Aproveitando o poder do CTEM para segurança na nuvem

As soluções em nuvem estão mais populares – e, portanto, mais expostas – do que nunca.

Somente em 2023, impressionantes 82% das violações de dados ocorreram em ambientes de nuvem pública, privada ou híbrida. Além do mais, quase 40% das violações abrangeram vários ambientes de nuvem. O custo médio de uma violação da nuvem ficou acima da média geral, de US$ 4,75 milhões. Numa época em que a nuvem se tornou o padrão de facto – com 65% dos decisores de TI a confirmarem que os serviços baseados na nuvem são a sua primeira escolha quando atualizam ou compram novas soluções – apesar da sua enorme proeminência, a segurança na nuvem ainda enfrenta múltiplos desafios.

Desafios de segurança na nuvem

Um grande obstáculo é a falta de visibilidade. Ao contrário dos servidores físicos que você pode ver e tocar, os recursos da nuvem geralmente estão espalhados por vastas redes, dificultando o monitoramento de atividades suspeitas e deixando vulnerabilidades não detectadas. Outro desafio é a inconsistência entre os sistemas de gerenciamento de permissões dos fornecedores de nuvem. Diferentes provedores têm controles diferentes sobre quem pode acessar e modificar dados. Essa inconsistência cria complexidade e aumenta o risco de configurações incorretas acidentais, que são uma das principais causas de violações.

Além disso, com múltiplas equipas envolvidas em implementações na nuvem – desenvolvimento, operações, segurança – a propriedade e a responsabilidade claras pela segurança na nuvem podem ser confusas. Esta falta de coordenação pode levar a situações em que as melhores práticas de segurança são ignoradas ou ignoradas. Além disso, muitos ataques passam da nuvem para ambientes locais e vice-versa, o que pode colocar ambos os ambientes em risco.

Todos esses desafios destacam a necessidade urgente de soluções robustas de segurança em nuvem que forneçam visibilidade abrangente, gerenciamento padronizado de permissões e linhas de responsabilidade claras. No entanto, os recursos de segurança são escassos, mesmo nas equipes mais bem provisionadas – e espera-se que as equipes de segurança na nuvem investiguem e remediem milhares de exposições que podem não ter todas o mesmo impacto em recursos críticos. Isto leva à incerteza sobre o que corrigir primeiro e como realmente abordar todas as exposições identificadas, deixando os ambientes de nuvem expostos a ataques cibernéticos.

O gerenciamento contínuo da exposição é essencial

Em vez de perseguir inúmeras vulnerabilidades, as equipes de segurança precisam priorizar as mais críticas. Isso significa ser capaz de identificar rapidamente os caminhos de ataque mais perigosos e tomar medidas preventivas contra métodos avançados de ataque na nuvem.

Ao se concentrarem em áreas de alto risco, as equipes de segurança em nuvem podem criar planos de remediação direcionados que evitam grandes ataques, simplificam fluxos de trabalho e relatam com precisão ameaças reais em vários ambientes de nuvem. A chave para conseguir isso é o Gerenciamento Contínuo de Exposição a Ameaças (CTEM), um programa ou estrutura proativa e contínua de cinco etapas que reduz a exposição a ataques cibernéticos. Introduzido pela primeira vez pelo Gartner em 2022, o CTEM provou ser essencial para prevenir ataques de alto impacto, melhorar a eficiência da remediação e relatar riscos reais.

O CTEM foi introduzido para resolver o problema de listas intermináveis ​​de exposições e, mais especificamente, de vulnerabilidades, em ambientes locais. Não ser capaz de destacar e corrigir as exposições mais críticas deixa as equipes de segurança corrigindo CVEs que podem ou não ser exploráveis ​​ou impactantes em seu ambiente específico. Em ambientes multinuvem, as listas de vulnerabilidades podem ser mais curtas, mas juntamente com configurações incorretas e acesso altamente privilegiado, elas resultam em uma longa lista de exposições que os invasores podem usar para violar o ambiente multinuvem e que as equipes de segurança devem abordar. A única forma de bloquear ataques é identificando e corrigindo as exposições com maior impacto no seu negócio. Isso requer a adoção da estrutura CTEM no ambiente de nuvem.

