Casos de uso da CDR

Cinco casos de uso da CDR

Os ambientes em nuvem oferecem às empresas escalabilidade e flexibilidade modernas incomparáveis. No entanto, a transição para a nuvem na última década também introduziu novos desafios de segurança. Os invasores estão constantemente encontrando maneiras criativas de explorar infraestruturas em nuvem. A proteção desses ambientes exige medidas que a segurança tradicional não consegue fornecer. As empresas precisam de capacidades robustas de detecção e resposta, adaptadas para a nuvem.

A CDR concentra-se na identificação e mitigação de ameaças em tempo real. Ela atua para garantir que workloads, aplicações e dados na nuvem permaneçam seguros. Ao combinar análises nativas de IA, monitoramento contínuo e resposta automatizada a incidentes, a CDR capacita as organizações a agirem com rapidez e eficácia quando surgem ameaças.

Como seria a CDR em ação? Neste artigo, exploraremos cinco casos de uso reais em que a CDR desempenha um papel fundamental. Vamos começar.

Quais são os principais casos de uso da CDR?

1. Acesso incomum à API para dados confidenciais.

2. Comportamento comprometido de aplicações nativas em nuvem.

3. Detecção e isolamento de ataques entre domínios ou múltiplos domínios.

4. Infiltração de ransomware em uma workload na nuvem.

5. Movimento lateral após comprometimento inicial.

Caso de uso 1 – Acesso incomum à API para dados confidenciais

Seu serviço de armazenamento em nuvem, como o AWS S3 ou o Google Cloud Storage, armazena dados altamente confidenciais. Você pode ter PII (Personally Identifiable Information, Dados Pessoais Identificáveis) de clientes, PHI (Personal Health Information, Dados Pessoais de Saúde) de pacientes ou propriedade intelectual relacionada às suas operações comerciais. Como o alvo é altamente lucrativo, os atores de ameaças frequentemente visam esses recursos de dados, aproveitando-se de configurações incorretas ou credenciais roubadas para obter acesso não autorizado.

Cenário

Uma função do IAM começa a fazer chamadas de API incomuns para um bucket S3 que contém dados pessoais identificáveis. Após uma investigação, descobriu-se que a política de acesso do bucket havia sido configurada incorretamente, permitindo acesso público sem autenticação. O invasor explorou essa vulnerabilidade para acessar e exfiltrar dados.

Uma solução de CDR monitora padrões de acesso e detecta anomalias em tempo real. Nesse cenário, o papel que a CDR desempenharia seria o seguinte:

• Analisa vulnerabilidades de configuração: avalia a política de acesso do bucket e sinaliza a configuração incorreta de acesso público como um risco.
• Inicia uma resposta: alerta automaticamente a equipe de segurança e bloqueia a atividade suspeita da API. Possivelmente coloca em quarentena a função de IAM afetada para evitar danos maiores.
• Fornece informações práticas: apresenta um relatório detalhado do incidente, incluindo os métodos do invasor, a configuração incorreta e os passos de remediação recomendados para evitar futuros exploits.

Com essas capacidades, a CDR minimiza a janela de oportunidade do invasor e garante que os dados confidenciais permaneçam seguros, mesmo que a ameaça original evolua.

Caso de uso 2 – Comportamento comprometido de aplicações nativas em nuvem

As aplicações nativas em nuvem — alimentadas por containers, arquiteturas sem servidor ou clusters Kubernetes — são essenciais para os negócios modernos. Elas são dinâmicas e atualizadas com frequência, mas isso também as torna alvo comum de invasores que buscam explorar vulnerabilidades no seu design ou na sua implementação.

Cenário

Uma aplicação baseada em Kubernetes começa a exfiltrar dados para um endereço IP desconhecido após ser comprometida por meio de um container vulnerável. O invasor explorou uma imagem do container mal configurada, instalou código malicioso e iniciou transferências de dados não autorizadas, colocando em risco as informações confidenciais da sua empresa.

