Proteção de ativos da nuvem: por onde começar?

Ao proteger ambientes dinâmicos de nuvem, a capacidade de descobrir e avaliar continuamente os ativos da nuvem permite a detecção rápida de problemas à medida que novas vulnerabilidades são divulgadas e seu ambiente muda. Veja o você precisa saber para começar.  

Aplicações e serviços em nuvem são elásticos, econômicos e, o mais importante, permitem que você responda rapidamente às necessidades dos clientes e gerencie uma força de trabalho remota cada vez maior. Na verdade, 81% das organizações têm pelo menos uma aplicação ou parte de sua infraestrutura de computação em nuvem. 

Mas, com os benefícios de agilidade e eficiência, vem o desafio de proteger seus ativos e cargas de trabalho na nuvem. Se as lições de violações de alto perfil nos ensinaram alguma coisa, foi que, em última instância, você, o proprietário dos dados, é o responsável pelos ativos da nuvem — não os provedores de serviços de nuvem.

Com o número crescente de novas vulnerabilidades em redes, endpoints e ambientes de nuvem, você também pode perceber que suas ferramentas de gerenciamento de vulnerabilidades (VM) legado não são páreo para o atual cenário complexo de TI e não podem proteger sua superfície de ataque moderna. Entre 2015 e 2020, a quantidade de CVEs relatadas aumentou a uma taxa média de crescimento percentual de 36,6%. Você precisa de uma solução eficaz para ajudar a priorizar a correção com base nos riscos que elas representam para a organização. 

Por onde começar? Minha sugestão é sempre começar com um olhar atento ao seu pessoal, ao seu processo e à sua tecnologia, precisamente nessa ordem. Por quê? Porque você pode ter a melhor tecnologia implementada mas, se a equipe de segurança não conversar com a equipe de nuvem ou se você tiver processos de negócios interrompidos, não conseguirá proteger na nuvem tudo o que é necessário.

Três desafios de segurança a serem abordados primeiro

1. Sua equipe não conversa entre si: eu já vi em primeira mão a desconexão entre a equipe de segurança e as unidades de negócios. Como um dos meus colegas de TI descreveu: "Tentar trabalhar com os grupos de negócios é igual a passear com meu cachorro em uma manhã gelada no inverno. Puxo a coleira para um lado, e ele puxa para o outro porque não quer vir comigo. No fim, estamos ambos exaustos".Em muitas empresas, a equipe de segurança e a equipe de nuvem trabalham em unidades de negócios separadas. De acordo com um estudo recente da Forrester Consulting encomendado pela Tenable, apenas metade dos mais de 400 líderes de segurança entrevistados afirmam trabalhar com outras equipes para alinhar os objetivos de redução de riscos às necessidades do negócio. Quando suas equipes não trabalham juntas, fica difícil proteger, controlar e obter visibilidade dos seus ativos da nuvem, o que coloca sua postura de segurança em risco.
2. O seu processo de negócios tem lacunas: em uma rede tradicional local, é relativamente fácil manter o controle de cargas de trabalho e aplicações. Em ambientes em nuvem, é difícil saber a magnitude do que se tem lá. Isso ocorre porque funções não relacionadas à TI, como marketing e desenvolvedores, costumam criar (e às vezes abandonar) ativos na nuvem, dificultando a obtenção de uma visão realista do inventário completo da nuvem. Por exemplo, uma organização com a qual me reuni recentemente achava que tinha 2.000 ativos na nuvem da AWS. Após uma verificação de descoberta, foram encontrados quase 3.500 ativos. Depois de investigarmos um pouco mais, encontramos lacunas nos processos de negócios, com ativos da nuvem não marcados e contas secundárias perdidas. Esta não é uma descoberta incomum em muitas organizações.
3. "Não é possível proteger aquilo que você desconhece!": embora isso seja quase um clichê, ainda é bastante válido para a proteção de ativos na nuvem. As organizações estão tendo dificuldades para descobrir e avaliar ativos efêmeros (de curta duração) em ambientes dinâmicos de nuvem. De acordo com o estudo da Forrester, apenas 44% dos mais de 800 líderes de negócio e segurança entrevistados afirmaram que sua equipe de segurança tem boa visibilidade dos ativos mais críticos da organização. Ainda assim, mesmo quando os ativos são descobertos, a própria pesquisa da Tenable mostra que apenas 20% deles têm a exposição realmente avaliada. Por quê? Porque o método tradicional de gerenciamento de vulnerabilidades em nuvem é difícil e demorado. Verificadores e agentes precisam ser instalados e detecções de novas vulnerabilidades podem levar várias semanas. Em suma, a segurança de TI tradicional não é páreo para a velocidade da nuvem.

Nesse momento, você deve estar pensando: "puxa vida, quando teremos um pouco de paz?". Bem, continue lendo, pois a ajuda está a caminho. 

