Segurança de aplicações em nuvem

O que é segurança de aplicações em nuvem?

Segurança de aplicações em nuvem é o processo de proteger aplicações de software baseadas em nuvem durante todo o ciclo de vida do desenvolvimento. Inclui políticas, ferramentas, tecnologias e regras em nível de aplicação para manter a visibilidade de todos os ativos baseados na nuvem, proteger as aplicações baseadas na nuvem contra ciber ataques e limitar o acesso apenas a usuários autorizados.

A segurança de aplicações em nuvem é extremamente importante para organizações que operam em um ambiente multinuvem hospedado por um provedor de nuvem terceirizado, como Amazon, Microsoft ou Google, bem como para aquelas que usam aplicações Web colaborativas, como Slack, Microsoft Teams ou Box. Esses serviços ou aplicações, embora transformadores por natureza para os negócios e sua força de trabalho, aumentam drasticamente a superfície de ataque, fornecendo muitos novos pontos de acesso para adversários entrarem na rede e desencadearem ataques.

Por que as organizações precisam de segurança para aplicações em nuvem?

Nos últimos anos, muitas organizações adotaram um processo ágil de desenvolvimento de software conhecido como DevOps. Essa abordagem combina desenvolvimento de software tradicional e operações de TI para acelerar o ciclo de vida do desenvolvimento e lançar rapidamente novas aplicações de software.

No entanto, as medidas tradicionais de segurança de rede, aplicações e infraestrutura normalmente não protegem aplicações baseadas em nuvem, tornando-os vulneráveis a uma série de ciber ataques durante o desenvolvimento.

As organizações que estão aproveitando a nuvem, principalmente como parte do processo de desenvolvimento de software, agora devem projetar e implementar uma solução abrangente de segurança em nuvem para proteger contra uma gama crescente de ameaças e ataques cada vez mais sofisticados no ambiente de nuvem — incluindo aqueles que têm como alvo o nível da aplicação.

Saiba como a CrowdStrike ajudou a PenChecks Trust a atingir consistência de segurança ao mesmo tempo em que aplicava políticas de segurança, conformidade e segurança padrão. [/epp-cta]

Framework de segurança de aplicações em nuvem

O framework de segurança de aplicações em nuvem consiste em três componentes principais:

1. O gerenciamento de postura de segurança na nuvem (CSPM) se concentra em erros de configuração, conformidade e governança, além de proteger o painel de controle.
2. A Plataforma de Proteção de Workloads em Nuvem (CWPP) supervisiona a proteção de tempo de execução e o gerenciamento contínuo de vulnerabilidades de containers de nuvem.
3. O agente de segurança de acesso à nuvem (CASB) trabalha para melhorar a visibilidade em todos os endpoints, o que inclui quem está acessando os dados e como eles estão sendo usados.

CSPM, CWPP e CASB são a tríade para proteger dados e acesso à nuvem. As organizações são incentivadas a implementar todos os três métodos de segurança para otimizar sua infraestrutura de segurança na nuvem.

Uma análise aprofundada do CSPM, CWPP e CASB

Gerenciamento de postura de segurança em nuvem (CSPM)

O CSPM automatiza a identificação e a remediação de riscos em infraestruturas de nuvem, incluindo Infraestrutura como serviço (IaaS), Software como serviço (SaaS) e Plataforma como serviço (PaaS).

O CSPM é usado para visualização e avaliação de riscos, resposta a incidentes (IR), monitoramento de conformidade e integração de DevOps, e pode aplicar uniformemente as práticas recomendadas de segurança de nuvem a ambientes híbridos, multinuvem e de container.

Os CSPMs oferecem monitoramento contínuo de conformidade, prevenção de desvios de configuração e investigações do Centro de Operações de Segurança (SOC, na sigla em inglês). Além de monitorar o estado atual da infraestrutura, o CSPM também cria uma política que define o estado desejado da infraestrutura e garante que toda a atividade de rede suporte essa política.

Os CSPMs são desenvolvidos especificamente para ambientes de nuvem e avaliam todo o ambiente, não apenas as workloads. Os CSPMs também incorporam automação sofisticada e inteligência artificial, bem como remediação guiada, para que os usuários não apenas saibam que há um problema, mas também tenham uma ideia de como corrigi-lo.

Algumas organizações também podem ter uma avaliação da postura de segurança da infraestrutura de nuvem (CISPA), que é um CSPM de primeira geração. Os CISPAs se concentram principalmente em relatórios, enquanto os CSPMs incluem automação em níveis que variam da execução simples de tarefas ao uso sofisticado de inteligência artificial.

