Crescimento da nuvem leva cibercriminosos a aumentar esforços contra aplicações sem segurança adequada
O mais recente estudo “Cloud and Threat Report” da Netskope datado de julho de 2021 revelou que nos últimos 18 meses o uso de aplicações de nuvem disparou. Organizações que têm de 500 a 2000 funcionários estão usando agora 805 aplicações em nuvem diferentes, o que significa um nível impressionante de novos riscos para os CISOs administrarem.
O crescimento da utilização da nuvem fez também com que os criminosos cibernéticos elevassem seus esforços maliciosos com foco em aproveitar oportunidades para roubos de dados em aplicações sem segurança adequada. Além disso, o desafio pode parecer insuperável, uma vez que os colaboradores trazem aplicações de nuvem não homologadas para as empresas mais rapidamente do que a velocidade de bloqueio, mas existem soluções.
Seguem cinco dicas para que possam ter um controle sobre a segurança na nuvem:
Com a proliferação da nuvem em toda a organização, as equipes de segurança precisam fazer parcerias estreitas com a TI e garantir que a segurança nunca seja uma consideração de última hora. Muitas organizações já estão reestruturando e combinando equipes, nas quais TI e segurança ficam lado a lado com KPIs compartilhados.
A maioria das organizações percebe as limitações de suas arquiteturas baseadas em dispositivos no momento em que tentam proteger dados, aplicações e usuários que estejam fora de seu perímetro e sua segurança deverá ser mantida onde quer que estejam.
Esta abordagem é chamada estratégia de Secure Access Service Edge (SASE); que coloca a segurança na nuvem, tornando-a integral à arquitetura de TI, e executa controles in-line. Ao adotar esta arquitetura de segurança, não será necessário construir e personalizar novos controles de segurança para aplicações em nuvem uma a uma.
Quando se reconhece que os dados não são mais estáticos, mas que se movem ao redor de serviços em nuvem de terceiros, torna-se clara a necessidade do CISO ter uma compreensão dos fluxos de dados de sua organização. Além disso, ele deve conhecer os movimentos, ter visibilidade das categorias de dados em jogo e entender o perfil da aplicação na nuvem, para poder decidir quais controles serão necessários.
Uma visão de segurança centrada em dados faz sentido quando se considera que a regulamentação e os cálculos de riscos são também centrados em dados. Um ponto mais crítico é quando se está navegando em áreas como o modelo de responsabilidade compartilhada, ou avaliando o risco de supply chain. As organizações devem realizar avaliações contínuas de segurança com base em seus fluxos de dados.
A adoção da nuvem tornou mais urgente do que nunca que as organizações avaliem o risco de supply chain e as garantias de parceiros. Este fato tem ligação com a recomendação anterior sobre a compreensão dos fluxos de dados (saber exatamente onde estão hospedados e quais são suas responsabilidades), mas também vai mais além – especificamente ao aproveitar ao máximo as oportunidades de integração e análise que vêm com a nuvem.
Estas integrações tendem a ser construídas com base em APIs (interface de programação de aplicação) e são muito fáceis de serem configuradas. Entretanto, os appliances de segurança legados não entendem as APIs. A tendência é que eles entendam apenas a linguagem da web e os protocolos tradicionais de rede e não conseguem rastrear ou vigiar os serviços de nuvem, por isso a proteção tem de estar no mesmo local.
As arquiteturas de nuvem estão mudando o conceito de um perímetro seguro em torno dos dados e TI de uma organização, e nesse contexto o modelo Zero Trust Network Access (ZTNA) torna-se importante. Por meio dessa arquitetura o CISO não permite o acesso a ninguém, nenhum dispositivo ou qualquer serviço em nuvem sem que haja uma série específica de credenciais de segurança autenticadas. Os dados são muito valiosos para que se possa assumir suposições de autenticidade.
Uma solução Zero Trust (ZTNA) faz uma diferença imediata no nível de segurança inerente dentro de uma rede tradicional ou arquitetura de nuvem e deve ser considerada como um componente chave, à medida que as organizações migram ainda mais para o mundo da nuvem.
Basta um simples erro ou má configuração para expor passivamente dados sensíveis ou regulamentados, e os criminosos cibernéticos trabalham arduamente para tornar suas armadilhas mais difíceis de serem descobertas por funcionários comuns. Eles até usam os mesmos serviços de nuvem de confiança em sua arquitetura de ataque, concedendo-lhes a familiaridade de uma URL amigável. Vale destacar que 36% das campanhas de phishing em 2020 tiveram como alvo principal as credenciais de aplicações em nuvem.
Para mitigar os riscos de ataques, a conscientização é o primeiro passo, mas o objetivo precisa ser o engajamento, para que cada um dos colaboradores assuma um papel de reponsabilidade e possa se sentir um membro da equipe de segurança da organização.
Se a nuvem é adotada na empresa por meio de grandes projetos de transformação comercial, ou através de um aplicativo baixado para um dispositivo não gerenciado, esse fato não pode ser ignorado pelas equipes de segurança. A adoção de uma estratégia SASE – com princípios fortes de Zero Trust – é a melhor maneira de garantir que a nuvem permaneça uma força positiva dentro de uma organização, e garanta ao CISO uma noite de sono tranquilo.
* Neil Thacker é CISO da Netskope para EMEA