Uma solução de CDR entra em ação para detectar e responder a essas ameaças. Veja como:

• Correlaciona comportamentos: utiliza a análise comportamental para determinar se o container está exibindo padrões incomuns em comparação com sua atividade normal.
• Isola o container comprometido: coloca automaticamente em quarentena o container afetado para impedir a exfiltração de dados e evitar movimento lateral no ambiente.
• Permite a remediação: fornece informações detalhadas sobre a vulnerabilidade, juntamente com etapas práticas para mitigação, incluindo correção e melhoria da segurança básica do container.

A CDR garante que até mesmo aplicações complexas nativas em nuvem permaneçam protegidas, com detecção e contenção rápidas que limitam possíveis danos.

Caso de uso 3 – Detecção e isolamento de ataques entre domínios ou múltiplos domínios

Os ecossistemas de nuvem modernos são inerentemente interconectados, com aplicações, serviços e identidades abrangendo múltiplos provedores e infraestruturas de nuvem. Essa complexidade tornou-se um alvo principal para invasores que exploram lacunas de visibilidade e segurança entre domínios para executar ataques sofisticados entre domínios. Esses ataques geralmente começam com credenciais comprometidas ou configurações incorretas em um domínio, permitindo que os adversários se movimentem entre endpoints, sistemas de identidade e ambientes de nuvem para atingir seus objetivos.

Cenário

Um adversário obtém acesso inicial a uma conta na nuvem explorando chaves de API roubadas encontradas em um repositório público. Utilizando essa base de apoio, eles enumeram os recursos no primeiro provedor de nuvem (Nuvem A), localizam as credenciais de acesso à nuvem armazenadas em uma aplicação mal configurada e as utilizam para infiltrar o ambiente de outro provedor (Nuvem B). A partir daí, o invasor eleva seus privilégios, acessa dados confidenciais do cliente e configura mecanismos de persistência para manter o controle.

Como a CDR aborda esse desafio

1. Identifica ameaças entre domínios em tempo real: a CDR integra a telemetria da workload no ambiente de execução com indicadores de ataque específicos da nuvem, analisando continuamente a atividade em todos os domínios. Nesse caso, ela detecta as tentativas de enumeração na Nuvem A e as correlaciona com atividades suspeitas na Nuvem B, como elevações de privilégios e exfiltração de dados.

2. Impede a progressão do ataque: ao aplicar a análise comportamental, a CDR reconhece padrões anormais, como o acesso a recursos fora do uso típico ou o uso inconsistente de credenciais em diferentes domínios. As respostas automatizadas isolam as contas comprometidas e encerram as sessões suspeitas antes que o invasor possa prosseguir.

3. Oferece visualização unificada do caminho de ataque: por meio de uma linha do tempo de investigação abrangente, a CDR mapeia as etapas do adversário em ambos os provedores de nuvem, detalhando o acesso inicial, o movimento lateral e as táticas de elevação. Isso permite que a equipe de segurança compreenda rapidamente o escopo e o impacto do ataque.

4. Aumenta a resiliência futura: os insights obtidos com a detecção no ambiente de execução fornecem informações para medidas preventivas, como implementação de práticas mais rigorosas de gerenciamento de credenciais, aprimoramento dos controles de acesso à identidade e aplicação de configurações que reduzem as superfícies de ataques em todos os domínios.

Ao preencher as lacunas entre as ferramentas de segurança tradicionais, a CDR capacita as organizações a se defenderem contra ataques entre domínios cada vez mais complexos, garantindo a segurança e a resiliência das infraestruturas de nuvem modernas.

Caso de uso 4 – Infiltração de ransomware em uma workload na nuvem

Os ataques de ransomware são uma ameaça generalizada. A natureza interconectada da infraestrutura em nuvem a torna um alvo atraente para invasores que buscam criptografar arquivos críticos e exigir resgate para sua liberação.

