O estudo de segurança da nuvem da Tenable revela que impressionantes 95% das organizações pesquisadas sofreram uma violação relacionada à nuvem em um período de 18 meses
As descobertas do estudo Panorama de segurança da nuvem de 2024 da Tenable são um sinal claro da necessidade de uma segurança proativa e robusta para a nuvem. Continue lendo para saber mais sobre as descobertas do estudo, incluindo os principais desafios que as equipes de segurança da nuvem enfrentam, suas estratégias para proteger melhor a infraestrutura da nuvem e as ferramentas que elas usam para medir o sucesso.
A Tenable acaba de publicar o relatório "Panorama de segurança da nuvem de 2024", nossa avaliação anual das percepções e das experiências das organizações ao proteger seus ambientes de nuvem pública. O relatório, que entrevistou 600 profissionais de segurança da nuvem na América do Norte e na Europa, explora os problemas que afligem os participantes, as prioridades que eles definiram para abordar estes desafios e as ferramentas que usam para medir o sucesso. Esperamos que o relatório ajude você a entender como seus colegas estão lidando com a complexidade do ambiente da nuvem para que você possa definir um caminho estratégico e eficaz para proteger o seu.
Confira abaixo os principais destaques do relatório.
As violações na nuvem estão disseminadas, e as identidades perigosas são as principais culpadas
Todos os anos, o estudo investiga quantos participantes são afetados por violações relacionadas à nuvem. Nunca perdemos o otimismo. Alguém poderia pensar que o grande aumento da conscientização sobre a segurança da nuvem e as opções de ferramentas já teriam desencadeado uma tendência de baixa nas violações, ou pelo menos um certo grau de imunidade. Infelizmente, descobrimos que 95% das 600 organizações entrevistadas sofreram violações relacionadas à nuvem nos 18 meses anteriores. Entre elas, previsivelmente, 92% relataram a exposição de dados confidenciais, e a maioria reconheceu ter sido prejudicada pela exposição dos dados.
Como no universo da nuvem as violações parecem inevitáveis, faz sentido as plataformas de segurança da nuvem procurarem sinalizar pontos de entrada vulneráveis e minimizar a capacidade de um hacker causar danos, se conseguir entrar. Isso aguçou nossa curiosidade sobre o que os profissionais de segurança da nuvem consideram como a maior fonte de risco: vulnerabilidades de carga de trabalho, ataques de ransomware, acesso de terceiros? Aqui, a percepção está alinhada com o entendimento mais recente do setor: os participantes mencionaram identidades perigosas da nuvem e configurações incorretas como os principais riscos de segurança — e 99% das organizações que sofreram violações relacionadas à nuvem colocaram a culpa nas identidades perigosas, indicando-as como a principal causa.
Nós analisamos as identidades e o acesso para ver se as organizações estão cientes do gerenciamento de identidade e acesso (IAM) perigoso como o principal inimigo público da segurança da nuvem e se estão fazendo algo a respeito. Aqui, os participantes obtiveram notas altas: muitos estão priorizando iniciativas para minimizar as permissões por meio de Zero Trust, governança de acesso e iniciativas Just-in-Time (JIT).
Mais descobertas importantes
O relatório focou três ângulos da proteção da infraestrutura da nuvem e, em particular, no gerenciamento do acesso aos recursos:
- É muito difícil. Pedimos para as organizações detalharem as principais barreiras, desafios e riscos que elas enfrentam ao implementar seus programas de segurança da nuvem.
- De extrema importância. Procuramos entender quais, entre as diversas áreas e iniciativas de segurança, estão sendo priorizadas neste ano e se essas prioridades estão alinhadas aos principais riscos indicados.
- Medições não mentem. Lado a lado com a avaliação do progresso e da maturidade da segurança da nuvem, sem mencionar a justificativa da verba para renovações e novas soluções, estão os indicadores de desempenho. Analisamos as ferramentas de medição que estão em uso e quais são as mais usadas.
Outras descobertas importantes incluídas:
- A falta de recursos de correção é a principal barreira para a implementação de novos recursos de segurança da nuvem;
- A falta de experiência em segurança da nuvem não é só "papo de analista"; é uma realidade que está colocando as organizações em risco;
- Existe um alto nível de incerteza em relação a quem é responsável pela segurança na nuvem na organização.
