Embora os funcionários, os prestadores de serviços e os fluxos de trabalho automatizados enviem constantemente ficheiros para o armazenamento na nuvem da empresa, poucos ficheiros são submetidos a verificações de segurança em tempo real.
Poderá haver políticas de análises programadas em vigor, mas isso faz com que ficheiros maliciosos permaneçam num bucket do S3 ou numa biblioteca do SharePoint durante dias ou semanas antes de serem detetados. Durante esse período, podem já ter sido acedidos, partilhados ou processados por sistemas a jusante.
Para além do potencial de risco, as análises programadas tradicionais podem conduzir a violações de conformidade, uma vez que os quadros globais de segurança da informação, como o PCI DSS v4.0, exigem que as organizações estabeleçam uma periodicidade de análise com base numa Análise de Risco Direcionada (TRA), que é revista e atualizada sempre que ocorrem alterações significativas ou com uma frequência periódica definida.
Para muitas equipas de segurança, isso significa uma verificação completa e recorrente de todo o repositório: todos os ficheiros, todas as pastas, a cada 60 dias. É exaustivo, dispendioso e cada vez mais difícil de gerir numa escala de petabytes.
Há uma maneira melhor.
A verificação baseada em eventos, a verificação de identidades e os fluxos de trabalho de verificação flexíveisMetaDefender permitem às organizações manter uma proteção em tempo real, reduzir verificações redundantes e gerar o tipo de registo de auditoria por utilizador que os auditores pretendem ver.
Por que razão Cloud requer mais do que análises programadas
As análises completas programadas foram concebidas para um mundo em que o armazenamento na nuvem era um destino de cópia de segurança, e não uma plataforma de colaboração principal. Esse mundo já não existe.
Hoje em dia, uma instituição financeira pode ter 50 milhões de ficheiros num único bucket do S3. Uma organização do setor da saúde pode utilizar o SharePoint Online como repositório de documentos para milhares de profissionais de saúde.
Uma verificação completa de malware em todo o parque informático a cada 30 ou 60 dias consome um tempo de processamento significativo, gera API enorme e, muitas vezes, só é concluída depois de a ameaça já se ter propagado lateralmente.
Além disso, há o problema estrutural:a verificação periódica é apenas um instantâneo, não um diagnóstico completo. Embora mostre o que estava limpo num determinado momento, não fornece qualquer informação sobre os ficheiros que foram carregados após a conclusão da última verificação. E, quando executar a próxima verificação, poderá já ser tarde demais.
Na prática, se as análises programadas consomem demasiados recursos informáticos, fornecem uma visão incompleta e podem comprometer a conformidade, a solução lógica seguinte é a proteção em tempo real no que diz respeito ao armazenamento na nuvem. A combinação de acionamentos baseados em eventos e análises sensíveis à identidade transforma a forma como a conformidade se concretiza na prática.
Proteção de novos ficheiros através da análise baseada em eventos com MetaDefender Storage Security
MetaDefender Storage Security análises baseadas em eventos, mudando o modelo de deteção de «verificar tudo de acordo com um calendário» para «analisar imediatamente quando algo muda». Em vez de consultar um bucket a intervalos fixos,a suafuncionalidadeRTP (Real Time Processing)deteta eventos de ficheiros diretamente a partir da plataforma na nuvem e processa ficheiros novos ou modificados à medida que estes chegam.
No caso do Amazon S3, a verificação baseada em eventos é implementada atravésdo AWS EventBridge. Quando um ficheiro é carregado para um bucket monitorizado, o EventBridge envia uma notificação para o webhookStorage Security, o que aciona a verificação imediatamente, sem a latência de um ciclo de sondagem. Este modelo baseado em push gera menos API do que a sondagem, o que reduz tanto o tempo de resposta como os custos operacionais em escala.
No que diz respeito ao Azure Blob Storage,Storage Security Security introduziu a deteção automática de contentores; quando liga uma conta de armazenamento, a plataforma deteta automaticamente todos os contentores, aplicando uma política de RTP consistente sem necessidade de configuração manual. Um tratamento semelhante, orientado por eventos, está disponível em toda a biblioteca de conectores de armazenamento suportados, incluindo o SharePoint Online, o Microsoft Teams, a NetApp, a Box e outros.
Naprática:
- Um ficheiro carregado por um utilizador cuja conta foi comprometida às 2h47 é analisado e, caso seja malicioso, colocado em quarentena antes de poder ser acedido ou partilhado
- Os novos ficheiros enviados por parceiros externos chegam num estado limpo, antes de qualquer processo interno os processar
- O intervalo entre a chegada do ficheiro e a avaliação de segurança é medido em segundos, e não em horas ou dias
Do ponto de vista da conformidade, a análise baseada em eventos cria um registocontínuo e com data e hora de todos os ficheiros avaliados em tempo real. Esse registo está disponível nos relatórios de análise, pode ser filtrado por unidade de armazenamento e intervalo de datas e serve de base direta para consultas de auditoria.
