Explicação das vulnerabilidades comuns Cloud e dos riscos de segurança

As vulnerabilidades Cloud são pontos cegos de segurança ou pontos de entrada que podem ser explorados por actores maliciosos.

Ao contrário dos ambientes tradicionais, em que as vulnerabilidades podem ser mais frequentemente encontradas ao nível do perímetro (como as firewalls), as vulnerabilidades da nuvem podem ter origem em vários espaços, como configurações incorrectas, controlo de acesso, um modelo de responsabilidade partilhada indefinido, Shadow IT, etc.

Um ambiente de nuvem está inerentemente interligado com vários utilizadores, parceiros, aplicações e fornecedores.

Uma superfície de ataque tão ampla significa que os activos da nuvem estão expostos a ameaças provenientes de sequestros de contas, infiltrados maliciosos, sequestros de contas, má gestão de identidades e credenciais e APIs inseguras.

Uma diferença óbvia entre ameaças e vulnerabilidades reside na sua urgência.

Se uma vulnerabilidade representa uma fraqueza existente no limbo, à espera de ser explorada, então a ameaça é um acontecimento malicioso ou negativo que normalmente ocorre no momento presente, exigindo uma intervenção urgente.

Em seguida, a vulnerabilidade é o que expôs pela primeira vez a organização a ameaças de segurança na nuvem.

Por exemplo, as configurações incorrectas da nuvem representam uma vulnerabilidade, que pode resultar em controlos de acesso fracos, conduzindo finalmente à ameaça de um ciberataque.

Em suma, a vulnerabilidade é uma fraqueza e uma ameaça é a ação ou evento potencial que pode explorar essa fraqueza. Se a nuvem fosse uma porta trancada, a vulnerabilidade seria uma fechadura com um ponto fraco, e a ameaça seria alguém forçando a abertura.

No seu núcleo, as infra-estruturas de nuvem são construídas em várias camadas e componentes; podem existir vulnerabilidades em todas as camadas.

Uma consequência direta de definições incorrectas ou demasiado permissivas, as configurações incorrectas tornam um sistema menos seguro do que deveria ser. Podem ocorrer em contentores baseados na nuvem (como baldes S3 mal configurados), firewalls ou máquinas virtuais não corrigidas.

Exemplos de configurações incorrectas incluem o acesso público de leitura e escrita quando deveria ser privado, permissões desactualizadas ou não corrigidas, ou mesmo a falta de definições de encriptação.

As configurações incorrectas podem ocorrer devido a erro humano, falta de conhecimento ou scripts de automatização mal escritos e conduzir a perdas ou fugas de dados, danos na reputação em caso de ataque e incumprimento das normas regulamentares.

Foi o caso da CapitalOne em 2019, quando um firewall de aplicativo da web mal configurado permitiu o acesso não autorizado a um bucket S3 contendo dados confidenciais (incluindo números de previdência social) de mais de 100 milhões de clientes. A CapitalOne teve de pagar uma penalização de 80 milhões de dólares, devido à violação.

Por definição, os ambientes de nuvem são rápidos, descentralizados e, muitas vezes, não são totalmente controlados pelas equipas de segurança, pelo que se verifica uma certa falta de visibilidade.

Isto pode acontecer porque os fornecedores apenas oferecem ferramentas básicas de visibilidade, sendo que uma monitorização mais profunda implica um custo adicional, ou porque as equipas dentro de uma organização estão sobrecarregadas e não têm as competências adequadas específicas da nuvem necessárias para monitorizar verdadeiramente a infraestrutura.

A tendência das organizações para privilegiar a rapidez em detrimento da segurança é também um fator que contribui para isso.

No entanto, quando a visibilidade parece ser um custo e não um fator de valor, os adversários podem penetrar numa infraestrutura de nuvem e passar despercebidos durante um período de tempo mais longo.

Com tantas ferramentas, painéis de controlo e registos dentro de uma rede em nuvem, é difícil correlacionar e obter informações acionáveis sobre o que está a acontecer.

A gestão do acesso define que utilizador ou aplicação pode aceder a um ativo da nuvem.

Envolve a gestão de identidades digitais e o controlo do acesso a serviços, aplicações e dados na nuvem.

É necessário estabelecer alguns limites e restrições para garantir que as informações sensíveis não vão parar a mãos autorizadas. Num mundo em que as aquisições de contas estão a afetar mais de 77 milhões de pessoas só nos EUA, algumas práticas tornam-se fundamentais:

• Implementar a MFA (autenticação multi-fator)
• Aplicar o princípio do acesso com privilégios mínimos (conceder acesso apenas se for necessário para a tarefa)
• Utilizar o controlo de acesso baseado em funções para gerir o acesso com base nas funções do posto de trabalho

Caso contrário, as organizações arriscam-se a sofrer violações de dados, incumprimento de regulamentos e perturbações operacionais.

