ser claramente explicado. Em absoluto.

Esse problema é tão grave que Shackleford, autor do relatório SANS, inicia o relatório com uma lista de buckets desprotegidos do Amazon Simple Storage Service (S3) que resultaram em violações. "Para se acreditar nos números, 7% dos buckets S3 estão abertos ao mundo", escreveu ele, "e outros 35% não usam criptografia (que está embutida no serviço)". O Amazon S3 é uma excelente plataforma de armazenamento à medida que nossos testes terminam. Problemas como esses decorrem simplesmente de usuários que configuram incorretamente o serviço ou não sabem que existem certos recursos.

O abuso de uso privilegiado é o próximo da lista e é outro problema decorrente das pessoas. Sprunger disse que isso é mais do que apenas funcionários descontentes, embora os inclua. "Muito do que está faltando são terceiros com acesso privilegiado", explicou. "É muito mais fácil acessar o acesso à conta de serviço. Normalmente, é uma conta única com uma única senha e não há responsabilidade".

As contas de serviço geralmente são fornecidas para terceiros, geralmente vendedores ou contratados que precisam de acesso para fornecer suporte ou serviço. Era uma conta de serviço pertencente a uma empresa de aquecimento, ventilação e ar condicionado (HVAC) que era o ponto fraco que levou à violação da meta em 2014. "Essas contas normalmente têm privilégios divinos", disse Sprunger, acrescentando que são um alvo principal para atacantes.

Superando vulnerabilidades de segurança

Então, o que você faz sobre essas vulnerabilidades? A resposta curta é o treinamento, mas é mais complexo que isso. Por exemplo, os usuários precisam ser treinados para procurar e-mails de phishing, e esse treinamento precisa ser completo o suficiente para reconhecer sinais sutis de phishing. Além disso, ele precisa incluir as etapas que os funcionários devem tomar se suspeitarem que estão vendo um ataque desse tipo. Isso inclui como ver para onde realmente está indo um link em um email, mas também precisa incluir procedimentos para relatar esse email. O treinamento precisa incluir a crença de que eles não terão problemas por não agirem de acordo com instruções enviadas por email que pareçam suspeitas.

Da mesma forma, é necessário que exista algum nível de governança corporativa para que funcionários aleatórios não saiam e configurem suas próprias contas de serviço em nuvem. Isso inclui a observação de comprovantes de relatório de despesas para cobranças por serviços em nuvem em cartões de crédito pessoais. Mas isso também significa que você precisa fornecer treinamento sobre como lidar com a disponibilidade dos serviços em nuvem.

Lidando com abuso privilegiado de usuário

Lidar com abuso privilegiado de usuários também pode ser desafiador, porque alguns fornecedores insistirão no acesso com uma ampla gama de direitos. Você pode lidar com isso segmentando sua rede para que o acesso seja apenas ao serviço que está sendo gerenciado. Por exemplo, segmente-o para que o controlador HVAC esteja em seu próprio segmento, e os fornecedores encarregados de manter esse sistema só terão acesso a essa parte da rede. Outra medida que pode ajudar a conseguir isso é a implantação de um sistema robusto de gerenciamento de identidade (IDM), que não apenas manterá um melhor controle das contas, mas também quem as possui e seus privilégios de acesso. Esses sistemas também permitem suspender o acesso mais rapidamente e fornecer uma trilha de auditoria da atividade da conta. E enquanto você pode gastar muito dinheiro em um, você já pode ter um em execução se for uma loja do Windows Server com uma árvore do Microsoft Active Directory (AD) ativada.

• As melhores suítes de segurança em 2019 As melhores suítes de segurança em 2019
• Os melhores provedores de compartilhamento de arquivos e armazenamento em nuvem comercial para 2019 Os melhores provedores de compartilhamento de arquivos e armazenamento em nuvem comercial para 2019
• Os melhores serviços de backup em nuvem para empresas em 2019 Os melhores serviços de backup em nuvem para empresas em 2019

Você também pode precisar garantir que os fornecedores tenham acesso com menos privilégios, para que suas contas lhes concedam apenas direitos ao software ou dispositivo que estão gerenciando e nada mais - outro ótimo uso de um sistema IDM. Você pode solicitar que eles solicitem acesso temporário para qualquer outra coisa.

Esses são apenas os principais itens de uma lista bastante longa de problemas de segurança e vale a pena ler o relatório da pesquisa de segurança do SANS na íntegra. Sua lista fornecerá um roteiro de maneiras de abordar suas vulnerabilidades de segurança e ajudará você a realizar mais etapas que você pode executar. Mas o ponto principal é que, se você não estiver fazendo nada sobre os problemas relatados pelo SANS, sua segurança na nuvem fede e você provavelmente ficará preso em um turbilhão de falhas à medida que sua nuvem circula o ralo até atingir o máximo possível. violação.