Segredos revelados: exposições de dados na nuvem que colocam seu negócio em risco
Dados confidenciais e segredos estão vazando. Como líderes de segurança da nuvem podem interromper o vazamento.
Apesar dos bilhões de dólares que as organizações estão investindo em segurança cibernética, uma das ameaças mais evitáveis ainda persiste: credenciais e dados confidenciais expostos em serviços de nuvem publicamente acessíveis. De acordo com o Relatório de riscos de segurança da nuvem da Tenable 2025, 9% dos recursos de armazenamento em nuvem pública contêm dados confidenciais, incluindo informações de identificação pessoal (PII), propriedade intelectual (PI), informações do Setor de Cartões de Pagamento (PCI) e informações de saúde protegidas (PHI).
Ainda mais preocupante, o relatório mostra que mais da metade das organizações que usam as definições de tarefa do Elastic Container Service (ECS) da Amazon Web Services (AWS) tem, de forma consciente ou não, pelo menos um segredo incorporado nestes serviços.
Essas exposições são preocupantes, pois são o tipo de descuidos exploráveis que os invasores estão buscando (e aproveitando).
Por que isso é importante para líderes de segurança
Segredos expostos - como chaves de API e tokens de criptografia - podem abrir a porta para invasores, permitindo a movimentação lateral, exfiltração de dados ou controle completo do ambiente.
Isso não é só um problema de configuração incorreta. É uma lacuna de governança, tornada ainda pior pelas ferramentas de segurança legadas e, em alguns casos, pela percepção incorreta de que os serviços de nuvem nativos oferecem proteção suficiente.
O que você deveria estar fazendo agora
Líderes de segurança devem mudar da detecção para a prevenção e melhorar a proteção de dados sigilosos aplicando o seguinte:
- Descoberta e classificação de dados automatizadas: saiba quais dados residem no seu ambiente e avalie sua confidencialidade de forma contínua. Esse deve ser um esforço orientado por telemetria, e não uma verificação trimestral.
- Eliminação do acesso público por padrão: aplique privilégios mínimos para acesso a dados e à rede. Armazenamento público deve ser a rara exceção.
- Empregue o gerenciamento de segredos de nível empresarial: remova segredos de código fixo e implemente ferramentas nativas da nuvem como o AWS Secrets Manager e o Microsoft Azure Key Vault.
- Gerenciamento da postura de segurança na nuvem (CSPM): use CSPM com foco em identidade para unificar a visibilidade em toda a sua presença na nuvem e detecte configurações incorretas, segredos e permissões em tempo real.
Principal conclusão: Segredos expostos e dados confidenciais não são casos obscuros extremos. Eles são riscos sistêmicos que passam despercebidos à vista de todos e que precisam ser eliminados antes que invasores os explorem.
Saiba mais
- Baixe o Relatório de riscos de segurança da nuvem da Tenable 2025
- Participe do nosso próximo webinar em inglês Why Your Cloud Data Might Not Be Secure After All: Insights From Tenable Cloud Research
Diane Benjuya
Senior Product Marketing Manager, Tenable
Diane Benjuya é Senior Product Manager em segurança da nuvem, com mais de 20 anos na área, recentemente nas áreas de foco de identidade e infraestrutura da nuvem. No seu tempo livre, gosta de praticar uma boa corrida e de participar de saraus musicais para "lavar a alma". Diane tem mestrado em linguística.
Artigos relacionados
Cybersecurity Snapshot: SharePoint Attacks Trigger Urgent Patching Calls, While U.S. Gov’t Unveils AI Innovation Plan
Check out the latest on attackers’ cyber siege of SharePoint servers. Plus, the White House releases plan to spur AI innovation. In addition, CISA alerts orgs about Interlock ransomware. And get the latest on Q2's top malware; ransomware trends; and credentialed scanning....
Tackling Shadow AI in Cloud Workloads
As enterprise adoption of cloud AI systems balloons, protecting them has become a priority for cybersecurity teams. Shadow AI – the rampant, unsanctioned use of AI apps and services – has emerged as a particularly critical threat. Here we outline two best practices that can help you combat shadow AI...
Cybersecurity Snapshot: AI Security Tools Embraced by Cyber Teams, Survey Finds, as Vulnerability Research Gets a Boost from UK Cyber Agency
Check out why AI security tools are turning into “must have” assets for cyber teams. Plus, get the details on the NCSC’s efforts to supercharge its bug hunting capabilities. Meanwhile, Tenable webinar attendees shared their experience securing machine identities. And get the latest on the crypto cri...
- Cloud
- Cloud
- Research Reports