Os atacantes podem penetrar num sistema através de uma conta desviada e explorar políticas de acesso deficientes, podem passar para recursos ou sistemas de nível superior; o objetivo é obter mais controlo sobre o sistema e potencialmente causar danos significativos.

Dentro de uma infraestrutura de nuvem, a API pode permitir que diferentes sistemas, serviços ou aplicações interajam com o ambiente de nuvem.

O que significa que as API podem controlar o acesso a dados, infra-estruturas e funcionalidades.

Uma API insegura pode significar que não requer um utilizador ou token válido para aceder à mesma, que concede mais acesso do que o necessário ou que regista dados sensíveis.

Se as API estiverem mal configuradas ou expostas, os atacantes acedem aos dados (informações do utilizador, finanças, registos de saúde), mesmo sem credenciais completas.

Foi o que aconteceu em 2021, quando uma vulnerabilidade na API da Pelotonpermitiu que qualquer pessoa acedesse aos dados da conta do utilizador, mesmo para perfis privados. Descoberta pela Pen Test Partners, a falha permitia a passagem de pedidos não autenticados, expondo detalhes como idade, sexo, localização, peso, estatísticas de treino e aniversários.

O acesso a uma base de dados tão complexa poderia ter-se transformado em ataques de doxxing, roubo de identidade ou engenharia social.

A TI sombra refere-se à utilização de software, hardware ou outros sistemas de TI numa organização sem o conhecimento, a aprovação ou o controlo do departamento de TI ou de segurança.

Quer por conveniência, quer por malícia, os funcionários podem procurar outras ferramentas para além das oficialmente fornecidas, introduzindo riscos significativos de cibersegurança na organização.

Na prática, as TI-sombra podem ser assim:

• Um funcionário que carrega documentos de engenharia sensíveis para o armazenamento pessoal na nuvem.
• Alguém que utilize ferramentas de acesso remoto não autorizadas (como o AnyDesk) para resolver problemas em sistemas industriais ou aceder a ambientes SCADA em infra-estruturas críticas.
• Realização de videochamadas através de plataformas não aprovadas (como o WhatsApp) em vez da norma da empresa.

Em infra-estruturas críticas ou ambientes de alta segurança, a TI sombra pode criar pontos cegos perigosos - abrindo caminhos para a fuga de dados, introdução de malware ou não conformidade regulamentar.

Os insiders maliciosos, negligentes ou comprometidos podem ser mais difíceis de detetar devido à natureza de confiança do utilizador ou do sistema envolvido.

Os potenciais danos causados por estas pessoas podem conduzir a violações de dados, interrupções de serviços, violações regulamentares e perdas financeiras.

Uma vulnerabilidade de dia zero é uma falha de segurança previamente desconhecida que não tem correção disponível no momento da descoberta e que pode ser explorada antes de o fornecedor ter conhecimento da mesma.

Em ambientes de nuvem, isto inclui vulnerabilidades em APIs de plataformas de nuvem, sistemas de orquestração de contentores, aplicações SaaS ou cargas de trabalho alojadas na nuvem.

A natureza dinâmica, interligada e multi-tenant da nuvem permite que as falhas se espalhem rapidamente e afectem muitos recursos, enquanto os utilizadores não têm a visibilidade necessária da infraestrutura para uma deteção rápida.

Além disso, a aplicação de patches nos sistemas em nuvem pode levar tempo, aumentando a janela de exposição a Zero-Days.

A partir de 2023, a prevenção da configuração incorrecta da nuvem tem sido uma das principais preocupações de mais de metade das empresas, de acordo com este relatório, demonstrando a gravidade das suas possíveis consequências.

Uma das consequências mais nefastas das vulnerabilidades da nuvem é a exposição ou perda de dados sensíveis.

As organizações recorrem frequentemente a soluções de armazenamento na nuvem para manter os seus registos de clientes, informações proprietárias ou dados operacionais.

Assim, uma violação pode significar o roubo de identidades pessoais, informações financeiras, propriedade intelectual ou mesmo segredos comerciais.

Para além dos efeitos imediatos, estes incidentes podem também conduzir a danos a longo prazo na reputação e a uma quebra da confiança dos clientes.

As pessoas afectadas podem abandonar os serviços e os parceiros podem reconsiderar as relações comerciais.

Mesmo que a violação seja rapidamente contida, o custo da investigação, da correção, da notificação do cliente e de potenciais acções judiciais pode ascender a milhões de dólares, sem contar com os custos de oportunidade da perda de produtividade e da erosão da marca.

A maioria das indústrias é regida por estruturas de conformidade rigorosas - como o GDPR, HIPAA, PCI DSS ou CCPA - que decidem como os dados devem ser armazenados, acedidos e protegidos.