Plataforma de Proteção de Workload em Nuvem (CWPP)

As plataformas de proteção de workload em nuvem (CWPPs) protegem workloads de todos os tipos em qualquer local, oferecendo proteção unificada de workload em nuvem entre vários provedores. Eles são baseados em tecnologias como gerenciamento de vulnerabilidades, antimalware e segurança de aplicações que foram adaptadas para atender às necessidades de infraestrutura moderna.

Agente de segurança de acesso à nuvem (CASB)

Os agentes de segurança de acesso à nuvem (CASBs) são pontos de aplicação de segurança colocados entre provedores de serviços de nuvem e clientes de serviços de nuvem. Eles garantem que o tráfego esteja em conformidade com as políticas antes de permitir seu acesso à rede. Os CASBs geralmente oferecem firewalls, autenticação, detecção de malware e prevenção contra perda de dados.

Ameaças à segurança de aplicações em nuvem

As aplicações em nuvem são vulneráveis a uma ampla gama de ameaças que podem explorar erros de configuração do sistema, medidas fracas de gerenciamento de identidade, APIs inseguras ou software não corrigido. Aqui, revisamos algumas das ameaças mais comuns que as organizações devem considerar ao desenvolver sua estratégia e solução de segurança de aplicações em nuvem.

Configurações incorretas

Configurações incorretas são a maior ameaça à nuvem e à segurança de apps. Esses erros podem incluir buckets S3 mal configurados, que deixam portas abertas ao público, ou o uso de contas inseguras ou de uma interface de programação de aplicações (API). Esses erros transformam os workloads na nuvem em destinos óbvios, que podem ser facilmente descobertos com um simples rastreador Web. Na nuvem, a ausência de um perímetro de segurança pode tornar esses erros muito caros. Vários ataques relatados publicamente começaram com buckets S3 configurados incorretamente que foram usados como ponto de entrada.

Como muitas ferramentas de segurança de aplicações exigem configuração manual, esse processo pode estar cheio de erros e levar um tempo considerável para configurar e atualizar. Para isso, as organizações devem adotar ferramentas e tecnologias de segurança e automatizar o processo de configuração.

APIs não seguras

As APIs geralmente são o único ativo organizacional com um endereço IP público. Isso pode torná-las um alvo fácil para invasores, especialmente se forem inseguras devido a controles de acesso ou métodos de criptografia fracos.

Visibilidade e detecção de ameaças insuficientes

A mudança para a nuvem é um fenômeno relativamente recente para muitas organizações. Isso significa que muitas empresas podem não ter a maturidade de segurança necessária para operar com segurança em um ambiente multinuvem.

Por exemplo, alguns scanners de vulnerabilidades podem não fazer uma varredura em todos os ativos, como containers dentro de um cluster dinâmico. Outros não conseguem distinguir o risco real das operações normais, o que produz uma série de alarmes falsos para a equipe de TI investigar.

Dessa forma, as organizações devem desenvolver ferramentas, tecnologias e sistemas para inventariar e monitorar todas as aplicações, workloads e outros ativos na nuvem. Eles também devem remover quaisquer ativos desnecessários ao negócio para limitar a superfície de ataque.

Compreensão errônea do “Modelo de Responsabilidade Compartilhada” (ou seja, ameaças de tempo de execução)

As redes em nuvem aderem ao que é conhecido como “modelo de responsabilidade compartilhada”. Isso significa que grande parte da infraestrutura subjacente é protegida pelo provedor de serviços na nuvem. No entanto, a organização é responsável por todo o resto, incluindo o sistema operacional, aplicações e dados. Infelizmente, esse ponto pode ser mal interpretado, levando à suposição de que workloads em nuvem são totalmente protegidos pelo provedor da nuvem. Isso faz com que os usuários executem inadvertidamente workloads em uma nuvem pública que não está totalmente protegida, o que significa que os adversários podem ter como alvo o sistema operacional e as aplicações para obter acesso. Mesmo workloads configuradas com segurança podem se tornar um alvo em tempo de execução, pois são vulneráveis a exploits de dia zero.

 Shadow IT

A Shadow IT, que descreve aplicações e infraestrutura que são gerenciados e utilizados sem o conhecimento do departamento de TI da empresa, é outro grande problema em ambientes de nuvem. Em muitos casos, o DevOps geralmente contribui para esse desafio, pois a barreira para entrar e usar um ativo na nuvem — seja uma workload ou um container— é extremamente baixa. Os desenvolvedores podem gerar workloads facilmente usando suas contas pessoais. Esses ativos não autorizados são uma ameaça ao meio ambiente, pois muitas vezes não são protegidos adequadamente e são acessíveis por meio de senhas e configurações padrão, que podem ser facilmente comprometidas.

