Salte para o conteúdo principal

Recursos

Voltar aos blogues

Perspectivas do sector

Sem poder vem mais responsabilidade

19 de maio de 2022

Por Rodman Ramezanian - Consultor de Segurança de Nuvem Empresarial, Skyhigh Security

É muito provável que já tenha ouvido a frase "com grande poder vem grande responsabilidade". Também chamada de "Princípio de Peter Parker", esta frase tornou-se bem conhecida na cultura popular principalmente devido aos filmes e banda desenhada do Homem-Aranha - onde Peter Parker é o protagonista. A frase é tão conhecida atualmente que tem o seu próprio artigo na Wikipédia. A essência da frase é que se lhe foi dado o poder de fazer uma mudança para melhor, tem a obrigação moral de o fazer.

 

No entanto, o que tenho notado quando falo com os clientes sobre segurança na nuvem, especialmente sobre segurança para a infraestrutura como serviço (IaaS), é um fenómeno a que chamo "Princípio John McClane" - o nome foi alterado para proteger os inocentes.

O Princípio de John McClane acontece quando alguém recebe a responsabilidade de consertar algo, mas ao mesmo tempo não tem o poder de fazer as mudanças necessárias. À primeira vista, este cenário pode parecer absurdo, mas aposto que muitas equipas InfoSec conseguem simpatizar com o problema. A conversa é mais ou menos assim:

  • CEO para InfoSec: Tem de se certificar de que estamos seguros na nuvem. Não quero ser o próximo [insira aqui a última violação].
  • InfoSec para CEO: Sim, analisei a forma como estamos a utilizar a nuvem e a grande maioria dos nossos problemas resulta da falta de processos e de conhecimentos. Temos imensas equipas que estão a fazer as suas próprias coisas na nuvem e eu não tenho visibilidade total do que estão a fazer.
  • CEO para InfoSec: Ótimo, vá resolver o problema.
  • InfoSec para CEO: Bem, o problema é que eu não tenho qualquer poder de decisão sobre essas equipas. Elas podem fazer o que quiserem. Para resolver o problema, vão ter de mudar a forma como utilizam a nuvem. Precisamos de obter a adesão dos gestores, mas estes disseram-me que não estão interessados em mudar nada porque isso vai tornar as coisas mais lentas.
  • CEO para InfoSec: Tenho a certeza de que vai descobrir. Boa sorte, e é bom que não haja uma infração.

É nessa altura que "sem poder vem mais responsabilidade" soa a verdade.

E porquê? A razão é que a infraestrutura como serviço (IaaS) mudou fundamentalmente a forma como consumimos TI e, juntamente com isso, a forma como dimensionamos a segurança. Já não temos de enviar pedidos de compra e passar por um longo e demorado processo para ativar recursos de infraestrutura. Agora, qualquer pessoa com um cartão de crédito pode ativar o equivalente a um centro de dados em poucos minutos em todo o mundo.

A agilidade, no entanto, introduziu algumas mudanças não intencionais na InfoSec e, para escalar, a segurança na nuvem não pode ser responsabilidade exclusiva de uma equipa. Em vez disso, a segurança na nuvem deve ser integrada no processo e depende da colaboração entre o desenvolvimento, os arquitectos e as operações. Estas equipas têm agora um papel mais significativo a desempenhar na segurança da nuvem e, em muitos casos, são as únicas que podem implementar mudanças para melhorar a segurança. A InfoSec actua agora como Sherpas, em vez de guardiões, para garantir que todas as equipas estão a marchar ao mesmo ritmo e em segurança.

No entanto, como John McClane lhe pode dizer, o facto de ter mais equipas a tratar da segurança na nuvem não significa necessariamente que tenha uma solução melhor. De facto, ter de coordenar várias equipas com prioridades diferentes pode tornar a segurança ainda mais complexa e atrasá-lo. Daí a necessidade de uma solução de segurança simplificada que facilite a colaboração entre programadores, arquitectos e InfoSec, mas que, ao mesmo tempo, forneça protecções, para que nada escape.