Quando as vulnerabilidades conduzem a um acesso não autorizado ou a um controlo inadequado dos dados sensíveis, as empresas correm o risco de ser consideradas em violação destas leis. Os reguladores podem impor coimas substanciais, iniciar processos legais ou impor restrições operacionais.

Por exemplo, em jurisdições como a União Europeia, as penalizações ao abrigo do RGPD podem atingir até 4% da receita global anual, transformando mesmo um único incidente num evento de alto risco.

As vulnerabilidades Cloud já existem há tempo suficiente para que as organizações possam desenvolver metodologias inteiras concebidas para mitigar os riscos de vulnerabilidade.

As infra-estruturas Cloud são altamente dinâmicas, uma vez que são implementados novos serviços e são adicionadas integrações regularmente.

Cada uma destas alterações introduz a possibilidade de configuração incorrecta ou exposições, tornando a avaliação de vulnerabilidades uma tarefa contínua.

Mesmo quando as organizações identificam vulnerabilidades e começam a aplicar correcções, alguns sistemas podem não funcionar corretamente com as versões actualizadas.

Nesses casos, certas vulnerabilidades devem permanecer para a continuidade operacional, o que torna essencial a sua gestão.

As equipas de segurança necessitam de uma abordagem estruturada para documentar estas excepções, avaliar os riscos associados e aplicar estratégias de controlo adequadas, como isolar a vulnerabilidade da rede.

A CSPM envolve a análise da infraestrutura para detetar configurações incorrectas, violações de políticas e controlos de acesso demasiado permissivos.

Em vez de se centrar nas falhas de software, o CSPM aborda os riscos de arquitetura e configuração (baldes S3 mal configurados, armazenamento não encriptado ou transferências IAM) que podem levar à exposição de dados ou a falhas de conformidade.

O CSPM oferece visibilidade em tempo real dos ambientes de nuvem, verificações automatizadas em relação a estruturas de conformidade (como CIS, PCI ou GDPR) e alertas sobre configurações incorretas.

As plataformas CNAPP melhoram a segurança na nuvem e unificam várias camadas de proteção, combinando a gestão da postura de segurança Cloud , as plataformas de proteção de carga de trabalho Cloud (CWPP) e a gestão de vulnerabilidades num único quadro.

Oferecem uma visão mais profunda de todo o ciclo de vida da aplicação, desde a configuração da infraestrutura até ao comportamento da carga de trabalho e ameaças em tempo de execução.

As CNAPPs podem integrar-se noutras ferramentas de segurança, incorporando a deteção baseada no anfitrião, a monitorização comportamental e a análise de vulnerabilidades diretamente em máquinas virtuais, contentores e ambientes sem servidor.

Em ambientes locais, as vulnerabilidades apareceriam muito provavelmente ao nível do perímetro; a fronteira entre a rede interna e segura da organização e a rede externa, muitas vezes não fiável.

As lacunas de segurança no local podem significar software desatualizado, servidores mal configurados, falhas de hardware e até violações da segurança física.

No entanto, em ambientes de nuvem, as firewalls e as redes já não formam um perímetro estável, uma vez que a identidade se torna o primeiro e mais crítico limite de segurança.

Mesmo que os princípios fundamentais de segurança continuem a ser relevantes, a nuvem introduz novas dinâmicas, especialmente em torno da responsabilidade, da visibilidade e da volatilidade dos activos.

Os ambientes Cloud estão principalmente expostos a ameaças dinâmicas e API, ao contrário dos ambientes locais, onde o perigo reside em riscos bem compreendidos, como o acesso físico não autorizado, ataques internos ou violações de perímetro.

As principais diferenças incluem a prevalência de configurações incorrectas como uma das principais causas de violações, a presença de recursos de curta duração (contentores, funções sem servidor), que muitas vezes escapam às ferramentas de análise tradicionais, e ataques baseados na identidade que se estão a tornar mais frequentes e preferidos pelos atacantes.

Além disso, as responsabilidades de segurança também mudam na nuvem, principalmente devido ao modelo de responsabilidade partilhada discutido anteriormente.

Nesta estrutura, as organizações são responsáveis pela segurança de dados, aplicações, configurações e identidades, incluindo toda a lógica em torno do tratamento de ficheiros:

• Validação e higienização de ficheiros carregados.
• Configurar as permissões de acesso ao nível do objeto ou do bloco.
• Encriptação de dados em trânsito e em repouso.
• Implementação da monitorização e deteção de ameaças em interações de armazenamento em nuvem.

Por fim, para acompanhar a velocidade e a complexidade da nuvem, os líderes de segurança devem entender tanto a linguagem quanto a natureza evolutiva das ameaças.

Um vocabulário partilhado entre as equipas de DevOps, segurança e liderança é fundamental para uma defesa coordenada, e todos os membros da equipa devem estar alinhados em torno de termos-chave da indústria, tais como: