Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
A ameaça do abuso do provedor de serviços em nuvem
Para muitas empresas, os serviços de nuvem se tornaram um elemento fundamental das operações de TI à medida que buscam abordagens de nuvem híbrida e multinuvem em busca de maior eficiência e agilidade.
Os atores de ameaças também continuam a recorrer à nuvem, mas com o objetivo de abusar das capacidades dos provedores de serviços de nuvem para comprometer ambientes empresariais. Embora as empresas usem serviços baseados em nuvem para dar suporte à colaboração e aos processos de negócios, esses mesmos serviços são cada vez mais utilizados por atores mal-intencionados para operações de rede de computadores (CNO). Essa tendência provavelmente continuará no futuro próximo, à medida que mais empresas buscam ambientes de trabalho híbridos.
Vetores comuns de ataque em nuvem
Os vetores comuns de ataque em nuvem usados por criminosos eletrônicos e adversários de intrusão direcionados incluem:
Ataques de negação de serviço distribuídos (DDoS)
Um ataque DDoS é causado por um invasor que sobrecarrega um servidor Web, sistema ou rede com tráfego, dificultando ou impossibilitando o acesso de usuários legítimos aos recursos de TI. Os invasores são conhecidos por abusar de contas de nuvem sequestradas ou de testes gratuitos de usuários para ataques DDoS.
Tentativas de phishing
Os ciber criminosos usam phishing para roubar credenciais de usuários de serviços de nuvem para assumir o controle e usar essas contas em seus esquemas maliciosos.
Spam de e-mail
Os spammers usam infraestrutura de nuvem para enviar suas mensagens. Esses invasores aproveitam os serviços de computação em nuvem, aproveitando sua confiabilidade e largura de banda para auxiliar em suas operações.
Cryptojacking
No cryptojacking, os invasores usam o poder de computação da vítima para minerar criptomoedas. Se um invasor puder obter acesso aos recursos de nuvem de uma organização, ele poderá aproveitar esses ativos e usá-los para operações de mineração.
Ataque de força bruta
Ataques de força bruta são um método de comprometer contas de usuários em que um ator de ameaças usa tentativa e erro para adivinhar a senha ou as credenciais de login de um usuário. Formas comuns incluem ataques de dicionário e preenchimento de credenciais.
Hospedagem de conteúdo malicioso
Uma vez comprometidos, os serviços de nuvem podem ser usados para hospedar conteúdo malicioso, incluindo desde páginas de phishing até bots de spam. Essa tática tem o benefício adicional de tornar o conteúdo ruim mais difícil de bloquear, pois os atores de ameaças usam marcas confiáveis, permitindo que eles escondam conteúdo malicioso junto com conteúdo legítimo.
Atores internos maliciosos
Atores de ameaças internas representam um risco, pois podem usar seu acesso aos recursos da nuvem para alavancar esses ativos e lançar ataques.
Saiba mais
Uma estratégia completa de segurança na nuvem deve mitigar riscos, defender contra ameaças e superar desafios para que sua empresa use a nuvem para crescer com segurança.
Como funciona o abuso do provedor de serviços em nuvem
Os pesquisadores de ameaças da CrowdStrike monitoram a nuvem de perto em busca de atividades maliciosas, e os invasores continuam adotando táticas para melhorar sua furtividade e eficácia. Para os ciber criminosos, evitar a detecção é mais fácil ao abusar de relacionamentos confiáveis entre usuários, provedores e redes.
Os adversários fizeram uso dos provedores de serviços de nuvem para abusar das relações de confiança do provedor e obter acesso a outros alvos por meio de movimento lateral de ativos de autenticação corporativa hospedados na infraestrutura de nuvem. Se um adversário puder elevar seus privilégios para níveis de administrador global, ele poderá alternar entre os tenants de nuvem relacionados para ampliar seu acesso.
Esse problema é especialmente relevante se a organização atacada inicialmente for um provedor de serviços gerenciados (MSP). Nesse caso, o acesso de administrador global pode ser usado para assumir contas de suporte usadas pelo MSP e fazer alterações em suas redes de clientes, criando assim várias oportunidades de propagação vertical para muitas outras redes. Essa técnica foi usada pelo ator de ameaças COZY BEAR (um ator de ameaças afiliado à Rússia) ao longo de 2020, com evidências de intrusão contínua em redes MSP em 2021.
O QUE VOCÊ PODE FAZER PARA PROTEGER SEU AMBIENTE DE NUVEM
Assim como em ambientes locais, equipes de segurança com conhecimento sobre as ferramentas e táticas dos invasores têm mais chances de identificar e interromper ameaças mais rapidamente. As equipes de segurança devem ter em mente o seguinte para permanecerem fundamentadas nas melhores práticas.
Monitore identidades e como elas estão sendo usadas
Proteger ambientes de nuvem requer foco na identidade, incluindo proteger contas de usuários com senhas fortes e autenticação multifatorial (MFA) e monitorá-las em busca de atividades suspeitas.
Identificar os ativos mais críticos e monitorá-los em busca de comunicações de saída e exfiltração
As organizações precisam de visibilidade nos ambientes de nuvem para ficarem atentas a sinais de comprometimento. As conexões de saída devem ser examinadas para identificar comunicações incomuns.
Educar o centro de operações de segurança (SOC) sobre segurança na nuvem
Muitos analistas de SOC e de resposta incidentes não têm experiência em tecnologias de nuvem. Invista em treinamento, pois é crucial que a equipe do SOC entenda as ferramentas e a infraestrutura de nuvem.
Desenvolver planos de resposta a incidentes alinhados com o modelo de responsabilidade compartilhada
As organizações devem ter playbooks detalhados descrevendo como e quem deve responder e remediar as ameaças. As tecnologias de orquestração, automação e resposta de segurança (SOAR) são essenciais, permitindo que as empresas coletem dados relacionados a ameaças e automatizem a resposta.
Foco na investigação de ameaças na nuvem em indicadores de ataque (IOAs)
Como sempre, conhecimento é poder. As empresas devem aproveitar as últimas informações sobre ameaças para acompanhar os invasores e melhorar sua capacidade de detectar e responder aos riscos que enfrentam. O CrowdStrike Falcon Cloud Security fornece segurança nativa avançada para qualquer nuvem, alimentada por inteligência holística e proteção de ponta a ponta do host à nuvem, proporcionando maior visibilidade, conformidade e a detecção e resposta de ameaças mais rápidas do setor para enganar o adversário.
O Guia completo dos CNAPPs
Faça o download do Guia completo dos CNAPPs da CrowdStrike para entender melhor por que as plataformas de proteção de aplicações nativas em nuvem são componentes críticos das estratégias modernas de segurança na nuvem e como integrá-los melhor aos ciclos de vida de desenvolvimento.
Baixe agora
David Puzas é um respeitado profissional de marketing e líder empresarial focado em cibersegurança, nuvem e TI, com mais de duas décadas de experiência. Responsável por criar valor para o cliente e resultados inovadores para empresas como CrowdStrike, Dell SecureWorks e clientes IBM em todo o mundo. Ele se concentra na otimização da inovação em computação, tendências e suas implicações comerciais para a expansão e o crescimento do mercado. O objetivo de David é lançar o portfólio global de segurança de nuvem da CrowdStrike estrategicamente no mercado, além de impulsionar a retenção de clientes.