O nosso serviço de segurança na nuvem foi criado especialmente para clientes que estão a mover e a desenvolver aplicações na nuvem. Chamamos-lhe Skyhigh Cloud-Native Application Protection Platform - ou apenas Skyhigh CNAPP, porque todos os serviços merecem um acrónimo.

O que é o Skyhigh CNAPP? O Skyhigh CNAPP combina soluções de Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP), Data Loss Prevention (DLP) e Application Protection numa única solução. Criámos o CNAPP para proporcionar às equipas de InfoSec uma ampla visibilidade das suas aplicações nativas da nuvem. Para nós, o objetivo não era como abrandar as coisas para garantir que tudo está seguro; em vez disso, como permitir às equipas de InfoSec a visibilidade e o contexto de que necessitam para a segurança na nuvem, ao mesmo tempo que permite que as equipas de desenvolvimento avancem rapidamente.

Deixe-me descrever brevemente as características do Skyhigh CNAPP e enumerar algumas das características favoritas dos clientes.

Gestão da postura de serviço na nuvem (CSPM)

Atualmente, a grande maioria das violações no IaaS deve-se a configurações incorrectas do serviço. Em 2016, a Gartner afirmou que "95% das falhas de segurança na nuvem serão culpa do cliente". Em 2019, a Gartner actualizou essa citação para dizer que "99% das falhas de segurança na nuvem serão culpa dos clientes". Estou à espera do dia em que a Gartner diga "105% será culpa do cliente".

Porque é que a percentagem é tão elevada? Há várias razões, mas ouvimos muito dos nossos clientes que há uma enorme falta de conhecimento sobre como proteger novos serviços. Cada fornecedor de serviços na nuvem está a lançar novos serviços e capacidades a um ritmo vertiginoso, sem obstáculos à adoção. Infelizmente, a indústria não tem acompanhado o ritmo de ter uma força de trabalho que conhece e compreende a melhor forma de configurar estes novos serviços e capacidades. O Skyhigh CNAPP oferece aos clientes a capacidade de auditar imediatamente todos os serviços em nuvem e comparar esses serviços com as melhores práticas de segurança e padrões do setor, como CIS Foundations, PCI, HIPPA e NIST.

Dentro dessa auditoria (chamamos-lhe um incidente de segurança), o Skyhigh CNAPP fornece informações detalhadas sobre como reconfigurar os serviços para melhorar a segurança, mas o serviço também fornece a capacidade de atribuir o incidente de segurança a equipas de desenvolvimento com acordos de nível de serviço (SLAs) para que não haja ambiguidade sobre a quem pertence o quê e o que precisa de mudar. Todos estes fluxos de trabalho podem ser automatizados para que várias equipas possam encontrar e resolver problemas quase em tempo real.

Além disso, o Skyhigh CNAPP tem uma funcionalidade de política personalizada em que os clientes podem criar políticas para identificar configurações incorrectas de risco exclusivas dos seus ambientes, bem como integrações com ferramentas de desenvolvimento como Jenkins, Bitbucket e GitHub que fornecem feedback sobre implementações que não cumprem as normas de segurança.

Plataforma de proteção de carga de trabalho em nuvem

As plataformas IaaS tornaram-se catalisadores de software de código aberto (OSS) como o Linux (SO), o Docker (contentor) e o Kubernetes (orquestração). O desafio com a utilização destas ferramentas é o risco inerente de Vulnerabilidades e Exposições Comuns (CVE) encontradas em bibliotecas de software e configurações incorrectas na implementação de novos serviços. Outra citação famosa da Gartner é que "70% dos ataques contra contentores serão provenientes de vulnerabilidades conhecidas e configurações incorrectas que poderiam ter sido corrigidas". Mas como é que a equipa InfoSec detecta rapidamente essas vulnerabilidades e configurações incorrectas, especialmente em ambientes efémeros com várias equipas de programadores que lançam lançamentos frequentes nos pipelines CI/CD?

O Skyhigh CNAPP fornece proteção total da carga de trabalho, identificando todas as instâncias de computação, contentores e serviços de contentores em execução em IaaS, identificando CVEs críticos, configurações incorrectas em serviços de contentores de repositório e de produção e introduzindo algumas novas funcionalidades de proteção. Estas funcionalidades incluem a listagem de permissões de aplicações, o endurecimento do SO e a monitorização da integridade dos ficheiros, com planos para introduzir em breve a nano-segmentação e o suporte no local.

