A rápida adoção de serviços de computação em nuvem deu às empresas uma falsa sensação de segurança quando se trata de proteger seus dados.
A nuvem permitiu que as empresas lançassem e escalassem operações globalizadas em velocidades antes consideradas inimagináveis, ao limitar o investimento em recursos, aumentar as comunicações globais e fornecer tudo, desde serviços de computação até aplicativos totalmente funcionais como serviço. Como resultado dessa explosão tecnológica, novas ameaças online proliferaram, superando o desenvolvimento de soluções de segurança necessárias para combatê-las.
Novas ameaças e o surgimento da computação em nuvem
Após o surgimento da "Web 2.0" em meados dos anos 2000, a computação em nuvem e o poder da virtualização deram origem a qualquer coisa imaginável "como um serviço". Isso incluiu desde recursos brutos (IaaS) até aplicativos totalmente funcionais e nativos da nuvem entregues como um serviço em nuvem (SaaS).
Naturalmente, novos provedores de soluções de segurança surgiram, e os já existentes tiveram que se adaptar. Os dados mudaram de soluções locais para a nuvem, exigindo novas soluções de governança e proteção. A infraestrutura é gerida por provedores de serviços, o que requer que ambas as partes façam sua devida diligência. Aplicativos nativos da nuvem exigem novos tipos de firewalls e configurações de políticas de segurança.
A lista continua. Como resultado, o mercado de cibersegurança em nuvem está crescendo rapidamente. Em 2016, o tamanho do mercado de segurança em nuvem foi avaliado em menos de US$ 5 bilhões, de acordo com a Grand View Research. Até 2022, esse número deve atingir US$ 13 bilhões, segundo a MarketWatch.
Em 2018, a empresa média experimentou mais de 30 ameaças de segurança relacionadas à nuvem por mês, de acordo com a McAfee, um aumento de 27,7% em relação ao ano anterior. Isso inclui ameaças de atores de terceiros, ameaças internas e usuários privilegiados.
Riscos da computação em nuvem
Controle de acesso e ameaças internas
O controle de acesso baseado em nuvem refere-se à gestão de usuários autorizados a acessar sistemas e dados baseados em nuvem remotamente. Isso se tornou um enorme problema, já que os serviços baseados em nuvem são operados e acessados globalmente. Como resultado, as empresas devem rastrear quem acessa quais informações, gerenciar identidades e privilégios de usuários e monitorar atividades suspeitas. Operações de controle de acesso bem-sucedidas precisam combinar soluções focadas em autenticação e gestão de identidade.
As empresas que utilizam serviços em nuvem devem gerenciar consistentemente o acesso às informações armazenadas na nuvem, especialmente se essas informações forem consideradas sensíveis. Dados sensíveis devem ser criptografados, e as chaves criptográficas devem ser armazenadas com segurança enquanto as chaves de criptografia são rotacionadas.
Elas devem lidar com a gestão do ciclo de vida dos usuários autorizados. O software de gestão de acesso privilegiado ajuda a atribuir permissões a sistemas específicos para partes aprovadas. Por outro lado, as identidades devem ser desprovisionadas após a rescisão de acesso, comportamentos suspeitos ou incidentes de segurança.
Embora as chaves de segurança e a gestão de acesso possam parecer óbvias, pode ser fácil para indivíduos rotular incorretamente dados ou esquecer de proteger informações. Foi assim que o Facebook vazou milhões de números de telefone em agosto. A empresa deixou arquivos contendo dados sensíveis em um servidor que não estava protegido por senha, muito menos criptografado. Exigir autenticação multifator para a maioria dos pontos de acesso é uma solução fácil; no entanto, isso pode não ser ideal para todos.
Configurações incorretas e violações de dados
O recente incidente do Facebook foi provavelmente o resultado de servidores antigos que foram mal geridos e esquecidos. No entanto, muitas violações de dados maiores resultam da configuração incorreta de mecanismos de segurança. Hackers e outros cibercriminosos usam essas configurações incorretas para escalar seus privilégios e acessar dados sensíveis e informações privadas.
Foi exatamente isso que aconteceu com o Capital One em julho de 2019. Um ex-funcionário da AWS aproveitou uma configuração incorreta de um firewall de aplicativo web para obter escalonamento de privilégios. Como resultado, informações sensíveis relacionadas a mais de 100 milhões de pessoas nos Estados Unidos e cerca de 6 milhões de canadenses foram divulgadas.
No início deste ano, a McAfee entrevistou 1.000 empresas sobre configurações incorretas. Eles descobriram que 99% das configurações incorretas passam despercebidas. Apesar de as empresas relatarem uma média de 37 incidentes de configuração incorreta por mês, os dados do mundo real da McAfee sugerem que o número está mais próximo de 3.500 incidentes por mês.
Embora a responsabilidade pertença, em última análise, àqueles que usam serviços em nuvem, garantir a configuração adequada é possível usando soluções como gestão de políticas de segurança de rede e software geral de gestão de configuração. Muitos desses são nativos da nuvem e são projetados para identificar configurações incorretas comuns e impor políticas de segurança em nuvem rigorosas.
