Na aviação, os pilotos utilizam listas de verificação pré-voo para evitar falhas catastróficas causadas por erros humanos e má configuração. Na cibersegurança, há grandes violações do armazenamento em nuvem que ocorrem constantemente devido a erros de configuração. Os profissionais de cibersegurança podem aprender com a aviação a implementar uma lista de verificação de segurança do armazenamento na nuvem para evitar estes erros dispendiosos, cujo exemplo mais recente é provavelmente causado por um balde de armazenamento incorretamente protegido.
A transformação digital e as tendências de migração para a nuvem impulsionaram a adoção de infra-estruturas e armazenamento na nuvem pública, como o Amazon Web Services (AWS), o Microsoft Azure e o Google Cloud Platform. À medida que as organizações transformam as aplicações locais em serviços na nuvem, os dados empresariais valiosos também são transferidos para o armazenamento na nuvem.
Quando se trata de proteger os dados empresariais numa nuvem pública, a maioria dos fornecedores de serviços de nuvem adoptou um "modelo de responsabilidade partilhada", que fornece uma estrutura para garantir que as responsabilidades de segurança são claramente definidas entre o fornecedor de armazenamento na nuvem e a organização que utiliza o serviço de armazenamento.
Por exemplo, a Amazon assume a responsabilidade pela "Segurança da Cloud", mas espera que os seus clientes assumam a responsabilidade pela "Segurança na Cloud". O Microsoft Azure define o seu modelo de responsabilidade partilhada de forma semelhante. De um modo geral, o fornecedor da nuvem assume a responsabilidade pelo alojamento físico, pela rede, pelos recursos de computação e pelo centro de dados, enquanto os seus clientes devem assumir a responsabilidade pelas suas aplicações, dados, pontos finais, contas e identidades em execução na nuvem.
Infelizmente, há muitas organizações que não se apercebem de que este é o caso. Talvez haja uma falha na comunicação entre os departamentos, talvez os administradores se tenham tornado complacentes, ou talvez seja simplesmente um caso de "não se sabe o que não se sabe" ou talvez demasiada confiança nos méritos da marca dos grandes operadores da nuvem.
A realidade é muito simples e é um risco para terceiros, ou seja, ao utilizar a nuvem para aplicações ou armazenamento de dados, está realmente a utilizar "os computadores e a infraestrutura de outra pessoa" e deve verificar se estão corretamente configurados e seguros.
Seja qual for o caso, mesmo uma simples configuração incorrecta do armazenamento na nuvem pode deixar uma organização vulnerável a uma violação. Em 2021, um balde de armazenamento Amazon S3 mal configurado expôs as informações de identificação pessoal de mais de 3 milhões de cidadãos seniores dos EUA. Noutro caso, uma lista de observação de terroristas dos EUA com mais de 1,9 milhões de registos foi encontrada exposta num armazenamento em nuvem não seguro. Existem dezenas destes exemplos, a maioria dos quais não foi publicada, mas todos resultam de uma má configuração.
Fazer uma lista e verificá-la duas vezes
A história das listas de controlo da aviação é incrivelmente fascinante. Em 1935, o Major "Peter" Hill, um piloto de testes chefe do Exército dos EUA, foi escalado para testar o Boeing 299, um protótipo de bombardeiro com quatro motores. O Major Hill era um piloto experiente, tendo pilotado quase 60 tipos diferentes de aviões durante a sua carreira. No entanto, durante o seu voo de teste do Boeing 299, o Major Hill despenhou-se imediatamente após a descolagem e morreu queimado. A causa do acidente não foi uma falha estrutural, nem mecânica, mas sim o facto de o Major Hill não ter desbloqueado os comandos do avião, o que o impossibilitou de o pilotar.
Após o acidente, a Boeing introduziu a lista de verificação como uma ferramenta obrigatória para os seus pilotos. Apesar desta tragédia, a Boeing continuaria a fabricar mais de 12.000 bombardeiros B-17 para utilização na Segunda Guerra Mundial e o Exército dos EUA continuaria a treinar os seus pilotos civis com estas listas de verificação.
Lista de controlo de um bombardeiro da Segunda Guerra Mundial
Para além da caixa de verificação - OPSWAT Secure Armazenamento
A boa notícia é que a cibersegurança não é normalmente uma questão de vida ou morte, por mais que o stress do trabalho faça com que pareça que sim. Mas não há nenhuma razão para que os profissionais de cibersegurança não possam abordar a segurança do armazenamento na nuvem com o mesmo vigor de um piloto de caça para garantir a segurança dos seus dados - especialmente quando armazenam informações pessoais identificáveis (financeiras, de saúde e outras) de clientes, parceiros e informações da sua própria empresa.
A implementação de uma lista de verificação de segurança de armazenamento na nuvem pode ajudar a garantir que as organizações estão a seguir as melhores práticas, como o privilégio mínimo, que surgiu como um princípio orientador dos modelos de segurança Zero Trust. Automatizar este processo com tecnologia pode ajudar a evitar erros manuais morosos e dispendiosos.
MetaDefender Storage Security melhora a sua solução de segurança de armazenamento na nuvem com uma lista de verificação de segurança integrada, para que os profissionais de cibersegurança possam garantir que o armazenamento na nuvem da sua organização não está mal configurado à medida que é aprovisionado, o que inclui as fases de desenvolvimento e produção do armazenamento na nuvem. MetaDefender também vai além da lista de verificação, oferecendo antivírus Multiscanning de ficheiros para detetar ameaças conhecidas, e Deep Content Disarm and Reconstruction (CDR) para evitar ataques de dia zero escondidos em ficheiros. A prevenção proactiva de perda de dados (DLP) fornece uma camada adicional de atenuação do risco de conformidade, identificando e ocultando PII (informações de identificação pessoal) e outros dados sensíveis em ficheiros armazenados.
Se está pronto para exercitar a sua lista de verificação de segurança do armazenamento na nuvem, marque o primeiro item da lista de verificação como concluído - Contacte OPSWAT hoje mesmo para saber como podemos ajudar!
