Um ou dois fatores de risco combinados causam severas implicações de segurança para uma organização com ambiente baseado em nuvem – imagine então os prejuízos aos negócios que uma trilogia de combinações tóxicas em nuvem pode implicar!
Sobre esse tema, a pesquisa “Tenable Cloud Risk Report 2024” examinou os riscos críticos presentes em ambientes de nuvem e constatou que 38% das organizações que levaram suas aplicações e dados para cloud possuem uma “tríade tóxica”. Ou seja, três importantes desalinhamentos de segurança que induzem riscos aos dados na nuvem e, quando combinados, potencializam drasticamente a probabilidade de exposição e o acesso de cibercriminosos.
Apesar de alarmante, grande parte desse tipo de risco pode ser evitado. O perigo está nas lacunas por onde os invasores se movimentam, navegando com agilidade entre abordagens desatualizadas e incompletas que não são percebidas. A tríade tóxica revelada pela pesquisa da Tenable é composta por itens que são ou estão:
– Expostos publicamente: 74% das organizações têm ativos de armazenamento expostos publicamente, incluindo dados confidenciais. Isso acontece muitas vezes devido às permissões desnecessárias ou excessivas – o que tem sido associado ao aumento de ataques de ransomware. Em muitos casos a empresa nem sabe que seus dados estão expostos. Por isso, a necessidade de uma análise dos ativos públicos – a fim de garantir que essa exposição seja necessária e não comprometa as informações confidenciais ou a infraestrutura crítica.
– Criticamente vulneráveis: nessa pesquisa 80% das cargas de trabalho continham com brechas críticas de segurança sem correção. Iniciativas de correção nas vulnerabilidades de alto risco, especialmente as com altas pontuações (Vulnerability Priority Rating – VPR), devem ser priorizadas nas empresas.
– Acessos privilegiados: uma análise da Amazon Web Services (AWS), junto com do Google Cloud Platform (GCP) e da Microsoft Azure, revelou que 23% das identidades na nuvem, tanto humanas quanto não humanas, têm permissões excessivas críticas ou de severidade alta. Neste caso, auditar e ajustar regularmente estas permissões de identidades (humanas e não humanas) com objetivo de seguir o princípio de privilégios mínimos – pode ser uma alternativa eficaz de mitigação de riscos.
A segurança na nuvem é um elemento fundamental ao sucesso empresarial, pois nos últimos anos, a computação em nuvem se consolidou como a solução preferida para muitas empresas que buscam escalabilidade, flexibilidade e, sobretudo, redução de custos. Mas recentemente a preocupação com a segurança vem aumentando – assim como as preocupações com a gestão desse ambiente e custos, pois as empresas têm percebido que, especialmente para cargas de trabalho não modernas, a nuvem pode se tornar significativamente mais cara do que o esperado. Além dos custos, os riscos de segurança e expectativas não atendidas também têm levado empresas a reconsiderar suas estratégias de nuvem.
A segurança continua sendo uma preocupação crescente para muitas organizações de setores altamente regulados como Financeiro, Saúde etc. Ainda, vulnerabilidades, ataques cibernéticos e a complexidade de gerenciar a segurança em ambientes de nuvem híbrida, podem levar a falhas que as empresas não estão dispostas a arriscar.
Portanto, compreender as tríades tóxicas na nuvem e outras combinações – é fundamental para lidar com as exposições prioritárias de forma eficaz.
Alejandro Dutto, diretor de Engenharia de Segurança da Tenable para América Latina e Caribe.