A corrida contra o tempo chegou: modelos cloud e multicloud são reais

O poder que existe na computação em nuvem torna o negócio mais sustentável, mas ao mesmo tempo, exige atenção redobrada em aspectos de Segurança, controle e gestão de vulnerabilidade. Pontos que precisam ser considerados para a boa governança com recurso de cloud security cyber hygiene

Por: Rangel Rodrigues, ⌚ 27/10/2021 às 17h58 - Atualizado em 28/10/2021 às 17h14

*Por Rangel Rodrigues

 

A velocidade da transformação digital tem impulsionado a adoção de novas tecnologias como machine learning e inteligência artificial. Além disso, a pandemia acelerou o processo de migração para cloud, uma saída que as empresas encontraram para garantir a continuidade dos negócios com o trabalho remoto e, nesta linha, a tecnologia Zero Trust ganhou força, pois viabiliza o controle de acesso por meio de usuários e ativos ajudando as organizações a reduzir os riscos neste novo cenário.

 

Consequentemente, a evolução da automatização do processo de desenvolvimento de software (SDLC) integrado com a cloud requer novas ferramentas. O uso de infraestrutura-as-code com soluções capazes de gerenciar o pipeline e ferramentas de scans que ajudam a detectar vulnerabilidades nas aplicações como erros de configuração, falhas em bibliotecas e componentes no código fonte por meio de DAST, SAST, IAST e pen testing, tem sido um grande desafio para elevação da maturidade e segurança. É preciso assegurar que um novo código criado, e uma vez publicado na nuvem, esteja seguro.

 

Com isso, a equipe de Segurança da Informação tem um novo desafio: gerir e fazer governança de maneira diferente de um ambiente on-premise, pois agora o treinamento da equipe é crucial e fundamental, assim como a estratégia da arquitetura de gestão de contas de acesso, landing zone, perfilhamento, criptografia, hardening, scan de vulnerabilidades, WAF, Proteção DDoS, DeveSecOps e segurança como código. Esses controles geraram um novo dilema de gestão de segurança e políticas na nuvem e cabe o time de SI entender as diferenças e aplicar.

 

Os recentes ataques de ransomware como na Kaseya, Colonial Pipeline, Coinbase, Lojas Renner, T-Mobile, Fleury, são eventos que têm trazido preocupações e tirado o sono do time de Segurança, pois a corrida contra o tempo chegou. O acesso remoto por colaboradores, a velocidade para lançar um produto e serviço ainda em um ambiente de cloud são aspectos que impactam a SI, pois a nuvem proporciona velocidade e escalabilidade ao negócio, consequentemente  um ambiente não protegido propriamente traz riscos, vulnerabilidades e ameaças, tais como misconfiguration, criptografia desativada no banco de dados, privilege escalation, insecure interface APIs, imagens desatualizadas e inadequate change control. Essas são algumas das falhas mais exploradas de acordo com os últimos relatórios de grandes players de cibersegurança.

 

Gerenciar o vulnerável

 

A abordagem de gestão de vulnerabilidades muda em alguns aspectos quando se pensa em nuvem, assim como a gestão de acesso requer total atenção para os usuários que têm acesso a este ambiente. Em síntese, podemos perceber a alta procura de profissionais com conhecimento em automatização de processos, em Ruby e Python para automatização, pen testing, arquitetura, APIs e geração de logs. Tudo para garantir mais visibilidade sobre o que está acontecendo.

 

Por alguns anos, as grandes instituições resistiram a mudança para nuvem, mas é fato que a escalabilidade e a velocidade para criar uma aplicação e lançar um novo produto usando uma sandbox como um ambiente controlado é útil para os engenheiros de software, acelera e aproxima ainda mais a relação entre o time de desenvolvimento com o time de infosec.

 

O poder que existe em cloud torna o negócio mais sustentável, mas ao mesmo tempo se a segurança não for implementada deste do início não fará muito efeito. Por exemplo, DevSevOps pode ser implementado antes do processo de perfilhamento de conta, mas poderá encontrar problemas no futuro e então perceba que o conceito de gestão de segurança aplicando o básico de SI continua sendo mandatório para o sucesso do projeto, não mudou, mas a forma de aplicar o conceito e gerir o ambiente sim.

 

Mediante deste novo cenário que muitos de nós profissionais de Segurança temos enfrentados, gostaria de registrar em alguns tópicos os pontos e controles que devem ser considerados em um projeto de nuvem. Em 2010, tive a oportunidade de pegar o primeiro projeto de migração do email tradicional para o Gmail em cloud, logo depois atuei para uma empresa de cloud com um grande projeto de IaaS, entre outras iniciativas na indústria movendo todas as aplicações para um ambiente de cloud híbrida com IaaS.

