Já entendemos através dos outros blogs onde exploramos vulnerabilidades que as inovações da tecnologia não ficam somente nas mãos daqueles que possuem boas intenções. Os criminosos digitais também estão passando por sua própria transformação digital e explorando infraestruturas modernas. Isso acontece em tempo real, à medida que adaptam cada vez mais seu conhecimento e habilidades comerciais para explorar ambientes cloud.
De acordo com o Relatório de Ameaças Globais CrowdStrike 2023, os casos de exploração de ambientes cloud aumentaram em 95% comparado com o ano anterior. Da mesma forma, os incidentes envolvendo agentes focados na nuvem quase triplicaram em relação a 2021. Como eles fazem isso? Vamos nos aprofundar mais sobre esse assunto.
Métodos de invasão e como combatê-las
Durante 2022, os agentes focados na nuvem geralmente possuíam acesso inicial aos ambientes utilizando contas existentes, redefinindo senhas ou explorando aplicativos voltados ao público, como servidores web. Eles inserem webshells ou shells reversos para garantir persistência.
Esses tipos de invasões baseadas em credenciais estão entre os vetores de exploração mais comuns utilizados pelos criminosos e por adversários de intrusão direcionada. Rotineiramente, eles hospedam páginas de autenticação falsas para coletar credenciais legítimas de serviços em nuvem, como Microsoft Office 365, Okta ou contas de webmail. Depois, utilizam essas credenciais para tentar acessar as contas das vítimas.
Uma vez bem-sucedidos, os dados indicam que a atividade dos adversários não se limita à nuvem. Há uma crescente evidência de que eles estão se tornando mais confiantes em explorar os endpoints tradicionais para migrar para a infraestrutura cloud. O oposto também é verdadeiro: a infraestrutura em nuvem está sendo usada como ponto de entrada para movimentação lateral em direção aos endpoints tradicionais. Torna-se evidente que a nuvem representa um vetor de ataque cada vez mais perigoso, exigindo proteção abrangente como parte de uma estratégia de segurança holística.
Mas como combater essas ameaças e se proteger? Para começar, é essencial que os líderes de TI e segurança adotem tecnologias nativas de cloud e possuam uma mentalidade focada nesse ambiente. Ambos esses elementos devem ser fundamentais para manter a flexibilidade, escalabilidade e consistência em toda a infraestrutura. Nesse contexto, uma abordagem combinada, que envolve segurança na nuvem baseada e sem agente, oferece a proteção mais abrangente.
Para te ajudar a se proteger, a e-Safer trabalha com vários parceiros ao redor do mundo. Um deles, a Crowdstrike, possui uma solução que oferece segurança na nuvem sem agente e em uma única plataforma, o CrowdStrike Falcon® Cloud Security. Uma abordagem exclusivamente baseada em agente se mostra frequentemente insuficiente devido à rápida mudança observada em ambientes de nuvem modernos. Não apenas os recursos na nuvem são gerados e desativados regularmente, mas também é necessário levar em consideração contêineres de curta duração e funções sem servidor, que surgem e desaparecem.
Outro desafio são as equipes que muitas vezes não têm acesso ou controle sobre todos os hosts em um ambiente, impossibilitando a implantação de agentes. Essa falta de cobertura cria pontos cegos de segurança que podem ser explorados por invasores. Dado que o tempo médio de interrupção da atividade interativa de intrusão de crimes eletrônicos diminuiu de 98 minutos em 2021 para 84 minutos em 2022, os adversários podem penetrar em um ambiente de nuvem sem serem notados, movendo-se lateralmente para remover o acesso a contas, encerrar serviços, roubar ou destruir dados e excluir recursos.
Ao unir a verificação sem agentes com a proteção orientada por eles, a CrowdStrike e a e-Safer oferecem visibilidade completa, detecção de ameaças em tempo real e resposta para prevenir violações. Dessa forma, você consegue mesclar um software completo com um SOC 24X7, conseguindo monitorar e gerenciar toda a sua empresa.
Seis dicas para se proteger contra ameaças cloud
- Controle de Acesso e Identidade: Utilize princípios de menor privilégio e zero trust para limitar as permissões dos usuários e implemente autenticação multifatorial para adicionar uma camada extra de segurança. Monitorar e auditar regularmente as identidades e os acessos ajuda a detectar atividades suspeitas.
- Criptografia de Dados e Tráfego: Implemente uma criptografia robusta para proteger dados sensíveis em repouso e em trânsito. Certifique-se de que as conexões entre os componentes do seu ambiente em nuvem sejam seguras usando protocolos como TLS e SSL.
- Monitoramento Contínuo: Estabeleça um sistema de monitoramento constante para identificar comportamentos anômalos ou atividades suspeitas. A detecção precoce de ameaças é essencial para uma resposta eficiente. Utilize ferramentas de análise de segurança e monitore logs de eventos para identificar padrões que possam indicar possíveis violações.
- Atualizações e Patches Regulares: Mantenha seu ambiente atualizado com as últimas atualizações e patches de segurança. Muitas vulnerabilidades exploradas por atacantes podem ser corrigidas com atualizações simples. Automatize o processo de aplicação de patches sempre que possível para garantir a prontidão contra ameaças conhecidas.
- Planejamento para Recuperação de Desastres: Desenvolva e teste regularmente planos de recuperação de desastres para garantir que sua organização possa se recuperar rapidamente de eventos adversos. Isso inclui a criação de backups regulares e a verificação da eficácia dos procedimentos de recuperação para minimizar o impacto de incidentes de segurança.
- Educação e Conscientização: Invista em programas de educação e conscientização em segurança cibernética para todos os usuários do ambiente em nuvem. Os funcionários bem informados são uma linha de defesa valiosa. Ensine as melhores práticas de segurança, como o reconhecimento de phishing, e promova uma cultura de segurança em toda a organização.
Por que escolher se proteger conosco?
Enquanto as empresas buscam a excelência na proteção em nuvem, também almejam reduzir a complexidade gerencial das ferramentas. É nesse momento em que os anos de experiência que temos, combinados com a CrowdStrike traz uma plataforma única e integrada, abrangendo a proteção de clientes em endpoints, identidades e cargas de trabalho em nuvem, incluindo ambientes multi-nuvem e de nuvem híbrida.
Dessa forma, seus profissionais de TI terão todas as informações que precisam em um só lugar, facilitando a resposta imediata e o descobrimento de ameaças e vulnerabilidades. Com a infraestrutura subjacente do Falcon Threat Graph, o núcleo da plataforma nativa da nuvem Falcon, você consegue integrar essas detecções para proporcionar uma visão abrangente, desde o endpoint até a nuvem.
Diante do cenário atual de ameaças em constante evolução, onde os adversários atuam de várias direções, as organizações precisam buscar uma plataforma de segurança nativa da nuvem para atender às suas exigências de segurança.