Corrija o que é importante em várias nuvens

Para ajudar as equipes de segurança na nuvem a corrigir o que é importante e bloquear ataques de alto impacto em ambientes multinuvem, um programa CTEM abrangente destacará as entidades mais impactantes que podem comprometer os recursos da nuvem. Essas soluções identificam os recursos da nuvem que podem ser comprometidos e descobrem todas as exposições que os invasores podem usar para comprometê-los. Mapear os caminhos de ataque que os invasores podem explorar ajuda a priorizar e validar as exposições mais impactantes que podem ser exploradas no ambiente multinuvem, a fim de abordá-las primeiro.

Por exemplo, adotar a perspectiva do invasor permite identificar os principais pontos de estrangulamento. Os pontos de estrangulamento são pontos fracos críticos nas defesas da nuvem, onde vários caminhos de ataque convergem para uma única exposição. Eles podem ser facilmente violados por invasores que podem então acessar uma vasta rede de recursos – bancos de dados, computadores, controles de identidade e muito mais. Ao priorizar essas áreas de alto impacto, as equipes de segurança concentram-se nos alvos mais atraentes para os invasores, maximizando o retorno dos seus esforços de segurança. Os pontos de estrangulamento comuns incluem sistemas voltados para a Web e contas de acesso não utilizadas. Abordá-los reduz significativamente a superfície de ataque, fortalecendo efetivamente todo o seu ambiente de nuvem.

Exemplo de Cloud Choke Level mostrando caminhos de ataque de entrada e saída

Outro exemplo de exposição de alto impacto decorre do acesso altamente privilegiado predefinido. Contas altamente privilegiadas, como administradores predefinidos, são consideradas ativos de “fim de jogo”. Se comprometidos, os invasores podem causar estragos. Ter uma abordagem abrangente ao CTEM ajuda a identificar essas contas e a descobrir pontos fracos que podem deixá-las vulneráveis. Isso inclui detectar acesso de administrador sem autenticação multifator (MFA) ou contas de serviço não utilizadas – essencialmente; pontos fracos que os invasores adorariam explorar.

Para garantir que as exposições críticas sejam abordadas, soluções avançadas de gestão de exposição fornecem orientações e alternativas de remediação. Na maioria das vezes, contas altamente privilegiadas ou recursos voltados para a Web não podem ser restringidos, mas a análise do caminho de ataque que leva a eles torna possível encontrar uma solução que reduza a sua explorabilidade e, portanto, o seu nível de risco.

Interrompendo ataques em ambientes híbridos

Os atacantes não estão limitados por ambientes híbridos e os defensores devem garantir que eles também não estejam limitados. Soluções que analisam caminhos de ataque híbridos, em ambientes locais e multinuvem, permitem que as equipes de segurança fiquem um passo à frente dos ataques – entendendo exatamente onde estão expostas às ameaças cibernéticas. Essas ferramentas fornecem detalhes completos sobre possíveis pontos de violação, técnicas de ataque, uso de permissões e alternativas de remediação para ajudar os clientes a lidar com essas exposições e bloquear os caminhos de ataque mais críticos.

Exemplo de caminho de ataque híbrido no MS Energetic Listing e AWS

Resumo

Enquanto a segurança tradicional na nuvem luta contra o quantity de exposições sempre presentes, o CTEM oferece um plano de remediação prático, concentrando-se nas mais críticas em um ambiente específico. A abordagem correta para CTEM abrange ambientes locais e multinuvem, abrangendo todo o seu cenário de TI. Esta abordagem holística elimina pontos cegos e capacita as organizações a fazerem a transição da defesa reativa para a proativa. Ao adotar o CTEM, as organizações podem garantir o seu sucesso no futuro baseado na nuvem.

Observação: Este artigo com contribuição especializada foi escrito por Zur Ulianitzky, vice-presidente de pesquisa de segurança da XM Cyber.