Análise de identidade: analisar ficheiros com base na atividade do utilizador, no risco e na prioridade
Uma das funcionalidades mais importantes do ponto de vista operacionalStorage Security a análise de identidades, ou seja, a capacidade de associar os resultados da análise à identidadeespecífica do utilizador que carregou ou modificou umficheiro.
Isto transforma a discussão sobre conformidade de «fizemos uma análise do repositório» para «sabemos qual o utilizador que carregou cada ficheiro que desencadeou uma deteção, quando isso aconteceu e que medidas foram tomadas».
Como a verificação de identidade reduz a verificação redundante
Considere a abordagem tradicional: agendar uma verificação completa do repositório, analisar todos os ficheiros independentemente da data da última verificação ou de quem os carregou, e gerar um relatório a indicar que tudo foi verificado. Este processo consome muitos recursos, é lento e não distingue entre um ficheiro que está limpo e inalterado há 18 meses e um ficheiro carregado ontem por uma conta que foi comprometida na semana passada.
A análise de identidade permite uma abordagem mais inteligente:
- Os ficheiros provenientes de utilizadores conhecidos e de confiança ou de contas de serviço que tenham sido analisados durante o ciclo anterior podem ser tratados com maior confiança.
- Os ficheiros novos ou os ficheiros modificados por identidades de alto risco, como contas externas, credenciais de prestadores de serviços, utilizadores recentemente sinalizados, etc., podem ser priorizados ou submetidos a uma nova verificação imediatamente
- Os relatórios de auditoria podem indicar, por identidade de utilizador, quais os ficheiros que foram analisados, quando e com que resultado; um formato que corresponde diretamente ao que os auditores da PCI DSS e os avaliadores da ISO 27001 procuram.
O resultado é uma estratégia de conformidade mais robusta e eficiente. Em vez de analisar repetidamente os mesmos ficheiros estáticos, está a responder a eventos sensíveis ao contexto: o que foi alterado e por quem.
Fluxos de trabalho sob demanda, programados e RTP: escolher a abordagem certa para cada cenário
Storage Security três modos de análise, e os programas de conformidade eficazes costumam utilizar os três em conjunto.
O processamento em tempo real proporciona proteção contínua para o armazenamento ativo
O processamento em tempo real éo principal mecanismo para detetar ameaças à medida que estas surgem. É orientado por eventos, está sempre ativo nas unidades de armazenamento monitorizadas e foi concebido para lidar com o volume e a velocidade dos fluxos de trabalho modernos de ficheiros na nuvem.
Desde a atualização MetaDefender Storage Security .4.1, os administradores podem utilizar o novo seletor de data «Selecionar ficheiros modificados desde» no modelo de análise RTP para incluir ficheiros anteriores à configuração atual do RTP. Isto melhora a cobertura de conformidade para ficheiros carregados anteriormente, tais como ficheiros do OneDrive que mantêm a data de última modificação original em vez do carimbo de data/hora do carregamento.
No caso de ciclos de conformidade de 60 dias, isto significa que pode selecionar explicitamente os ficheiros modificados nos últimos 60 dias, sem que isso acione uma verificação completa do depósito desde o início do histórico de armazenamento.
Digitalização programada para se adequar ao seu calendário de auditoria
Para requisitos de conformidade periódicos (PCI DSS, HIPAA, SOC 2, ciclos de auditoria interna),Storage Security um agendamento flexível de análises, configurável ao minuto a partirda versão 4.3.0. Isto permite que as equipas de segurança definam janelas de verificação precisas que se alinhem com os períodos de auditoria, sejam executadas fora do horário de expediente para minimizar o impacto e gerem relatórios com data e hora que correspondam diretamente ao período de conformidade em análise.
As análises programadas podem ser configuradas de forma eficiente. Em vez de voltar a analisar todo um ambiente de armazenamento da ordem dos petabytes, a análise pode ser direcionada para buckets, contentores, bibliotecas de documentos ou pastas específicos e, com a análise de identidades ativada, para ficheiros associados a utilizadores ou funções específicos.
Digitalização sob demanda para correção direcionada e resposta a incidentes
A análise sob demanda é utilizada em cenários específicos: foi identificado um incidente de segurança e a equipa precisa de avaliar imediatamente uma unidade de armazenamento específica; está iminente uma auditoria de conformidade e um determinado bucket não foi abrangido na última execução programada; ou acabou de ser ligada uma nova integração de armazenamento que necessita de uma avaliação inicial completa.
Storage Security adicionou a funcionalidade «Reprocessar ficheiros com falha», que permite aos administradores criar novas análises que abrangem apenas os ficheiros que anteriormente apresentaram falhas, evitando a sobrecarga de uma nova análise completa e colmatando simultaneamente lacunas específicas na cobertura. É também possível interromper as análises em curso diretamente a partir do separador «Relatórios», sem necessidade de navegar para outras secções da interface.
