No primeiro semestre deste ano, 38% das organizações tinham pelo menos uma carga de trabalho em nuvem criticamente vulnerável, altamente privilegiada e publicamente exposta, de acordo com um estudo de telemetria de clientes da Tenable.
CONTEÚDOS RELACIONADOS
– Para ter visibilidade dos processos em nuvem, Cosan adota solução da Orca Securtiry
– Apenas 3% das vulnerabilidades representam risco significativo à segurança cibernética, diz pesquisa
“Essa ‘tríade de nuvem tóxica’ cria um caminho de ataque de alto risco que torna essas cargas de trabalho os principais alvos de malfeitores”, conclui o estudo. O resultado disso é que “mais de um terço das organizações podem potencialmente aparecer nas manchetes de amanhã”, destaca.
Mesmo ter cargas de trabalho com um ou dois desses fatores de risco pode gerar enormes implicações de segurança para uma organização, disse o estudo.
As organizações de usuários finais têm sua parcela de culpa nisso, diz Jeremy Roberts, diretor sênior de pesquisa do Info-Tech Research Group, e não relacionado ao estudo.
“A nuvem é uma ferramenta como qualquer outra; como você a usa é o que importa”, afirma ele. “Muitas violações de nuvem não são relacionadas ao provedor, mas sim devido a uma gestão ineficaz, como a violação do Capital One em 2019. As permissões devem ser auditadas regularmente, princípios de confiança zero aplicados e gestão central (torres de controle, etc.) usada para padronizar uma linha de base de segurança.”
As falhas
No geral, o estudo indica que 74% das organizações tinham armazenamento exposto publicamente, alguns dos quais incluíam dados confidenciais. A causa dessa exposição geralmente eram permissões desnecessárias ou excessivas. E, ele diz, “à medida que as organizações aumentam o uso de aplicativos nativos da nuvem, também aumenta a quantidade de dados confidenciais que elas armazenam lá — incluindo informações de clientes e funcionários e IP comercial. Os hackers são motivados a obter esses dados armazenados na nuvem”. Portanto, muitos dos relatórios de ataques de ransomware direcionados ao armazenamento em nuvem durante o período do relatório visavam recursos de nuvem pública com privilégios de acesso excessivos e poderiam ter sido evitados.
Uma análise da telemetria de armazenamento exposta revelou que 39% das organizações têm buckets públicos, 29% têm buckets públicos ou privados com acesso superprivilegiado e 6% têm buckets públicos com acesso superprivilegiado.
O armazenamento não é o único problema, no entanto. Um preocupante 84% das organizações tem chaves de acesso não utilizadas ou de longa data com permissões excessivas críticas ou de alta gravidade, que, segundo o estudo, “desempenharam papéis importantes em vários ataques e comprometimentos baseados em identidade”. Ele citou a violação de dados do MGM Resorts, o hack de e-mail da Microsoft e o malware FBot direcionado a servidores da web, serviços de nuvem e software como serviço, que atinge persistência e se propaga na AWS por meio de usuários do AWS IAM (gerenciamento de identidade e acesso) como três exemplos de como as chaves podem ser abusadas.
“Os principais riscos do IAM são as chaves de acesso e suas permissões atribuídas; combinadas, elas são literalmente as chaves para o reino dos dados armazenados na nuvem”, observa.
Faça
Adicione o fato de que 23% das identidades de nuvem nos principais hiperescaladores (Amazon Web Services, Google Cloud Platform e Microsoft Azure), tanto humanos quanto não humanos, têm permissões excessivas críticas ou de alta gravidade, e você tem uma receita para o desastre.
Essa situação se deve em parte à natureza humana, de acordo com Scott Young, diretor consultivo principal do Info-Tech Research Group.
O estudo também descobriu que 78% das organizações têm servidores Kubernetes API acessíveis publicamente, 41% dos quais permitem acesso de entrada à Internet, o que foi descrito como “preocupante”. Além disso, 58% permitem que certos usuários controlem irrestrito sobre os ambientes do Kubernetes, e 44% executam contêineres em modo privilegiado, duas configurações de permissão que amplificam os riscos de segurança.
Mitigações
A Tenable propôs uma série de estratégias de mitigação para ajudar as organizações a reduzir seus riscos. Crie um ethos orientado ao contexto: reúna informações de identidade, vulnerabilidade, configuração incorreta e risco de dados em uma ferramenta unificada para obter visualização, contexto e priorização precisos em torno do risco de segurança da nuvem. “Nem todo risco é criado igual — identificar combinações tóxicas pode reduzir drasticamente o risco.”
Gerencie de perto o acesso ao Kubernetes/contêiner: siga os Padrões de Segurança de Pod, incluindo a limitação de contêineres privilegiados e a aplicação de controles de acesso. Restrinja o acesso de entrada, limite o acesso de entrada aos servidores da API do Kubernetes e garanta que as configurações do Kubelet desabilitem a autenticação anônima. Além disso, revise as vinculações de função de cluster cluster-admin e veja se elas são realmente necessárias; caso contrário, vincule os usuários a uma função com privilégios mais baixos.
Gerenciamento de credenciais e permissões: “Alterne regularmente as credenciais, evite usar chaves de acesso de longa duração e implemente mecanismos de acesso Just-in-Time. Audite e ajuste regularmente as permissões para identidades humanas e não humanas para aderir ao princípio do menor privilégio.”
Priorize vulnerabilidades: concentre esforços de correção, como aplicação de patches em vulnerabilidades de alto risco, especialmente aquelas com altas pontuações de VPR.
Minimize a exposição: revise todos os ativos expostos publicamente para determinar se a exposição é necessária e não compromete informações confidenciais ou infraestrutura crítica. Mantenha-se atualizado com os patches.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn