Ameaças comuns na nuvem: exploração de vulnerabilidades na nuvem

A adoção da nuvem se tornou essencial para a transformação digital, proporcionando às empresas a agilidade e a escalabilidade necessárias para atender melhor os clientes. No entanto, a adoção da nuvem também expandiu a superfície de ataque que essas empresas devem monitorar e proteger.

As equipes de segurança têm dificuldade para acompanhar o ritmo devido à baixa visibilidade e às abordagens fragmentadas para gerenciamento de segurança e detecção de ameaças, além de porque a superfície de ataque se expande com cada workload implementada na nuvem. Portanto, proteger a nuvem requer um modelo de segurança diferente daquele que protege seu ambiente local.

Vulnerabilidades comuns na nuvem

Para defender ambientes de nuvem, as equipes de segurança devem proteger contra vulnerabilidades comuns de nuvem, incluindo estas:

Configurações incorretas

Configurações incorretas geralmente são causadas por falta de conhecimento geral ou revisão e podem incluir desde usuários com acesso desnecessário a recursos até containers deixados expostos ao público.

APIs inseguras

As APIs são cada vez mais usadas no desenvolvimento de software moderno e em microsserviços, aplicações e backends de sites. Elas devem lidar com uma variedade de solicitações. Infelizmente, algumas dessas solicitações vêm de atores de ameaças e têm como alvo vulnerabilidades e configurações incorretas.

Falta de autenticação multifatorial (MFA)

MFA exige que o usuário apresente pelo menos duas formas de identificação para validação de acesso a uma conta ou dados. As senhas dos usuários são vulneráveis a roubo, tornando a falta de MFA uma vulnerabilidade potencialmente crítica.

Falta de controle sobre as ações do usuário final

Exercer controle sobre quem pode acessar os recursos da nuvem e monitorar a atividade do usuário são componentes essenciais para proteger a nuvem. Sem eles, as organizações correm o risco de uma situação em que a atividade maliciosa passa despercebida

Pontos fracos na segurança da cadeia de suprimentos de software

Geralmente, as aplicações nativas em nuvem usam software de código aberto. Esse software é muito visado pelos atores de ameaças, então as organizações devem tomar medidas para mitigar o risco de introdução de vulnerabilidades e configurações incorretas.

Como funciona a exploração de vulnerabilidades na nuvem

Pesquisadores da CrowdStrike estão de olho no cenário de ameaças em constante evolução que as organizações de hoje enfrentam. À medida que as empresas adotam novas arquiteturas de nuvem em busca de melhor escalabilidade, eficiência e segurança, os atores de ameaças percebem e estão mirando a infraestrutura de nuvem.

Atores mal-intencionados tendem a explorar oportunisticamente vulnerabilidades conhecidas de execução remota de código (RCE) em softwares de servidor, geralmente procurando servidores vulneráveis sem se concentrar em setores específicos da indústria ou regiões geográficas. Após obter acesso inicial, os atores podem implementar uma variedade de ferramentas. A exploração criminosa mais ampla de serviços de nuvem para acesso inicial inclui a exploração de vulnerabilidades de aplicações de transferência de arquivos.

Desde janeiro de 2021, diversas empresas divulgaram ataques relacionados a esse tipo de exploração. A VMware também foi alvo de atores de ameaças, incluindo a CVE-2021-21972, uma vulnerabilidade crítica que afeta os produtos VMware ESXi, vCenter Server e Cloud Foundation. Explorar essa vulnerabilidade fornece um método simples e confiável que os atores de ameaças podem usar em vários sistemas operacionais host, vetores de ataque e estágios de intrusão. É provável que diversos adversários, principalmente os que praticam Big Game Hunting (BGH), tenham aproveitado essa vulnerabilidade.

O que você pode fazer para proteger seu ambiente de nuvem

Habilite a proteção de tempo de execução e obtenha visibilidade em tempo real

Você não pode proteger o que não pode ver, mesmo que planeje desativar a infraestrutura. A proteção de tempo de execução e a visibilidade contínua são essenciais para proteger sua infraestrutura de nuvem e evitar ataques. Continua sendo essencial proteger seus containers, servidores e workloads com proteção de endpoint de última geração, incluindo servidores, estações de trabalho e dispositivos móveis, independentemente de residirem em um data center local ou cluster virtual ou estarem hospedados na nuvem.

Tenha como missão eliminar erros de configuração

A causa raiz mais comum de invasões à nuvem continua sendo erros humanos e omissões durante atividades administrativas comuns. É essencial configurar uma nova infraestrutura com padrões default que facilitem a adoção de operações seguras. Uma maneira de fazer isso é usar uma fábrica de contas na nuvem para criar novas subcontas e assinaturas. Essa estratégia garante que novas contas sejam configuradas de maneira previsível, eliminando fontes comuns de erro humano. Além disso, certifique-se de configurá-los sob gerenciamento total junto com seu CSPM. Em seguida, use seu CSPM em toda a infraestrutura até o encerramento da conta ou assinatura para garantir que as equipes de operações tenham visibilidade contínua.

Obtenha mais controle sobre as ações do usuário

As organizações precisam empregar controles de acesso, como os encontrados nas soluções de infraestrutura de nuvem e gerenciamento de direitos (CIEM) da CrowdStrike, para gerenciar e proteger recursos de nuvem. Esses controles devem ser apoiados pela visibilidade das workloads e da infraestrutura da nuvem. Para proteger ambientes de nuvem, crie funções padrão e grupos de segurança de rede que impeçam desenvolvedores e operadores de precisarem criar seus próprios perfis de segurança e, acidentalmente, fazê-lo de forma incorreta.

Seja proativo quando se trata de proteger APIs

A proliferação de APIs representa um desafio para desenvolvedores e equipes de segurança. No entanto, ao “mudar para a esquerda” (antecipar) e integrar a segurança ao processo de CI/CD, as organizações podem reduzir os riscos. Além disso, ataques de injeção de código direcionados a APIs vulneráveis podem ser evitados com um firewall de aplicação Web configurado para filtrar solicitações por endereço IP de origem e/ou informações de cabeçalho HTTP.

Utilize uma solução de gestão de postura de segurança em nuvem (CSPM)

Garanta que sua fábrica de contas na nuvem inclua a ativação de registro detalhado e um CSPM, como o CrowdStrike Falcon Cloud Security™, com alertas às partes responsáveis, incluindo equipes de operações na nuvem e do centro de operações de segurança (SOC). Procure ativamente assinaturas de nuvem não gerenciadas e, quando as encontrar, não presuma que elas são gerenciadas por outra pessoa. Em vez disso, garanta que as partes responsáveis sejam identificadas e motivadas a desativar quaisquer ambientes de nuvem de TI paralelos ou a trazer as organizações para que sejam capazes de aplicar políticas de segurança de forma consistente em várias plataformas de nuvem.

Proteja recursos multinuvem estabelecendo acesso de privilégio mínimo

Permissões excessivas aumentam o risco de ataque. Os usuários devem ter apenas o nível de acesso necessário para executar suas tarefas com eficiência. Com o princípio do privilégio mínimo orientando decisões sobre direitos de acesso, as organizações podem reduzir a quantidade de danos potenciais que podem ser causados se uma conta for comprometida.