Conforme as empresas movem arquivos de trabalho para a nuvem para oferecer suporte a funcionários remotos, muitas vezes elas criam oportunidades para invasores. Esses são os erros mais comuns a serem evitados.
Introdução
Na esteira da pandemia, muitas empresas mudaram para mais aplicativos baseados em nuvem por necessidade, à medida que mais de nós trabalhamos remotamente. Em uma pesquisa com 200 gerentes de TI da Menlo Security, 40% dos entrevistados disseram que enfrentam ameaças crescentes de aplicativos em nuvem e ataques de Internet das Coisas (IoT) devido a essa tendência.
Existem maneiras boas e ruins de realizar essa migração para a nuvem. Muitas armadilhas não são novas. Por exemplo, em uma reunião do Gartner 2019, dois gerentes de TI afirmaram que a implantação do Office 365 estava em espera devido à necessidade de atualizar o hardware legado. Agora, a maneira como usamos e compartilhamos nossos computadores domésticos mudou. Nossos computadores não são mais pessoais. Este mesmo computador pode suportar a escola virtual do seu filho e os aplicativos do seu cônjuge.
A pesquisa de verão da CyberArk descobriu que mais da metade dos entrevistados salvam suas senhas em navegadores de PC corporativos. Claro, isso não promete nada de bom para qualquer política de segurança.
Aqui estão sete erros principais que afetam negativamente a segurança e algumas dicas sobre como evitá-los.
1. Usando VPN para acesso remoto
Com todos os trabalhadores remotos, uma VPN pode não ser a melhor solução de acesso. Confira o que aconteceu em dezembro de 2020 com o hack FireEye. Aparentemente, a conta VPN hackeada foi o ponto de partida para o hacker roubar suas ferramentas. No passado, as VPNs eram a principal forma de proteger os funcionários remotos.
É muito melhor substituir VPNs por redes de confiança zero, onde a identidade é o plano de controle e fornece o contexto de acesso.
2. Construindo o portfólio de nuvem errado
Com isso, quero dizer considerar vários fatores. Precisa de nuvens privadas para manter seus dados críticos de negócios separados do resto do universo? Você tem um sistema operacional adequado.
Existem versões disponíveis para executar aplicativos específicos que dependem de configurações específicas do Windows e Linux? Você tem os conectores e protetores de autenticação certos para trabalhar com aplicativos e hardware locais que você não pode carregar? Se você tiver um aplicativo de mainframe legado?
Provavelmente, você deseja executá-lo em uma nuvem privada primeiro e, em seguida, tentar encontrar um ambiente adequado que seja mais próximo da configuração de mainframe existente.
3. Sua política de segurança não é adequada para a nuvem
Erros comuns de segurança na nuvem incluem contêineres de armazenamento inseguros, direitos de acesso e configurações de autenticação mal configurados e portas abertas. Você deseja manter a segurança constante, esteja você localmente ou conectado a partir do Timbuktu Pro. Você também deseja estar seguro desde o início, antes de mover um aplicativo independente para a nuvem.
A Johnson & Johnson fez isso há alguns anos, quando transferiu a maior parte de suas cargas de trabalho para a nuvem e centralizou seu modelo de segurança. Ajuda: A Netflix acaba de lançar uma ferramenta de código aberto que eles chamam de ConsoleMe. Ele pode gerenciar várias contas Amazon Web Services (AWS) em uma única sessão do navegador.
4. Não teste planos de recuperação de desastres
Quando foi a última vez que você testou seu plano de recuperação de desastres (DR)? Pode ter sido há muito tempo, especialmente se você estava ocupado com os problemas do dia-a-dia de sustentar os trabalhadores domésticos.
O fato de seus aplicativos estarem na nuvem não significa que sejam independentes de determinados servidores da web, servidores de banco de dados e outros elementos de infraestrutura. Parte de qualquer boa recuperação de desastres é documentar essas dependências e ter um tutorial que cobre os fluxos de trabalho mais importantes.
Outra parte importante de qualquer plano de recuperação de desastres é o teste contínuo para falhas parciais na nuvem. Você provavelmente terá interrupções em seu trabalho. Mesmo as nuvens da Amazon, Google e Microsoft experimentam isso de vez em quando. A Netflix foi um dos primeiros lugares onde a engenharia do caos geral com uma ferramenta chamada Chaos Monkey se tornou popular há alguns anos. Ele foi projetado para testar a infraestrutura AWS da empresa, desligando constante e acidentalmente vários servidores de produção.
Use essas lições e ferramentas para desenvolver seu próprio teste de falha, especialmente testes de segurança que identificam pontos fracos em sua configuração de nuvem. Um elemento-chave é fazer isso automática e continuamente para identificar gargalos e lacunas de infraestrutura. Além de usar ferramentas de código aberto da Netflix, existem produtos comerciais como validação de segurança da Verodin / Mandiant, simulação de violação e ataque do SafeBreach, ferramentas de simulação Cymulate e plataforma de otimização de segurança da AttackIQ.
5. A autenticação não é otimizada para um portfólio com um serviço de nuvem dominante
Você pode ter uma conta e controle de acesso, SIEM, CASB ou um - uma ferramenta de login que foi adquirida na era LAN. Agora fica aquém de suas necessidades de autenticação, um mundo predominantemente baseado em nuvem e um mundo de acesso remoto.
Certifique-se de dar uma olhada nessas ferramentas para certificar-se de que podem cobrir o ambiente de nuvem e todo o seu portfólio de aplicativos que protegem seus sistemas. Por exemplo, os CASBs fazem um ótimo trabalho no gerenciamento de acesso aos aplicativos em nuvem. Você pode querer um que funcione com seu aplicativo personalizado interno específico. Gerenciamento de risco baseado em autenticação ou proteção contra ameaças mais complexas e combinadas.
6. Active Directory desatualizado
“A identidade é agora um novo perímetro e os dados estão se espalhando por toda parte”, disseram David Mahdi e Steve Riley, do Gartner, em sua apresentação.
“Você tem que dar às pessoas o acesso certo aos recursos certos, no momento certo e pelo motivo certo.”
Claro que há muito o que consertar aqui. Isso significa que seu Active Directory (AD) pode não refletir a realidade da lista de usuários atuais e autorizados e dos aplicativos e servidores atuais e autorizados.
A transição para a nuvem será mais tranquila se você transferir as informações mais precisas.
7. Recusa em pedir ajuda
Muitos provedores de serviços de segurança gerenciados (MSSPs) se especializam nesses tipos de migrações e você não deve hesitar em contatá-los para obter ajuda.
Você pode estar muito ocupado para dar atenção total à migração e, inadvertidamente, deixou de fora alguns aspectos importantes. Com pressa, movemos tudo para a nuvem e deixamos várias backdoors abertas ou apresentamos vulnerabilidades.