Cenário

Uma VM em seu ambiente de nuvem começa a criptografar arquivos em armazenamento compartilhado após ser infectada por ransomware. O ataque teve origem em um e-mail de phishing contendo um link malicioso que comprometeu a conta de um usuário, permitindo que o invasor implementasse ransomware nas workloads em nuvem da organização.

Uma solução de CDR lidaria com incidentes de ransomware realizando os seguintes procedimentos:

• Detecta atividade de criptografia incomum: identifica modificações anormais de arquivos características de ransomware e sinaliza o comportamento da VM como suspeito.
• Isola a VM infectada: coloca automaticamente em quarentena a VM comprometida para impedir que o ransomware se espalhe para outras workloads ou outros recursos compartilhados.
• Aciona resposta automatizada: inicia fluxos de trabalho para bloquear o acesso do invasor e interromper as atividades de criptografia em andamento, alertando simultaneamente a equipe de segurança sobre o incidente.
• Permite a recuperação de dados: integra-se a sistemas de backup para facilitar processos automatizados de recuperação, garantindo que os arquivos afetados possam ser restaurados sem a necessidade de pagar o resgate.
• Fornece dados forenses: oferece informações sobre a origem do ataque, como a conta de usuário comprometida, e recomendações para evitar incidentes futuros.

Ao detectar ransomware precocemente e responder de forma rápida, a CDR minimiza o tempo de inatividade, protege dados críticos e elimina a vantagem que os invasores utilizam para extorquir pagamentos de resgate.

Caso de uso 5 – Movimento lateral após comprometimento inicial

Após obterem uma base de apoio inicial, os invasores geralmente procuram se movimentar lateralmente dentro de um ambiente de nuvem. Ao explorar credenciais roubadas ou permissões mal configuradas, eles tentam escalar privilégios e acessar sistemas sensíveis, o que pode levar a comprometimentos de dados significativos ou interrupções operacionais.

Cenário

Um invasor obtém uma chave de API inadvertidamente exposta em um repositório de código público. Usando essa chave, ele se autentica no ambiente de nuvem e começa a sondar em busca de vulnerabilidades adicionais. Após escalar seus privilégios, o invasor obtém acesso a um banco de dados contendo informações confidenciais de clientes.

Uma solução de CDR pode identificar e mitigar o movimento lateral em ambientes de nuvem. Veja como ela ajuda:

• Permite uma investigação completa: fornece um relatório detalhado do incidente, mapeando o percurso do invasor, as vulnerabilidades exploradas e as etapas para a remediação.
• Aprimora as defesas futuras: recomenda mudanças nas políticas, como práticas aprimoradas de gerenciamento de chaves e implementação de monitoramento mais rigoroso para atividades incomuns na API.

Ao interromper rapidamente o movimento lateral, a CDR impede que invasores explorem seu ambiente de nuvem mais amplo, protegendo sistemas críticos e dados confidenciais contra maiores comprometimentos.

Proteção na nuvem sempre ativa com a CrowdStrike

Os ambientes em nuvem são dinâmicos e inerentemente complexos. Naturalmente, isso os transforma em um excelente alvo para ataques sofisticados. A CDR é fundamental para garantir a segurança de suas workloads, suas aplicações e seus dados na nuvem. Ela detecta ameaças, respondendo rapidamente e minimizando os possíveis danos de incidentes de segurança.

A CDR do CrowdStrike Falcon Cloud Security permite a detecção de ameaças em tempo real e a análise comportamental para identificar e bloquear rapidamente atividades maliciosas em seus ambientes de nuvem. Essas atividades incluem ataques de ransomware, ameaças internas ou movimento lateral. Para visibilidade incomparável e proteção 24 horas por dia, 7 dias por semana, as empresas modernas combinam essas capacidades com a inteligência de ameaças e a investigação do Falcon Complete Next-Gen MDR e do Falcon Counter Adversary Operations.

Para saber mais sobre como a proteção em nuvem sempre ativa da CrowdStrike pode aprimorar a segurança da sua organização, entre em contato com um representante da CrowdStrike hoje mesmo.