Os 7 principais erros de segurança ao migrar para aplicativos baseados na nuvem
Com a pandemia, muitas empresas mudaram para mais aplicativos baseados em nuvem por necessidade, porque mais de nós estão trabalhando remotamente. Em uma pesquisa da Menlo Security com 200 gerentes de TI, 40% dos entrevistados disseram que estão enfrentando ameaças crescentes de aplicativos em nuvem e ataques de Internet das Coisas (IoT) por causa dessa tendência.
Existem maneiras boas e ruins de fazer essa migração para a nuvem. Muitas das armadilhas não são exatamente novas. Em uma reunião do Gartner, em 2019, por exemplo, dois gerentes de TI afirmaram que suas implantações do Office 365 foram paralisadas devido à necessidade de atualizar o equipamento legado. A maneira como agora usamos – e compartilhamos – nossos computadores domésticos mudou. Nossos PCs não são mais pessoais. Esse mesmo computador pode suportar a escola virtual do seu filho e os aplicativos do seu cônjuge também. Uma pesquisa realizada em meados de junho de 2020 pela CyberArk descobriu que mais da metade dos entrevistados salvou suas senhas nos navegadores de seus PCs corporativos. Isso não é um bom presságio para qualquer política de segurança, com certeza.
Aqui estão os sete principais erros que afetam negativamente a segurança e algumas dicas sobre como evitá-los.
Usando VPN para acesso remoto
Com todos os trabalhadores remotos, uma VPN pode não ser a melhor resposta para acesso remoto. Veja o que aconteceu em dezembro de 2020 com o hack FireEye. Uma conta VPN comprometida aparentemente foi o ponto de entrada do hacker para roubar suas ferramentas. No passado, as VPNs eram a melhor maneira de proteger os funcionários remotos. É muito melhor substituir VPNs por redes de confiança zero, onde a identidade é o plano de controle e fornece o contexto de acesso. Além disso, você deve certificar-se de ter políticas de infosec baseadas em casa que foram escritas desde o início da pandemia que levam essas situações (como o PC doméstico multiusuário) em consideração.
Configurando o portfólio de nuvem errado
Com isso, quero dizer olhar para vários fatores. Você precisa de nuvens privadas para manter seus dados críticos de negócios segregados do resto do universo? Você tem as subversões certas do sistema operacional disponíveis para executar aplicativos específicos que dependem de certas configurações do Windows e Linux? Você tem os tipos certos de conectores e proteções de autenticação para executar com seus aplicativos e equipamentos locais que você não migrou? Se você tiver um aplicativo de mainframe legado, provavelmente deseja executá-lo em uma nuvem privada primeiro e, em seguida, tentar encontrar o ambiente certo que mais se aproxima dessa configuração de mainframe existente.
Sua postura de segurança não é adequada para a nuvem
Erros comuns de segurança na nuvem incluem contêineres de armazenamento não protegidos, direitos de acesso mal configurados e parâmetros de autenticação e portas abertas abundantes. Você deseja manter uma postura de segurança consistente, esteja você no local ou se conectando de Timbuktu. Você também deseja criar segurança desde o início, antes de migrar um único aplicativo para a nuvem. A Johnson & Johnson fez isso há vários anos, quando migrou a maior parte de suas cargas de trabalho para a nuvem e centralizou seu modelo de segurança. Há ajuda: a Netflix acaba de lançar uma ferramenta de código aberto que chama ConsoleMe, que pode gerenciar várias contas Amazon Web Services (AWS) em uma única sessão do navegador.
Não testar planos de recuperação de desastres
Quando foi a última vez que você testou seu plano de recuperação de desastres (DR)? Provavelmente há muito tempo, especialmente se você tem se ocupado apenas em acompanhar os desafios diários de apoiar uma força de trabalho doméstica. Só porque seus aplicativos estão na nuvem, não significa que eles não dependam de determinados servidores da web e de banco de dados e outros elementos de infraestrutura. Parte de qualquer bom plano de DR é documentar essas dependências e ter um manual que descreve os fluxos de trabalho mais críticos.
Outra grande parte de qualquer plano de DR é fazer testes contínuos para falhas parciais na nuvem. Provavelmente, você terá algumas interrupções. Até mesmo as nuvens da Amazon, Google e Microsoft experimentam isso de tempos em tempos. A Netflix foi um dos primeiros lugares a popularizar a engenharia geral do caos há vários anos, com uma ferramenta chamada Chaos Monkey. Ele foi projetado para testar a infraestrutura AWS da empresa, desligando constantemente – e aleatoriamente – vários servidores de produção.
Use essas lições e ferramentas para desenvolver seus próprios testes de falha introduzidos pelo caos, particularmente com testes relacionados à segurança que revelam fraquezas em sua configuração de nuvem. O elemento chave é fazer isso automática e continuamente para revelar gargalos e falhas de infraestrutura. Além de usar as ferramentas de código aberto da Netflix, existem produtos comerciais, como Verodin/Mandiant’s Security Validation, SafeBreach’s Breach and Attack Simulation, ferramentas de simulação Cymulate e AttackIQ’s Security Optimization Platform.
Não otimizar a autenticação para um portfólio de maioria na nuvem
Você pode ter uma ferramenta de gerenciamento de identidade e acesso, SIEM, CASB ou logon único que foi adquirida na era local e agora não é a melhor opção para suas necessidades de autenticação para um mundo de acesso predominantemente em nuvem e remoto. Certifique-se de dar uma olhada nessas ferramentas para garantir que elas possam abranger o tipo de ambiente de nuvem e todo o seu portfólio de aplicativos que protegerão seus sistemas de acordo. Por exemplo, embora os CASBs sejam ótimos no gerenciamento de acesso a aplicativos em nuvem, você pode precisar de um que funcione com seu aplicativo personalizado interno, com autenticação baseada em risco ou que o proteja contra ameaças mais sofisticadas e combinadas.
Um Active Directory desatualizado
“A identidade agora é o novo perímetro e os dados estão fluindo por toda parte”, disseram David Mahdi e Steve Riley do Gartner em uma apresentação. “Você tem que dar às pessoas certas o acesso certo aos recursos certos, no momento certo e pelo motivo certo”. Isso é um monte de coisas para acertar, com certeza. Isso significa que seu Active Directory (AD) pode não refletir a realidade, tanto de uma lista de usuários atuais e autorizados quanto de aplicativos e servidores atuais e autorizados. É hora de pegar sua tesoura de poda. A migração para a nuvem será mais tranquila se você estiver migrando as informações mais precisas.
Não buscar ajuda
Muitos provedores de serviços de segurança gerenciados (MSSPs) se especializam nesse tipo de migração, e você não deve ter vergonha de pedir ajuda a eles. Você pode estar muito ocupado para dar toda a sua atenção à migração e ignorar alguns aspectos importantes sem querer. Ou na pressa de mover tudo para a nuvem, você deixou algumas portas traseiras abertas ou introduziu vulnerabilidades.
Infoeconomico
Fonte: Computer Word