Diferenças regionais
As descobertas mostraram muitas disparidades regionais, como a região que estava mais propensa a informar não ter sofrido nenhuma violação relacionada à nuvem (spoiler: América do Norte). Também observamos diferenças regionais referentes à causa das violações. As organizações da UE eram muito mais propensas a atribuir as violações da sua nuvem ao excesso de permissões e à dificuldade em detectar combinações tóxicas do que as organizações da América do Norte.
Também surgiram diferenças regionais relacionadas à influência das equipes de DevOps na capacidade de os participantes implementarem novos recursos de segurança da nuvem. Um número bem maior de participantes na América do Norte citou como barreira o receio por parte das equipes de DevOps de as iniciativas de segurança atrapalharem seu fluxo de trabalho.
Leia o relatório!
Espero que esta publicação tenha aguçado sua curiosidade por perspectivas e práticas recomendadas de segurança da nuvem. Convidamos você a fazer download do relatório, que oferecerá:
- Uma boa ideia da prevalência das violações à nuvem relacionadas e do grau em que os dados confidenciais não são apenas expostos, mas também têm impacto negativo;
- Uma compreensão das dificuldades e dos obstáculos que preocupam os profissionais de segurança da nuvem a nível mundial e regional, e os problemas que são comuns a todos;
- Perspectivas sobre o que as pessoas estão priorizando para sanar suas preocupações, ajudando você a definir as prioridades que podem ajudar a aumentar a eficácia das suas iniciativas de segurança da nuvem.
Saiba mais:
- Faça download do relatório "Panorama de segurança da nuvem de 2024"
- Participe do webinar "Tenable Shares Its 2024 Cloud Security Outlook: Winning Half the Battle by Understanding Barriers and Priorities"
- Leia a publicação "Holistic Security for AWS, GCP and Azure"
Artigos relacionados
Cybersecurity Snapshot: U.K. Cyber Agency Urges Software Vendors To Boost Product Security, While U.S. Gov’t Wants Info on Banks’ AI Use
June 14, 2024Check out the NCSC’s call for software vendors to make their products more secure. Plus, why the Treasury Department is looking at how financial institutions are using AI. And the latest on the cybersecurity skills gap in the U.S. And much more!
Cloud Workload Protection: The Key to Decreasing Cloud Security Risks
June 11, 2024More than 80% of all breaches involve data stored in the cloud, and security teams that don’t use cloud workload protection (CWP) may never get ahead of attackers who want to access as much data as possible with the least effort. A single cloud breach is often the most straightforward way into these sensitive environments. On average, it costs nearly $5 million to respond and recover. So, why are so many organizations still using traditional on-prem security that isn't designed for the dynamic cloud?
Cybersecurity Snapshot: NIST Program Assesses How AI Systems Will Behave in the Real World, While FBI Has Troves of Decryption Keys for LockBit Victims
June 7, 2024Check out the new ARIA program from NIST, designed to evaluate if an AI system will be safe and fair once it’s launched. Plus, the FBI offers to help LockBit victims with thousands of decryption keys. In addition, Deloitte finds that boosting cybersecurity is key for generative AI deployment success. And why identity security is getting harder. And much more!
How to Discover, Analyze and Respond to Threats Faster with Generative AI
June 17, 2024Generative AI (GenAI) is being hailed as the most transformative innovation since the rise of the internet. For security, GenAI can revolutionize the field if applied correctly, especially when it comes to threat detection and response. It enhances efficiency and productivity by swiftly processing and delivering critical information when it matters most.
Cybersecurity Snapshot: U.K. Cyber Agency Urges Software Vendors To Boost Product Security, While U.S. Gov’t Wants Info on Banks’ AI Use
June 14, 2024Check out the NCSC’s call for software vendors to make their products more secure. Plus, why the Treasury Department is looking at how financial institutions are using AI. And the latest on the cybersecurity skills gap in the U.S. And much more!
Microsoft’s June 2024 Patch Tuesday Addresses 49 CVEs
June 11, 2024Microsoft addresses 49 CVEs in its June 2024 Patch Tuesday release with one rated as critical and no zero-day or publicly disclosed vulnerabilities. Our counts omitted two CVEs that were not issued by Microsoft, which include CVE-2023-50868 (issued by MITRE) and CVE-2024-29187 (issued by GitHub).
- Cloud
- Cloud