Segurança da nuvem: por que você não deve ignorar ativos efêmeros
Suas verificações de vulnerabilidades agendadas podem não detectar ativos da nuvem de curta duração, criando oportunidades para que os criminosos cibernéticos explorem as lacunas de segurança.
A natureza elástica dos ambientes da nuvem permite que os ativos da nuvem sejam provisionados e desativados dinamicamente, muitas vezes por partes interessadas fora da segurança, como DevOps, equipes de Web e e-commerce. Esses ativos de curta duração apresentam desafios para os profissionais de segurança que tentam obter visibilidade para todos os ativos de nuvem de sua organização. Esperar, uma vez por semana, pela verificação agendada de vulnerabilidades não vai ajudá-lo a detectar esses ativos efêmeros, que podem ter picos em questão de horas, causando falhas de segurança. E essas lacunas podem fornecer aos criminosos cibernéticos uma série de novas oportunidades. Ativos de nuvem dinâmicos e de curta duração exigem uma abordagem igualmente dinâmica para verificação de vulnerabilidades.
Por que você não deve ignorar ativos da nuvem de curta duração
Alguns de vocês podem perguntar "como têm vida curta, esses ativos efêmeros representam uma ameaça real à postura de segurança geral da minha empresa?". Outros podem argumentar que não é fácil manter um inventário desses ativos de curta duração, então é melhor ficar com outros ativos mais mensuráveis. A verdade é que as verificações agendadas de vulnerabilidades fornecem snapshots pontuais, deixando uma exposição considerável para as instâncias da nuvem que podem ter picos entre as verificações.
Muitos ativos da nuvem são clones uns dos outros. Quando as vulnerabilidades de um ativo são exploradas, isso pode ter um efeito cascata em outras cópias. Uma vez que um ativo é exposto, mesmo que tenha vida curta, ninguém pode prever seu raio de explosão antes de ser desativado.
Por exemplo, imagine um serviço que faz parte de um grupo de escalonamento automático. Quando chega o horário de pico da sua empresa, esse serviço é dimensionado automaticamente para o tamanho necessário para atender à capacidade. E se houver uma vulnerabilidade crítica nesse serviço recém-implantado? Em seguida, ele dimensiona automaticamente para várias centenas de instâncias desse serviço, com cada instância contendo a mesma vulnerabilidade crítica.
Como você pode ver, a abordagem "talvez tenhamos sorte" ou fingir que está tudo bem para ativos de nuvem de curta duração pode expor sua organização a ameaças e ter um impacto negativo sobre a reputação e o negócio que você trabalhou tanto para preservar.
Como usar o Tenable.io para proteger ativos efêmeros na nuvem
Sua equipe de segurança precisa de visibilidade contínua em suas instâncias e cargas de trabalho em nuvem, que podem evoluir várias vezes ao dia. Seu programa de gerenciamento de vulnerabilidades deve ser projetado para fortalecer ambientes de nuvem dinâmicos para segurança efetiva, visibilidade contínua e operações de TI confiáveis.
O Tenable.io apresenta uma abordagem abrangente de gerenciamento de vulnerabilidades para ajudá-lo a avaliar sua superfície de ataque à nuvem, detectando vulnerabilidades em toda a pilha da nuvem. O Tenable.io usa conectores de nuvem para Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) para permitir a detecção quase em tempo real de novas implementações de ativos informatizados de curta duração nos seus ambientes com várias nuvens.
Além disso, o Frictionless Assessment do Tenable.io, uma tecnologia de avaliação sem atritos, ajuda você a avaliar continuamente seus ativos da nuvem em ambientes da AWS em busca de vulnerabilidades, sem a necessidade de implementar verificadores ou instalar agentes.O Frictionless Assessment é especialmente eficaz contra ativos da nuvem de curta duração, ajudando a evitar pontos cegos e lacunas de cobertura. Com essa tecnologia, você pode verificar automaticamente seus ambientes da nuvem em busca de novas vulnerabilidades assim que forem identificadas, permitindo que você avalie rapidamente seus ativos de nuvem em busca das últimas falhas de software.
Com um painel e relatórios personalizados, você pode transmitir com facilidade informações de prioridade de vulnerabilidades com seus grupos de negócios, incluindo as equipes que dependem de ativos de nuvem de curta duração.
Saiba mais
- Descubra como a Tenable ajudou a Netskope a aumentar sua visibilidade em ativos efêmeros na nuvem aqui.
- Veja os três maiores desafios que afetam a segurança da nuvem aqui.
- Aprenda como melhorar a higiene cibernética com a marcação de recursos da nuvem aqui.
- Saiba mais sobre como o modelo de responsabilidade compartilhada afeta suas escolhas de segurança na nuvem aqui.
Artigos relacionados
Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services
May 12, 2023Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!
The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable
May 11, 2023Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.
Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
May 5, 2023Check out the Cloud Security Alliance’s white paper on ChatGPT for cyber pros. Plus, the White House’s latest efforts to promote responsible AI. Also, have you thought about vulnerability management for AI systems? In addition, the “godfather of AI” sounds the alarm on AI dangers. And much more!
Tenable Cyber Watch: White House Unveils $140M Investment for Responsible AI, Top 5 Malware in Q1 2023, and more
May 15, 2023This week’s edition of the Tenable Cyber Watch unpacks the White House’s $140 million dollar investment into AI research and development and explores the security implications of ChatGPT. Also covered: The top 5 malware strains for Q1 2023.
Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services
May 12, 2023Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!
The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable
May 11, 2023Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.
- Nuvem
- DevOps
- Tenable.io Vulnerability Management
- Gerenciamento de vulnerabilidades
- Verificação de vulnerabilidades
