28 de outubro de 2022
Por Thyaga Vasudevan - VP de Gestão de Produtos, Skyhigh Security
Apelidada de "BlueBleed", uma violação recente da Microsoft descoberta pelo provedor de inteligência contra ameaças SOCRadar lança luz sobre os riscos de baldes de armazenamento em nuvem mal configurados e demonstra que as empresas não podem confiar totalmente nos provedores de serviços em nuvem (CSPs) para fornecer e assumir a responsabilidade pela garantia de segurança. Os erros de configuração continuam a ser uma causa predominante de violações, de acordo com o Verizon 2022 Data Breach Investigations Report, que mostra que foram a causa de 13% das violações registadas no ano passado. Uma vez que os erros de configuração são o resultado de um erro humano, deve partir-se do princípio de que nenhum CSP é totalmente seguro.
O que aconteceu
Na sua resposta de 19 de outubro, o Centro de Resposta de Segurança da Microsoft (MSRC) afirmou que houve uma "má configuração não intencional" que levou ao "potencial acesso não autenticado" de dados de clientes, que a organização diz conter "nomes, endereços de correio eletrónico, conteúdo de correio eletrónico, nomes de empresas e números de telefone e pode ter incluído ficheiros anexados relacionados com negócios entre um cliente e a Microsoft ou um parceiro autorizado da Microsoft". O MSRC não forneceu mais detalhes sobre o número de empresas afectadas e aparentemente minimizou o incidente.
De acordo com o SOCRadar, num seguimento do post original no dia seguinte, a violação envolveu seis grandes buckets de nuvem que consistiam em dados sensíveis pertencentes a 150.000 empresas em 123 países. O maior desses buckets mal configurados continha 2,4 TB de dados pertencentes a 65.000 entidades em 111 países.
Em 20 de outubro, Kevin Beaumont, conhecido investigador de cibersegurança, referiu que o "bucket" da Microsoft tinha sido publicamente indexado e legível durante meses por serviços como o Grayhat Warfare. Afirmou que a declaração oficial do MSRC mostra que "não faz ideia de como funciona a cibersegurança no mundo real" e que a sua aparente incapacidade de notificar os reguladores e a sua recusa em dizer aos clientes quais os dados que foram recolhidos tem as "características de uma resposta muito mal feita".
Um artigo de 21 de outubro do The Hacker News refere que: "Não há provas de que a informação tenha sido indevidamente acedida por agentes de ameaças antes da divulgação", mas nota que essas fugas podem ser exploradas para fins maliciosos.
Porque é importante
A fuga de dados pode incluir algumas informações sensíveis sobre a infraestrutura e a configuração de rede dos clientes e potenciais clientes da Microsoft. Os piratas informáticos que procuram vulnerabilidades em qualquer uma das infra-estruturas das organizações afectadas considerariam estes dados valiosos e poderiam utilizá-los para explorar as suas redes.
O que pode fazer
Comece por reconhecer que os CSPs têm o potencial de aumentar a superfície de ataque da sua organização. Deve rever cuidadosamente o seu Acordo de Nível de Serviço (SLA) com o seu CSP para compreender quem é responsável pelo quê e para clarificar as responsabilidades de cada parte. Normalmente, isso é descrito em um Modelo de responsabilidade compartilhada, uma estrutura de segurança e conformidade que divide as responsabilidades de segurança para cada aspeto do ambiente de nuvem. Isso inclui hardware, infraestrutura, pontos de extremidade, dados, configurações, definições, sistema operacional, controles de rede e direitos de acesso. Na prática, tanto o CSP como o cliente desempenham um papel na garantia da segurança, mas há determinados activos sobre os quais uma das partes tem controlo direto e total responsabilidade, uma vez que a outra parte não teria visibilidade desses activos. Este modelo de segurança partilhada é complexo, mas oferece as vantagens da eficiência, da proteção reforçada e da experiência.
As tarefas e funções de segurança variam de acordo com o modelo de fornecimento de serviços em nuvem: Software como um serviço (SaaS), plataforma como um serviço (PaaS) ou infraestrutura como um serviço (IaaS). Embora os ambientes IaaS e PaaS ofereçam aos clientes maior escolha e flexibilidade, eles também apresentam maiores riscos de segurança se não forem configurados corretamente.
De acordo com o Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report, 99% das configurações incorrectas de IaaS passam despercebidas. Security Service Edge (O SSE ajuda os profissionais de segurança a detetar configurações arriscadas antes que elas se tornem uma ameaça na produção. Ao destacar as descobertas de segurança antes de se tornarem incidentes de segurança, o SSE também pode ajudar a melhorar a conformidade com as estruturas regulamentares e reduzir a probabilidade de perda de dados, abuso ou multas associadas a controlos de segurança inadequados.
O tempo dirá o que acontecerá com a fuga de informação do BlueBleed. Se não quer correr o risco de ser afetado por tais violações, a tecnologia da Skyhigh Security Service Edge pode ajudar. Os seus recursos exclusivos de CSPM com reconhecimento de dados permitem que os clientes detectem configurações incorretas e ajudem a apontar as áreas críticas da infraestrutura de Public Cloud que contêm dados confidenciais e que são mais vulneráveis a vazamentos de dados.
Voltar aos blogues