Falta de uma estratégia abrangente de segurança na nuvem

À medida que as workloads migram para a nuvem, os administradores continuam tentando proteger esses ativos da mesma forma que protegem servidores em um data center privado ou no local. Infelizmente, os modelos tradicionais de segurança para data center não são adequados para a nuvem. Com os ataques sofisticados e automatizados de hoje, somente uma segurança avançada e integrada pode evitar ataques bem-sucedidos. Ela deve proteger todo o ambiente de TI, incluindo ambientes multinuvem, bem como os data centers e usuários mobile da organização. Uma abordagem consistente e integrada que forneça visibilidade completa e controle granular em toda a organização reduzirá o atrito, minimizará a interrupção dos negócios e permitirá que as organizações adotem a nuvem com segurança e confiança.

Práticas recomendadas de segurança de aplicações em nuvem da CrowdStrike

As organizações devem projetar e implementar uma solução de segurança abrangente para se proteger contra uma gama crescente de ameaças e ataques cada vez mais sofisticados no ambiente de nuvem, incluindo aqueles relacionados a aplicações de nuvem. Para fazer isso, uma estratégia de segurança na nuvem deve aderir aos seguintes princípios:

1. Concentre-se no adversário

Em todas as áreas de segurança, incluindo a nuvem, é fundamental entender seus adversários e seu modus operandi: quem eles são, o que querem, o que devem realizar para obtê-lo e como isso é mapeado em uma superfície de ataque. A CrowdStrike observou que muitos dos mesmos adversários estão ativos na nuvem e em outras partes do cenário da TI.

A diferença é que a nuvem oferece aos adversários a oportunidade de usar um novo conjunto de táticas, técnicas e procedimentos (TTPs).

 2. Reduza o risco de exposição

Cada aplicação ou workload baseada em nuvem expande a superfície de ataque da organização, criando mais vias de entrada para possíveis invasores.

Existem duas maneiras principais de reduzir o risco de exposição:

1. Melhore a visibilidade em todo o ambiente de nuvem mantendo um inventário de todas as aplicações, workloads e outros ativos de nuvem.
2. Limite a superfície de ataque procurando e removendo continuamente aplicações ou workloads que não são necessárias para administrar o negócio.

 3. Desenvolver e implementar uma política, framework e arquitetura de segurança em nuvem

Desenvolva e aplique políticas de segurança na nuvem consistentes para garantir a segurança contínua de todos os ativos baseados na nuvem. Essas políticas devem definir quais usuários terão acesso às aplicações e como o acesso será autenticado e concedido por meio de medidas de segurança avançadas, como autenticação multifatorial (MFA) e métodos de gerenciamento de identidade e acesso (IAM).

As organizações também devem desenvolver uma estratégia de segurança abrangente que integre todos os elementos de cibersegurança, incluindo segurança de rede, segurança de infraestrutura, segurança de endpoint e segurança de nuvem. A arquitetura de segurança da nuvem deve abordar vários aspectos críticos da infraestrutura: proteção de dados, monitoramento e visibilidade, detecção de ameaças, governança da nuvem, conformidade com regulamentações relevantes e medidas de segurança estabelecidas para componentes físicos da infraestrutura.

4. Monitorar a superfície de ataque

É importante continuar procurando maneiras de melhorar a visibilidade da superfície de ataque necessária. Isso torna mais difícil para os adversários se esconderem e também aumenta seus custos de ataque.

Essa abordagem consiste em implementar o agente CrowdStrike Falcon® em todas as workloads e containers na nuvem e empregar a equipe CrowdStrike Falcon® OverWatch™ para investigar ameaças proativamente 24 horas por dia, 7 dias por semana. Além disso, a CrowdStrike usa indicadores de ataque (IOA) específicos, nativos em nuvem, analisa padrões de machine learning (ML) e executa investigação de ameaças de forma livre, procurando por atividades interativas executadas por adversários dentro do painel de controle e workloads em nuvem da CrowdStrike.

Esse nível de visibilidade, associado à investigação proativa de ameaças, permitiu à CrowdStrike detectar comportamentos sutis, quase imperceptíveis, com uma precisão extraordinária, como um incidente em que um adversário estava investigando a existência de determinados buckets de S3. Esses buckets não eram acessíveis ao público e foram nomeados de uma maneira que impossibilitava o uso da força bruta, o que levou os analistas da CrowdStrike a investigar como o adversário poderia ter obtido uma lista dos buckets S3.

Após uma pesquisa considerável, as fontes de inteligência da CrowdStrike supuseram que o adversário provavelmente estava obtendo nomes de buckets S3 a partir de dados de solicitação de DNS amostrados, que havia coletado de vários feeds públicos. Esse tipo de dado é facilmente obtido acessando recursos de WiFi público. A lição aqui é que o adversário às vezes tem mais conhecimento e visibilidade da pegada de nuvem de uma organização do que você imagina.