Detecção automática e integração de funções de IAM para eliminar lacunas na configuração manual
Um dos riscos de conformidade mais comuns em ambientes de armazenamento na nuvem é o armazenamento não monitorizado. Entre os exemplos contam-se um bucket ou contentor que nunca foi ligado a uma ferramenta de segurança, uma nova unidade de armazenamento provisionada fora dos processos normais de TI ou um contentor gerado automaticamente a partir de uma integração de terceiros.
Storage Security esta questão através da deteção automática em vários fornecedores de serviços na nuvem:
- Armazenamento de Blobs do Azure: Ligue uma conta de armazenamento e todos os contentores serão detetados e adicionados automaticamente à política de verificação; não é necessária qualquer intervenção manual
- SharePoint Online: Ao ligar o seu inquilino, todos os sites são detetados automaticamente
- Alibaba Cloud com autenticação de função RAM (Gestão de Acesso a Recursos) e AWS S3 com a função IAM (Gestão de Identidades e Acessos),Storage Security a autenticação utilizando credenciais de curta duração e com o mínimo de privilégios, em vez de chaves de acesso estáticas, reduzindo o risco de exposição das credenciais e simplificando a rotação das mesmas
Para as organizações que operam ao abrigo do requisito 12.3.1 da norma PCI DSS (frequência da análise baseada no risco dos controlos de segurança) ou dos controlos do Anexo A da norma ISO 27001 para ambientes na nuvem, a deteção automática reduz diretamente o risco de lacunas na cobertura que, de outra forma, só seriam detetadas após uma auditoria ou um incidente.
A geração automática de scripts Terraformpara a configuração do AWS EventBridge, disponível na interfaceStorage Security , significa que mesmo a configuração inicial do tratamento baseado em eventos requer permissões mínimas e não exige a criação de scripts personalizados por parte da equipa de segurança.
Storage Security: Concebido especificamente para a proteção Cloud
Storage Security a solução OPSWAT para detetar e prevenir ameaças baseadas em ficheiros em ambientes de armazenamento locais, na nuvem e híbridos. Aplica várias tecnologias de prevenção em sequência a cada ficheiro que processa:
- O Metascan™Multiscanning aplicadezenas de motores antimalware em simultâneo, aumentando as taxas de deteção de ameaças conhecidas e desconhecidas sem depender das assinaturas de um único fornecedor
- Tecnologia Deep CDR™ reconstrói ficheiros numa versão segura e funcionalmente equivalente, removendo conteúdo ativo potencialmente malicioso — eficaz contra ameaças que escapam à deteção baseada em assinaturas
- Proactive DLP™ inspeciona e suprime dados confidenciais dos ficheiros — números de cartões de pagamento, PII (Informações de Identificação Pessoal) e registos de saúde — antes de estes serem armazenados, garantindo tanto a segurança dos dados como o cumprimento das obrigações de conformidade
- File-Based Vulnerability Assessment identifica vulnerabilidades conhecidas em ficheiros, tais como instaladores e pacotes, antes de estes entrarem no ambiente
- Adaptive Sandbox fornece análise comportamental para ficheiros suspeitos que requerem uma inspeção mais aprofundada
Tudo isto funciona através de uma vasta biblioteca de conectores que inclui o Amazon S3, o Azure Blob Storage, o SharePoint Online, o Microsoft Teams, o OneDrive, Cloud Google Cloud , a NetApp, o Dell EMC Isilon, o Box, o Scality RING e outros, com novas integrações a serem adicionadas em cada versão.
Para equipas focadas na conformidade,Storage Security relatórios de análise centralizados, atribuição de identidade por utilizador, registos de auditoria com data e hora e ações de correção configuráveis (autorizar, bloquear, eliminar, mover, limpar); tudo isto em conformidade com os requisitos de documentação da PCI DSS v4.0.1, HIPAA, ISO 27001 e SOC 2.
A plataforma está disponível para implementação no local ou como MetaDefender Storage Security Cloud. Esta última adicionou suporte à multitenancy para organizações que gerem várias unidades de negócio ou ambientes de clientes numa única implementação.
Da análise reativa àStorage Security proativaStorage Security Cloud
Os requisitos de conformidade tornaram-se mais rigorosos, uma vez que os auditores já não se contentam com a prova de que foi realizada uma verificação. Pretendem verificar a cobertura contínua, a atribuição de identidade e uma política clara sobre a forma como os novos ficheiros são tratados assim que entram no seu ambiente.
- A análise baseada em eventos responde às questões da cadência e do timing.
- A verificação de identidade responde à questão da responsabilização.
- Os fluxos de trabalho programados e sob demanda respondem à questão da documentação periódica de conformidade. A deteção automática responde à questão da cobertura.
Storage Security estas funcionalidades numa plataforma concebida especificamente para a escala, complexidade e obrigações de conformidade dos ambientes de armazenamento em nuvem empresariais.
Quer a sua prioridade seja detetar uma ameaça em tempo real, cumprir um prazo de auditoria de 60 dias ou comprovar que todos os ficheiros num repositório regulamentado foram analisados por um utilizador específico, a plataforma oferece suporte para isso.