Integrações e segurança de API
Os provedores de serviços em nuvem geralmente fornecem interfaces de programação de aplicativos (APIs) para seus clientes gerenciarem e interagirem com seus serviços. Sem essas, seus clientes não seriam capazes de usar, gerenciar ou monitorar quaisquer serviços em nuvem. Eles também podem usar uma interface baseada em software para servir ao mesmo propósito.
Essas APIs podem ser voltadas para o público e fornecer endereço IP para partes fora da rede segura de uma empresa. Isso as torna um alvo facilmente identificável e uma prioridade de segurança importante. Como o software, elas podem conter vulnerabilidades.
Por exemplo, uma vulnerabilidade com o nível de gravidade mais alto possível foi descoberta na API REST da Cisco em agosto. O bug permitiu que hackers explorassem uma série de vários roteadores Cisco, já que eles facilmente contornaram a autenticação e puderam obter controle total sobre o dispositivo.
Falhas em aplicativos nativos da nuvem
Vulnerabilidades em aplicativos podem expor empresas a qualquer número de ameaças de segurança. Aplicativos nativos da nuvem permanecem vulneráveis às mesmas ameaças que os aplicativos tradicionais, bem como a novas devido ao aumento da superfície de ataque inerente à nuvem.
Empresas que entregam aplicativos alimentados por provedores de infraestrutura de terceiros devem garantir que seu aplicativo esteja livre de vulnerabilidades, que suas APIs de gestão sejam seguras e que os mecanismos estejam configurados corretamente.
Sem políticas de segurança adequadas, hackers podem explorar vulnerabilidades do sistema para roubar informações, travar aplicativos ou controlar dispositivos. Uma vez comprometido, um aplicativo vulnerável pode liberar informações confidenciais armazenadas ou integradas nele.
Outra tendência emergente na computação em nuvem, aplicativos baseados em contêiner, pode se tornar o próximo grande alvo. Felizmente, como escrevi no mês passado, o mercado de segurança de contêineres está se expandindo e evoluindo rapidamente para ajudar a enfrentar problemas relacionados a contêineres com tudo, desde detecção de anomalias baseada em IA até a aplicação de políticas de segurança distribuídas no nível do aplicativo.
Conformidade contínua
Por último, mas não menos importante, está a conformidade em nuvem. É uma ameaça tanto para a segurança de um negócio quanto para seu bolso — sem mencionar os clientes que confiam nas empresas para proteger seus dados.
De acordo com a McAfee, 21% de todos os arquivos na nuvem contêm dados sensíveis. É por isso que regiões, países e estados tomaram medidas para proteger a privacidade de seus cidadãos. Devido às regulamentações de privacidade de dados em nuvem, dados sensíveis podem precisar ser tratados de maneira diferente em várias jurisdições.
Essas regulamentações incluem o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia e a Lei de Privacidade do Consumidor da Califórnia (CCPA), que entra em vigor em 1º de janeiro de 2020. As leis de proteção ao consumidor relacionadas a dados em nuvem exigem coisas como controle de acesso, portabilidade de dados, criptografia em repouso e consentimento do cliente. Muitas também exigem que as empresas entreguem as informações que coletaram sobre os consumidores quando solicitado.
Felizmente, as soluções de conformidade em nuvem são projetadas para garantir que todos os requisitos relevantes de proteção ao consumidor sejam atendidos. Esses produtos identificam recursos em ambientes de nuvem e TI, centralizam a governança, avaliam riscos e aplicam políticas alinhadas com regulamentações governamentais e do setor.
Soluções de privacidade de dados e segurança centrada em dados têm se expandido em popularidade. Ferramentas de privacidade de dados são tipicamente usadas para garantir a visibilidade de informações sensíveis e sua entregabilidade aos clientes. Ferramentas de segurança centrada em dados são projetadas para ajudar a descobrir dados sensíveis enquanto auditam continuamente bancos de dados e investigam recursos em busca de informações sensíveis que possam estar expostas.
Usar essas ferramentas ajuda as empresas a evitar penalidades severas, como a multa de €50 milhões que o Google teve que pagar à União Europeia por não cumprir as obrigações do GDPR. O Google poderia ter evitado essas multas informando adequadamente os consumidores sobre como seus dados são usados e dando mais transparência sobre suas políticas de consentimento de dados.
Embora existam muitos riscos associados à computação em nuvem, ela não vai desaparecer. As empresas devem, em geral, aceitar a ideia de que a transformação digital entrou em uma nova era de computação em nuvem e relações com o consumidor regidas por dados, privacidade e transparência.
Líderes empresariais que gerenciam informações online devem se educar continuamente sobre ameaças e regulamentações emergentes. Se falharem, não conseguirão proteger as informações de seus clientes, resultando em multas pesadas e, pior, na perda da confiança dos clientes.
Quer aprender mais sobre Ferramentas de Gerenciamento de Configuração? Explore os produtos de Gerenciamento de Configuração.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