Proteção de ativos da nuvem: três etapas críticas

1. Alinhar suas equipes para ter a conversa certa sobre nuvem: eliminar o isolamento entre os departamentos e criar um ambiente colaborativo para as equipes é uma primeira etapa fundamental para a obtenção de visibilidade e controle consistentes sobre os ativos da nuvem. Com base no estudo da Forrester, líderes de segurança alinhados ao negócio tem oito vezes mais chances do que seus pares mais isolados de estarem confiantes em sua capacidade de relatar o nível de segurança ou risco de suas organizações. Ao falar com os membros da equipe que estão usando a nuvem, é importante enquadrar o impacto das ameaças à segurança cibernética no contexto de suas necessidades de negócios e usar palavras-chave, como "escalabilidade", "agilidade", "qualidade" e "continuidade" nas conversas. Pode ser proveitoso organizar reuniões regulares de análise e compartilhar as métricas de desempenho da equipe de segurança com as partes interessadas do negócio. Se a permissão para direitos administrativos for um problema, proponha soluções alternativas criativas, como a criação de um conjunto acordado de permissões para uso da segurança de TI, e talvez até implementá-lo usando um formato comum e nativo de nuvem, como a criação de um modelo CloudFormation. Essa abordagem resulta nos resultados de negócios de que a equipe de segurança precisa e diminui o nível de esforço necessário por parte do administrador da nuvem.
2. Assegurar boas práticas de higiene em segurança cibernética: o desenvolvimento de boas práticas de segurança que consigam acompanhar a velocidade da nuvem é outra etapa crítica para proteger seus ativos da nuvem. Incorporar essas boas práticas à cultura geral da empresa pode ajudar a aliviar a carga administrativa e fechar as lacunas de segurança no processo do negócio. Por exemplo, implementar uma estratégia de marcação para seus ativos da nuvem pode ser uma forma eficaz de gerenciar recursos, controlar custos e reduzir riscos. Assim que a execução for implementada, os desenvolvedores poderão desfrutar da liberdade de criar os ambientes de teste; a equipe de segurança terá a chance de acompanhar o que está sendo criado e gastará menos tempo procurando ativos e proprietários para abordar as questões de segurança. Outra boa prática de higiene na nuvem é vincular todas as contas secundárias à conta primária relevante na nuvem. Isso dá aos administradores uma visão holística de todo o estado da nuvem, permitindo que eles reduzam efetivamente os riscos cibernéticos e entendam a exposição da sua organização em qualquer ambiente de nuvem.
3. A descoberta e a avaliação contínua das vulnerabilidades são fundamentais: poder identificar e avaliar rapidamente os ativos da nuvem é a próxima etapa crítica para proteger seu ambiente de nuvem em constante mudança e expansão. Se você usa serviços em nuvem, como a Amazon Web Services (AWS), a descoberta ao vivo de ativos da nuvem não só pode ajudar a maximizar o valor do investimento existente, como também pode proporcionar visibilidade total dos ativos de que você pode ou não ter tomado conhecimento anteriormente. Depois de entender bem o que você tem quase em tempo real, você precisará de uma abordagem de avaliação que consiga avaliar continuamente a nuvem à medida que novos ativos são implementados ou novas vulnerabilidades são divulgadas.

Como mencionei antes, o método tradicional de gerenciamento de vulnerabilidades em nuvem pode ser difícil e demorado. É aqui que a tecnologia de avaliação sem atritos da Tenable, Frictionless Assessment, pode ajudar. Diferentemente de outras ferramentas de gerenciamento de vulnerabilidades, o Frictionless Assessment, disponível agora no Tenable.io, utiliza as ferramentas nativas da AWS, inclusive o agente AWS Systems Manager (SSM), para descobrir e avaliar continuamente as instâncias do Elastic Compute Cloud (EC2) em busca de vulnerabilidades, sem jamais precisar configurar uma verificação, gerenciar credenciais nem instalar agentes. Isso permite detectar problemas de segurança rapidamente conforme novas vulnerabilidades são divulgadas e conforme o ambiente muda com instâncias constantemente surgindo e desaparecendo. Ele oferece uma visão quase em tempo real do seu ambiente de nuvem, apresentando um inventário preciso dos ativos e das exposições a qualquer momento. E é especialmente eficaz para descobrir e avaliar ativos efêmeros (de curta duração) em ambientes dinâmicos de nuvem.

O Frictionless Assessment foi projetado para funcionar na velocidade da nuvem, mas não para por aqui. Como um elemento importante do gerenciamento de vulnerabilidades baseado em riscos, o Frictionless Assessment oferece uma perspectiva abrangente das vulnerabilidades, incluindo suporte para a Priorização Preditiva da Tenable para ajudar você a se concentrar no que é importante. 

Se desejar saber mais sobre como configurar um programa completo de gerenciamento de vulnerabilidades baseado em riscos em segundos e obter resultados práticos em minutos, confira o vídeo com uma visão geral do Frictionless Assessment.