Os riscos de segurança negligenciados da nuvem | Minuto da Segurança da Informação

Os riscos de segurança negligenciados da nuvem. Especialista fala sobre as principais preocupações de segurança para aqueles que adotam máquinas virtuais, armazenamento em nuvem pública e estratégias de nuvem para trabalho remoto

A rede em nuvem fez mais para mudar a computação como a conhecemos do que qualquer outra inovação nos últimos 15 anos. Ele permitiu que pequenas empresas implantassem rapidamente uma presença online, grandes empresas para escalar conforme a demanda cresce ou diminui e, em um mundo pós-COVID, fornece a base para uma força de trabalho remota.

Essa conveniência, entretanto, não veio sem seu próprio conjunto de desafios, e a corrida para “mudar para a nuvem” frequentemente deixou as organizações e seus usuários com um conjunto inteiramente novo de desafios de segurança e questões de privacidade de dados.

Os mercados de nuvem estão repletos de imagens de máquina virtual (VM) pré-construídas contendo vulnerabilidades não corrigidas, configurações de firewall excessivamente permissivas e até malware e mineradores de moedas. Os provedores de nuvem não assumem uma postura proativa em relação ao monitoramento de violação / comprometimento e, em muitos casos, nem mesmo repassam notificações aos seus clientes que receberam de pesquisadores externos.

As implantações em nuvem também são uma grande fonte de vazamentos de dados (bulks S3, bancos de dados abertos / servidores NoSQL) e provedores de dados de terceiros em execução na nuvem continuam a ser uma fonte de vazamentos de dados de organizações que de outra forma seriam seguras.

A segurança é fundamental para as empresas que criam e mantêm as principais nuvens, como Azure, AWS, Google Cloud Platform (GCP) e outras – a Microsoft, por exemplo, tem um processo extremamente bem desenvolvido para proteger sua camada de hypervisor. Mas, devido à natureza do fornecimento de soluções de infraestrutura / plataforma / software como serviço (IaaS / PaaS / SaaS), uma grande parte do trabalho é deixada para o cliente.

O problema com VMs pré-construídas e pré-instaladas

Mercados ou galerias em nuvem são os repositórios de VMs pré-construídas disponíveis para os clientes implementarem. Embora os provedores de nuvem ofereçam métodos para que os clientes carreguem suas próprias imagens de VM para fácil implantação e escalonamento automático, muitas pessoas preferem a conveniência de usar uma imagem pré-construída.

Embora convenientes, essas imagens estão freqüentemente desatualizadas ou implantadas com configurações de firewall excessivamente permissivas, que podem abrir a VM para ataques imediatamente após a inicialização. Outra tendência preocupante foi a introdução de imagens de VM pré-instaladas com malware ou mineradores de criptomoeda – como foi visto com o Docker Hub.

Embora perigosos, esses ataques são apenas a ponta do iceberg em termos de potencial malicioso. Um invasor devidamente motivado poderia, em teoria, desenvolver uma imagem de VM que, após um período de tempo predeterminado, liga para os operadores de malware e estabelece uma conexão de comando e controle (C2).

As principais nuvens, como AWS e Azure, provisionam IPs internos automaticamente para serem acessíveis apenas às máquinas virtuais que fornecem detalhes da assinatura sob a qual a VM é executada. No entanto, essas informações podem ser coletadas pelo malware ou descobertas por operadores mal-intencionados na própria máquina .

Além disso, com o aumento das implantações de nuvem híbrida e VPNs ponto a ponto conectando ambientes de nuvem à rede local de um cliente, uma brecha uma VM em nuvem poderia facilmente se tornar um caminho para o coração da rede de uma organização.

Esses são problemas não triviais para os provedores de nuvem resolverem. Embora os provedores façam a varredura das imagens de VM em busca de malware antes de disponibilizá-las, como pode ser visto nas soluções antivírus, esses tipos de varreduras apenas detectam códigos maliciosos conhecidos e não são uma defesa abrangente. Um simples cron job em uma VM Linux ou uma tarefa agendada no Windows pode facilmente baixar cargas úteis secundárias dias ou semanas após o provisionamento.

Somando-se a esse risco, há nuvens como a AWS, que permitem a qualquer usuário compartilhar uma imagem de VM no mercado. Usar esses tipos de VMs é semelhante ao risco representado por lojas de aplicativos móveis, mas com consequências empresariais.

Falta de proteção e notificação do cliente

Um problema chave hoje é que os provedores de nuvem não estão tomando uma postura proativa em relação ao monitoramento de violação / comprometimento e, em muitos casos, não repassam notificações aos seus clientes que chegam de pesquisadores externos.

Embora seja verdade que os provedores de nuvem não podem ser responsáveis por todas as decisões de segurança tomadas por seus clientes, sua abordagem se concentra principalmente na venda de ferramentas de segurança adicionais – e relatórios de VMs violadas descobertas por pesquisadores de segurança externos (e até mesmo funcionários do provedor de nuvem) são frequentemente rejeitado como não acionável.

