Mover cargas de trabalho para a nuvem levou as organizações (e administradores de TI) a perder o controle sobre as cargas de trabalho e abrir mão de muitos aspectos críticos da cibersegurança. Como resultado, o que é considerado “dentro” em um mundo baseado no local, de repente está “fora” em uma infraestrutura em nuvem hospedada publicamente. Os hackers podem ter acesso semelhante a cargas de trabalho hospedadas publicamente como administradores de TI usando métodos de conexão padrão, protocolos e APIs públicas. Como resultado, o mundo inteiro se torna uma ameaça interna. A segurança da carga de trabalho, portanto, é definida pelas pessoas que podem acessar esses workloads e as permissões que possuem.
O problema está na praticidade e flexibilidade associadas aos ambientes de nuvem. Os administradores de nuvem frequentemente concedem permissões extensas a grupos de usuários para permitir que eles realizem tarefas sem dificuldades. Na prática, a maioria dos usuários usa apenas uma pequena parte das permissões concedidas a eles e não precisam de todas elas para fazer seu trabalho. Isso representa uma lacuna de segurança séria, pois se essas credenciais de usuário algum dia caíssem em mãos mal-intencionadas, os invasores teriam amplo acesso a dados e recursos confidenciais. De acordo com o relatório "Gerenciamento de Acesso Privilegiado em Infraestrutura de Nuvem" da Gartner, até 2023 - 75% das falhas de segurança em nuvem serão atribuídas ao gerenciamento inadequado de identidades, acesso e privilégios.
Nº 1 Não entender a Diferença Entre as Permissões USADAS e CONCEDIDAS
80% das permissões excessivas são baseadas em funções. Em um ambiente de nuvem onde os recursos são hospedados "fora" da organização, as permissões de acesso à rede definem a superfície de ameaça da organização.
Permissões desnecessárias derivam da lacuna entre o que os usuários precisam para fazer seu trabalho e o que eles têm em termos de permissões. Em outras palavras, é a lacuna entre as permissões definidas e as usadas. A diferença entre as duas é a superfície de ataque da sua organização.
Entender a diferença entre as permissões USADAS e CONCEDIDAS é um dos maiores pontos cegos que levam a uma violação de dados. Por isso é importante monitorar e analisar constantemente essa lacuna para garantir que ela seja a menor possível e, consequentemente, que sua superfície de ataque seja igualmente pequena.
Nº 2 Seu problema não é a detecção. É a correlação
Os alertas de cibersegurança se tornaram o exemplo de um “alarme falso”. De acordo com diversos relatórios de terceiros, o centro de operações de segurança lida em média lida com aproximadamente 10.000 alertas por dia.
A sobrecarga de alertas é uma das principais causas de alertas ignorados e, como resultado, alertas indicativos de atividades potencialmente maliciosas são perdidos nesse mar de avisos, levando a uma violação de dados.
Focar nos alertas que mais importam é um dos maiores pontos cegos de segurança em nuvem que as organizações têm atualmente. Suas equipes de segurança crítica têm uma visão unificada em vários ambientes de nuvem e contas com pontuação de alerta embutida para uma priorização eficiente.
[Gostou dessa publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo premium da Radware.]
Nº 3 Falta de capacidade para conectar os pontos
Violações de dados não acontecem instantaneamente; elas se desenvolvem com o tempo. Elas são um longo processo de tentativa e erro do invasor, compreendendo várias pequenas etapas e atividades enquanto o invasor tenta obter acesso a dados confidenciais.
Essas pequenas etapas e atividades, muitas das quais são eventos de baixa ou média prioridade, são frequentemente esquecidas. Para piorar as coisas, o tempo médio para uma violação de dados é de seis meses. Portanto, mesmo que eventos individuais sejam detectados, eles são frequentemente esquecidos quando o próximo evento relacionado é detectado; os “pontos” nunca são detectados.
[Você também pode se interessar por: Distribute Application Workloads Across Multiple Clouds & Data Centers] (Distribua cargas de trabalho de aplicativos em multinuvens e data centers)
A capacidade de correlacionar eventos/alertas individuais ao longo do tempo em um “enredo” de ataque é um dos maiores pontos cegos da segurança em nuvem que as organizações têm e é fundamental para impedir uma violação de dados antes que ela aconteça.
Baixe a Série 1 do Hacker’s Almanac 2021 da Radware.