A Unit 42, equipe de inteligência de ameaças da Palo Alto Networks lançou seu relatório de ameaças à nuvem. O documento revela que, embora tenha havido uma mudança radical na maneira como as equipes de DevOps estão aproveitando a infraestrutura de nuvem nos últimos 18 meses (com a infraestrutura como código – IaC – finalmente se tornando uma prática comum, pois as equipes tentam automatizar mais processos de criação na nuvem), a segurança na nuvem está, infelizmente, se movendo na direção errada. Os principais resultados incluem:
• Mais de 199.000 templates inseguros em uso: os pesquisadores da Unit 42 identificaram vulnerabilidades de alta e média gravidades ao longo de sua investigação. Pesquisas anteriores da Unit 42 mostram que 65% dos incidentes na nuvem foram causados por simples configurações incorretas. Essas novas descobertas do relatório esclarecem por que as configurações incorretas da nuvem são tão comuns;
Computação em nuvem deve crescer 35% ao ano no Brasil até 2022, diz pesquisa
• 43% dos bancos de dados na nuvem não são criptografados: manter os dados criptografados não apenas impede que os invasores leiam as informações armazenadas, como também é um requisito dos padrões de compliance, como o HIPAA;
• Um aumento de 20 a 30% nas cargas de trabalho mal configuradas na nuvem, com centenas de milhares de modelos inseguros em uso;
• As práticas inadequadas ainda são comuns, com 43% dos bancos de dados em nuvem não sendo criptografados e 60% dos sistemas de armazenamento em nuvem estão com o log desativado;
• O grupo de mineração de criptomoedas ‘8220’ usa IPs do – entre outros países – Brasil para suas operações de criptografia.
Embora a IaC ofereça às organizações o benefício de impor padrões de segurança de maneira sistemática, a pesquisa mostra que esse recurso ainda não está sendo aproveitado. Matthew Chiodi, CSO para nuvem pública da Palo Alto Networks, observa: “É preciso apenas uma configuração incorreta para comprometer todo um ambiente de nuvem. Encontramos 199.000 deles. Porém, uma boa notícia é que a IaC pode oferecer muitos benefícios às equipes de segurança, como permitir que a segurança seja implantada logo no início do processo de desenvolvimento de um software e também incorporá-la nos próprios componentes da infraestrutura de nuvem de uma organização”.
O relatório indica que várias infraestruturas na nuvem ainda são muito frágeis em um momento em que estamos nos preparando para a LGPD e as empresas estão mais preocupadas do que nunca com vazamentos e privacidade do usuário. Para ter acesso ao relatório completo, clique AQUI.
Deixe a sua opinião sobre as reportagens do IPNews no Facebook, LinkedIn e Twitter