A computação em nuvem (cloud computing) continua a transformar a maneira como as empresas usam, armazenam e compartilham dados, aplicativos e cargas de trabalho. A solução, no entanto, também introduziu uma série de novas ameaças e desafios de segurança. Com tanta informação entrando na nuvem — especialmente em serviços de nuvem pública —, esses recursos se tornam alvos naturais para criminosos cibernéticos.
Para fornecer às organizações um entendimento atualizado das preocupações com a segurança na nuvem, a Cloud Security Alliance publicou um relatório descrevendo as 11 principais ameaças identificadas por especialistas:
1. Vazamento de Dados (Data Breach)
Vazamentos de dados continuam a ser uma das principais preocupações com a segurança na nuvem, pois essas ameaças podem causar danos financeiros significativos e prejuízos à reputação de uma empresa. Elas também podem resultar na perda de propriedade intelectual e em responsabilidades legais significativas.
2. Má Configuração (Misconfigurations)
Esta é uma ameaça nova, mas não surpreendente, pois existem inúmeros exemplos de empresas expondo dados acidentalmente através da nuvem. Um desses exemplos é a Exactis, que deixou um banco de dados contendo informações pessoais de 230 milhões de consumidores dos EUA devido a configurações inadequadas.
3. Falta de Arquitetura e Estratégia de Segurança
Este problema é tão antigo quanto a própria nuvem. O desejo de minimizar o tempo necessário para migrar sistemas e dados para a nuvem muitas vezes tem precedência sobre a segurança. Como resultado, a empresa acaba utilizando infraestrutura e estratégias de segurança que não foram projetadas para o ambiente de nuvem.
4. Gerenciamento Insuficiente de Identidade, Credenciais e Acesso
Outra ameaça é a gestão e o controle inadequados do acesso a dados, sistemas e outros recursos. O relatório afirma que a nuvem exige que as organizações mudem as práticas relacionadas à gestão de identidade e acesso. Caso contrário, elas podem sofrer incidentes de segurança e violações devido a falhas em credenciais, senhas, autenticação, entre outros.
5. Roubo de Contas (Account Takeovers)
O sequestro de contas (account hijacking) continua a ser uma das principais ameaças à nuvem. À medida que as tentativas de phishing se tornam mais eficazes e direcionadas, os riscos de um invasor obter acesso a contas privilegiadas são significativos. Vale ressaltar que o phishing não é a única maneira de um criminoso cibernético obter credenciais. Eles também podem adquiri-las comprometendo o próprio serviço de nuvem.
6. Ameaças Internas (Insider Threats)
As ameaças de usuários confiáveis são tão sérias na nuvem quanto são em sistemas on-premises (locais). Esses indivíduos podem ser funcionários atuais ou antigos, contratados ou um parceiro de negócios confiável: qualquer pessoa que não precise violar as defesas da empresa para acessar seus sistemas.
Um usuário não precisa ter intenção maliciosa para causar danos. Estudos recentes mostram que em 2018, 64% de todos os incidentes relatados foram causados por negligência de funcionários ou contratados. Essa negligência pode incluir servidores mal configurados, armazenamento de dados confidenciais em dispositivos pessoais ou ataques de phishing.
7. Interfaces e APIs Inseguras
Interfaces e APIs não seguras são um vetor de ataque comum, como o Facebook bem sabe. Em 2018, a rede social sofreu uma violação que afetou mais de 50 milhões de contas. Especialmente quando associadas a interfaces de usuário, as vulnerabilidades de API podem fornecer aos invasores um caminho simples para roubar credenciais de usuários ou funcionários.
8. Plano de Controle Fraco
Um plano de controle abrange processos para duplicação, migração e armazenamento de dados. De acordo com o relatório, ele pode ser considerado fraco se a pessoa responsável pelos processos não tiver controle total sobre a lógica, a segurança e a verificação da infraestrutura de dados. Os stakeholders no controle precisam entender as configurações de segurança, como os dados fluem e seus pontos fracos. Não ter essa prática pode resultar em vazamentos de informação, indisponibilidade de dados ou corrupção de informações.
9. Falhas Estruturais
A metaestrutura de um provedor de serviços em nuvem mantém informações de segurança sobre como ele protege seus sistemas — e divulga essas informações por meio de chamadas de API. As APIs ajudam os clientes a detectar acessos não autorizados, mas também contêm informações altamente confidenciais, como logs ou dados de sistemas de auditoria.
Essa linha também é um potencial ponto de falha, permitindo que invasores acessem os dados. A má implementação de API é frequentemente a causa das vulnerabilidades.
Os clientes, por outro lado, podem não saber como implementar aplicativos na nuvem. Este problema é particularmente verdadeiro ao conectar aplicativos que não foram projetados para ambientes de nuvem.
10. Visibilidade Limitada
Uma queixa comum entre os profissionais de segurança é que um ambiente de nuvem os torna cegos para a maioria dos dados necessários para detectar e prevenir atividades suspeitas. Especialistas dividem este desafio em duas categorias: o uso não autorizado de aplicativos e o uso indevido de aplicativos sancionados.
Qualquer aplicativo que não atenda às diretrizes de segurança corporativa representa um risco desconhecido para a equipe. O uso indevido envolve o uso de aplicativos aprovados por indivíduos autorizados ou por criminosos cibernéticos com credenciais roubadas. Neste cenário, as equipes de segurança devem saber a diferença entre usuários, detectando comportamentos anormais.
11. Abuso
Criminosos cibernéticos estão usando cada vez mais serviços de nuvem legítimos para apoiar suas atividades. Por exemplo, eles podem usar um serviço de nuvem para hospedar malware disfarçado, lançar ataques DDoS, enviar e-mails de phishing, minerar moedas virtuais ou realizar ataques para roubar credenciais.
Para os especialistas, os provedores de serviços em nuvem devem tomar medidas para mitigar riscos e detectar abusos, como fraude em ferramentas de pagamento ou mau uso de serviços. Também é importante que os provedores tenham uma estrutura de resposta a incidentes para permitir que os clientes relatem problemas.