 

Evidentemente no momento que vivemos, é preciso ter em mente que a grande maioria das organizações estão migrando para nuvem e o maior desafio vem sendo a garantia de que todas as camadas estejam protegidas. Aliás, o dado é o ativo de valor para o negócio, o que levanta diversos questionamentos do board: O quanto estamos seguros? Temos visibilidade de tudo que acontece na cloud? Será que nosso ambiente está sendo usado para ataque de mineração de dados? Será que o ambiente está infectado com algum malware ou botnet? Qual garantia de que as imagens estão protegidas quando são movidas para produção?

 

Enfim, são muitos detalhes que requer atenção. Nosso papel é correr contra o tempo! Vamos elencar alguns pontos para a boa governança com cloud security cyber hygiene:

 

1.Tenha claro e definido em contrato a responsabilidade compartilhada para ambiente de IaaS, SaaS e PaaS.

 

2.Assegure a implementação de cloud governance, políticas e procedimento no ambiente de cloud.

 

3.Aplique um cybersecurity assessment para examinar a postura da infraestrutura e quanto está alinhada com as políticas e boas práticas. Use como base NIST CSF, por exemplo.

 

4.Garanta e proteja os dados sensíveis (PII, PHI, e PCI), seja em trânsito, data at rest e principalmente com a gestão de chaves na cloud.

 

5.Faça a higiene no ambiente de cloud, aplique o patch, atualize as imagens, segurança no hypervisor e mantenha este processo contínuo e eficaz. Use soluções de scan em cloud que ajudam a ter esta visibilidade.

 

6.Garanta a implementação de controles essenciais.

 

7.Realize scan de vulnerabilidades nas plataformas, proteja os workloads.

 

8.Faça hardening, por exemplo, altere as credenciais “defaults”.

 

9.Evite compartilhar e reutilizar credencias de acesso, ou seja, mantenha um processo de provisionamento, de acesso, o perfilhamento e landing zone do ambiente são essenciais.

 

10.Utilize soluções de antivírus avançadas e atualize o software consistentemente na plataforma de cloud.

 

11.Restringe e monitore as contas de usuários privilegiados para qualquer instância.

 

12.Empregue e proteja os backups na cloud, garantindo a resiliência para o DRP.

 

13.Implemente o teste de aplicação e code review para qualquer plataforma de cloud, seja SaaS ou PaaS, implemente SAST/DAST/IAST, pen testing, threat modeling, MITRE ATT&CK, DevSecOps.

 

14.Monitore e consolide os eventos de logs em ambientes on-premisses, multi-cloud ou cloud híbrida.

 

15.Defina regras de suspicious e anomalous qualquer comportamento fora do padrão pode ser um ataque zero day ou um comprometimento de credenciais.

 

16.Empregue o uso de MFA para todas as contas de acesso e precisamente com third parties cloud instancias e serviços. Zero Trust é um controle que irá ajudar neste ponto com a combinação de CASB e KMS.

 

17.Estabeleça, crie e implemente um plano de resposta a incidentes.

 

18.Conduza e participe de cyber exercises para os parceiros de cloud.

 

19.Proteja todas as conexões com parceiros de negócios e serviços com third parties para minimizar os riscos de supply chains.

 

20.Aplique e enfatize o risk awareness e cyber resiliency com todos os colaboradores, pois isso vai ajudar a mitigar riscos de “phishing” e ransomware.

 

21.Abrace o gerenciamento de risco em cloud e equilibre a cibersegurança com as necessidades de negócio focando no risco, não negligencie!

22.Ops, não esqueça de SOC, DLP, SIEM, WAF, DDoS Protection, NIPS etc.

 

23.Seja proativo e use o Cloud Controls Matrix (CCM), CAIQ, caso seja um provedor de SaaS, considere o STAR Program da Cloud Security Alliance (CSA), NIST CSF, FAIR e ISO 27001 e 27017, essas iniciativas complementam a receita de bolo.

 

Acima são alguns dos controles relevantes para cloud, mas ressalto que não estou citando outros parâmetros de controles por parte do provedor de cloud como a segurança física no ambiente e a proteção de hypervisor, etc. Entretanto, recomendo estudar os serviços providos por cada CSP, seja AWS, GCP, Azure, IBM e Oracle. Eles oferecem serviços e recursos para gestão na nuvem, mesmo que você não vá gerenciar o ambiente de management control panel procure entender cada um dos serviços, pois na condição de compliance security, será importante entender para definir, criar e avaliar os controles neste ambiente.

 

Literalmente, tudo que vimos neste artigo nos mostra que a cloud tem sido vista com uma quebra de paradigma para a transformação digital nas empresas e isso me faz lembrar de um texto no livro do sábio que diz que a luz brilhou sobre a escuridão. Em suma entenda que sempre haverá uma luz no fim do túnel e lembre-se que o pouco é o suficiente e o que precisamos é de coragem na corrida contra o tempo e as ameaças.

 

 

*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Sênior Security Risk Engineer para uma empresa financeira nos Estados Unidos.

 

/ VEJA TAMBÉM



/ COMENTÁRIOS