As 12 maiores ameaças à segurança na nuvem, de acordo com o CSA – Cloud Security Alliance, que relacinou as maiores ameaças à segurança na nuvem em seu relatório anual “The Treacherous 12”
A Cloud Security Alliance divulgou recentemente seu relatório de 2017 sobre “The Treacherous 12”, uma lista detalhada das ameaças mais significativas à segurança na nuvem. A lista foi compilada pelo levantamento de especialistas do setor e pela combinação dos resultados com a análise de risco para determinar as ameaças mais comuns às organizações que armazenam dados na nuvem. A lista inclui:
- Violações de dados
- Gerenciamento insuficiente de identidade, credencial e acesso
- Interfaces e APIs inseguras
- Vulnerabilidades do sistema
- Invasão de conta
- Insiders Maliciosos
- Ameaças Persistentes Avançadas
- Perda de dados
- Diligência Devida Insuficiente
- Abuso e Uso Nefasto dos Serviços em Nuvem
- Negação de serviço
- Vulnerabilidades de tecnologia compartilhada
Uma observação interessante é como as ameaças de segurança na nuvem são semelhantes aos riscos de armazenar dados em qualquer outro lugar. Os dados na nuvem ainda estão armazenados em um data center, e ainda podem ser acessados por hackers por meio de muitos dos métodos que sempre usaram, como phishing de e-mail, senhas fracas e falta de autenticação multifator.
Parece haver uma opinião geral entre muitas organizações de que armazenar seus dados na nuvem – especificamente no modelo IaaS – infraestrutura como um serviço – terceiriza a segurança completamente, com uma atitude quase fora da vista e fora da mente. No entanto, os provedores de serviços de nuvem procuram pregar e esclarecer que existe um modelo de responsabilidade compartilhada, que significa que o provedor de nuvem pode ser responsável pela infraestrutura subjacente: sua organização é responsável pela segurança dos aplicativos e dados que residem nesse hardware.
As principais ameaças à segurança na nuvem
As principais ameaças à segurança da nuvem que merecem destaque do relatório “The Treacherous 12” são a ameaça interna, o risco de perda de dados e a devida monitoração. Eles demonstram a atitude casual que muitas organizações têm sobre o uso e o gerenciamento de serviços em nuvem.
Há muitos casos em que as organizações usam serviços em nuvem como uma maneira de contornar o que é visto como um departamento de TI excessivamente restritivo, enquanto, na realidade, a equipe de TI está tentando proteger os dados. Ignorando a equipe de TI e inscrevendo-se em serviços em nuvem sem o consentimento deles, a empresa pode pensar que está se tornando mais ágil em sua abordagem, mas, na realidade, está contornando restrições criadas para reduzir o risco de violação de dados.
Existem muitos provedores SaaS diferentes que oferecem ferramentas e serviços para organizações com marketing enxuto e promessas de ROI positivo. No entanto, a verificação de TI e segurança que deveria ser feita sobre esses serviços está faltando, o que pode ser surpreendente desastroso para a organização.
Por exemplo, se a sua organização terceiriza seus dados de RH para uma pequena empresa de SaaS, a realização de due diligence de segurança deve ser um pré-requisito essencial. Essa empresa pode gastar apenas uma fração do que sua organização gasta em segurança, e pode ser um alvo muito atraente para hackers por causa dos dados que armazena. É mais provável que os dados da sua organização sejam roubados por meio desse terceiro.
Aqui no blog noticiamos vários casos deste tipo, por exemplo, uma terceirizada da Universal Music Group expôs credenciais internas de FTP do UMG, os detalhes da configuração do AWS (chave de acesso e senha), além dos detalhes do código fonte interno (senhas SQL) por meio de duas instâncias desprotegidas do Servidor Apache Airflow.
Outro caso importante envolvendo terceiro foi o caso em que um único terceiro comprometeu dados de clientes da Sears, Best Buy e Delta Airlines e expôs informações sobre cartões de pagamento pertencentes as empresas, e possivelmente outros empresas.
No geral, o relatório da Cloud Security Alliance destaca com êxito as principais ameaças à segurança na nuvem e o grau de similaridade desses riscos ao armazenamento de dados em qualquer outro lugar. Ele fornece um lembrete oportuno para garantir que as empresas tratem os dados que armazenam na nuvem com o mesmo cuidado e atenção que teriam se estivessem armazenando no local.
fonte: TechTarget
Veja também:
- Webinar: Gestão de Privilégios em Banco de Dados
- Milhares de aplicativos de celular expõem bancos de dados do Firebase
- Sistemas de Câmeras de monitoração inseguros permitem espionar sua casa
- WPA3 traz nova autenticação e criptografia para Wi-Fi
- GDPR – 101 Controles Básicos para a Conformidade
- Edison Fontes fala sobre a importância da proteção de dados pessoais
Deixe sua opinião!