Favoritos dos clientes

  • Varreduras DLP no locatário: muitos de nossos clientes têm casos de uso legítimos para serviços de armazenamento em nuvem expostos publicamente (às vezes chamados de buckets), mas ao mesmo tempo precisam garantir que esses buckets não tenham dados confidenciais. O desafio de usar DLP para esses serviços é que muitas soluções disponíveis no mercado copiam os dados para o próprio ambiente do fornecedor. Isto aumenta os custos do cliente com taxas de saída e também introduz desafios de segurança com o trânsito de dados. O CNAPP permite que os clientes efectuem análises DLP in-tenant em que os dados nunca saem do ambiente IaaS, tornando o processo mais seguro e menos dispendioso.
  • Estrutura MITRE ATT&CK para a nuvem: a linguagem dos Centros de Operações de Segurança (SOC) é o MITRE, mas há muitas nuances na forma como os incidentes de segurança na nuvem se encaixam nessa estrutura. Com o Skyhigh CNAPP, criámos um processo de ponta a ponta que mapeia todos os incidentes de segurança CSPM e CWPP para o MITRE. Agora, as equipas de InfoSec e de programadores podem trabalhar em conjunto de forma mais eficaz, categorizando automaticamente todos os incidentes na nuvem para o MITRE, facilitando respostas mais rápidas e uma melhor colaboração.
  • Segurança unificada de aplicações: O CNAPP foi desenvolvido na mesma plataforma do nosso serviço MVISION Cloud, um líder da Gartner Magic Quadrant para Cloud Access Security Broker (CASB). Os clientes podem agora obter visibilidade detalhada e controlo de segurança sobre as suas aplicações SaaS, bem como sobre as aplicações que estão a criar em IaaS, com a mesma solução. Os nossos clientes adoram ter uma consola que fornece uma imagem holística do risco das aplicações em todas as equipas - SaaS para os consumidores e IaaS para os criadores.

Há muitas outras funcionalidades que gostaria de realçar, mas convido-o a verificar a solução por si próprio. Visite https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html para obter mais informações sobre o nosso lançamento ou solicite uma demonstração em https://www.skyhighsecurity.com/forms/demo-request-form.html. Gostaríamos de receber o seu feedback e saber como o Skyhigh CNAPP pode ajudá-lo a tornar-se mais capacitado e responsável na nuvem.

Voltar aos blogues

Conteúdo relacionado

Miniatura de notícias
Intelligence Digest

A vulnerabilidade abre a porta a ameaças de dia zero e violações de dados - Skyhigh Security Intelligence Digest

Rodman Ramezanian - 29 de abril de 2024

Miniatura de notícias
Perspectivas do sector

Skyhigh Security: Redefinindo o que é possível na Conferência RSA

Thyaga Vasudevan - 25 de abril de 2024

Miniatura de notícias
Segurança na nuvem

Proteja os seus dados sensíveis - independentemente do local onde se encontrem

Lolita Chandra - 9 de abril de 2024

Blogues recentes

Intelligence Digest

A vulnerabilidade abre a porta a ameaças de dia zero e violações de dados - Skyhigh Security Intelligence Digest

Rodman Ramezanian - 29 de abril de 2024

Perspectivas do sector

Skyhigh Security: Redefinindo o que é possível na Conferência RSA

Thyaga Vasudevan - 25 de abril de 2024

Segurança na nuvem

Proteja os seus dados sensíveis - independentemente do local onde se encontrem

Lolita Chandra - 9 de abril de 2024

Perspectivas do sector

Skyhigh Security Termina o evento de vendas regional com o apoio dos parceiros

Jeff Tripp - 25 de março de 2024

Perspectivas do sector

2024 Ataques de ransomware aos cuidados de saúde: Uma chamada de atenção para a segurança dos dados dos cuidados de saúde

Hari Prasad Mariswamy - 18 de março de 2024