Isso leva a situações em que centenas, às vezes milhares de VMs ficam comprometidas em campanhas de ataque coordenado e permanecem violadas por semanas ou mais se o cliente não perceber imediatamente.

Um bom exemplo disso é uma campanha contínua de ataque contra bancos de dados NoSQL protegidos de forma inadequada, que começou no final de 2016 e continua até hoje.

A pesquisa realizada pelo pesquisador Nate Warfield, CTO da Prevaliion, sobre essa tendência de ataque mostrou que muitos clientes foram colocados em risco devido às configurações de firewall padrão excessivamente permissivas na VM, juntamente com o NoSQL sendo habilitado em interfaces de rede voltadas para a Internet e uma falta de autenticação padrão. Ele encontrou quase 8.000 VMs na nuvem Azure da Microsoft entre 2016-2019 que estavam comprometidas.

Na maioria dos casos, os clientes não sabiam que tinham sido expostos à Internet ou que um comprometimento havia ocorrido – e isso ocorreu apenas nos casos limitados em que as notificações do cliente foram enviadas. Os ataques não se limitaram ao Azure, é claro, e globalmente havia mais de 100.000 VMs afetadas por ataques contra CassandraDB, Elasticsearch , MongoDB e Redis.

Riscos de vazamento de dados

Além do risco de comprometimento, os bancos de dados NoSQL inseguros têm sido a fonte de incontáveis vazamentos de dados e problemas de privacidade. A Microsoft acidentalmente expôs 250 milhões de registros de clientes por meio de uma instância do Elasticsearch protegida incorretamente no final de 2019, e esses problemas continuam a ocorrer em todo o mundo em uma cadência regular.

Os baldes S3 da Amazon eram tão comumente deixados inseguros que os motores de busca foram desenvolvidos para permitir que os caçadores de recompensas de bugs (e, inadvertidamente, atores mal-intencionados) pesquisassem instâncias S3 expostas em busca de dados valiosos, informações de identificação pessoal (PII), registros financeiros, backups de banco de dados, credenciais e registros de cartão de crédito. Informações de saúde são outro conjunto de dados comumente exposto, assim como contas de mídia social e dados de publicidade coletados por empresas de data warehouse.

Agregadores de dados de terceiros e empresas de publicidade também são frequentemente a causa de vazamentos de dados de organizações que podem ter políticas rígidas sobre segurança de dados, criptografia em repouso, acesso privilegiado e exposição restrita à Internet para arquivos confidenciais. Somente em 2020, 36 bilhões de registros foram expostos nos três primeiros trimestres.

Melhorar a segurança é essencial

Tudo isso não quer dizer que a rede em nuvem seja inerentemente insegura, mas à medida que o mundo muda para um ambiente de nuvem híbrido e centrado em nuvem, especialmente para forças de trabalho remotas, as organizações precisam reconhecer que sua estratégia de segurança em nuvem, políticas, controles e os processos devem ser tão robustos quanto em um ambiente local clássico. Eles não podem presumir que, pelo fato de um gigante da tecnologia de Seattle, Redmond ou Bay Area operar sua nuvem, qualquer segurança adicional esteja incluída.

Os provedores de nuvem também devem adotar uma abordagem muito mais agressiva e proativa para proteger seus clientes, notificando-os sobre violações e isolando as máquinas virtuais dentro das assinaturas quando o comprometimento for detectado.

Existem serviços de monitoramento de terceiros que oferecem detecção em tempo real de varreduras automatizadas que ocorrem na Internet, e outros que oferecem detecção em tempo real de sinais de malware emitidos de nuvens, que os provedores são resistentes a utilizar. Alguns dados recentes sobre quatro dos maiores provedores de nuvem (Azure, AWS, Rackspace e Oracle Cloud) mostram um grande número de sinais de malware sendo emitidos em um período de 180 dias. A nuvem Azure da Microsoft foi a pior com 1,4 bilhão de sinais, seguida pela AWS com 793 milhões, Rackspace com 598 milhões e Oracle aparentemente muito melhor com “apenas” 1,4 milhão de sinais.

É impossível determinar se o grande delta é resultado de tamanhos de clientes muito diferentes ou diferenças significativas na postura de segurança, mas serve para sublinhar o fato de que os clientes da nuvem estão sendo comprometidos em grande número e essas infecções continuam sem solução.

Aproveitando os sistemas externos contra seus bancos de dados de endereço IP de assinante interno, os provedores de nuvem podem entregar notificações aos clientes em minutos ou horas após o comprometimento, dando às organizações o tempo necessário para responder, detectar e expulsar os invasores antes que seja tarde demais.

Fonte : ThreatPost por Nate Warfield, CTO da Prevailion, cofundador da CTI League e ex-pesquisador de segurança sênior do Microsoft Defender for Endpoints.

Veja também: