17/10/2024 - 10:39
Com a crescente migração de dados para a nuvem, os potenciais problemas de segurança da informação também aumentam. Estudo divulgado pela empresa de segurança Tenable nesta quarta-feira (16) (link para estudo completo aqui) aponta que os riscos podem ser divididos em três categorias, batizadas pela empresa de “tríade tóxica”. Os três fatores são:
- Máquinas com exposição à internet,
- Máquinas sem as correções de segurança para erros já conhecidos
- Máquinas com alto nível de permissões para acessar recursos internos.
38% das organizações pesquisadas tinham pelo menos uma carga de trabalho que combinava esses três fatores de risco. “Isso é o que chamamos de tríade tóxica. A combinação destes três fatores em um mesmo recurso tem tudo para dar errado, do ponto de vista da segurança”, afirmou Pedro Eurico Rego, engenheiro de segurança da Tenable, em palestra para jornalistas.
Exposição à internet
O estudo da Tenable apontou também que 74% das organizações tinham dados armazenados publicamente. “Em muitos casos ter dados expostos não é um problema, é até uma necessidade da aplicação. Mas a pergunta aí é se a empresa sabe que esses dados estão expostos, e em muitos casos essa resposta é não”, observou Pedro. O executivo observou ainda que, em ambientes de TI mais antigos, de modo geral se sabe onde está determinado arquivo ou sistema, fisicamente. Mas quem já nasceu na nuvem não consegue ter esse tipo de certeza.
Brechas de segurança
O estudo da Tenable apontou que 80% das cargas de trabalho continham brechas de segurança críticas sem correção. Isso inclui brechas em ‘containers’, aplicações isoladas muito usada em plataformas de nuvem. “Isso nos faz refletir se as práticas de segurança na nuvem estão no mesmo nível das adotadas em ambientes on-premise. E aparentemente a resposta é não”, observou Pedro.
Permissões
O estudo apontou ainda que, em ambientes de nuvem, 23% das identidades tinham excesso no nível de permissões. “Em alguns momentos, é necessário ter acesso crítico. O usuário ‘root’, por exemplo, é crítico, mas é necessário. Entretanto, o que não deve ser comum é ter vários usuários com permissões elevadas e que não são usadas“, observou Pedro. Ele notou ainda que uma solução mais adequada é ter produtos que ofereçam uma permissão temporária, caso o usuário precise de um nível maior para executar uma tarefa.
De quem é o problema?
Durante o evento, Pedro também comentou sobre a divergência entre clientes e provedores de nuvem quando o assunto é segurança dos dados. “É uma gestão compartilhada. Na prática, porém, a responsabilidade é das empresas, e isso fica bem claro nos contratos com os provedores de nuvem. Mas é claro que a infraestrutura das nuvens pode ter seus próprios problemas, e os provedores atuam para corrigir isso. O que as empresas de segurança cobram é mais transparência nesse processo”, disse Pedro.
O estudo foi feito a partir da análise de dados de clientes da Tenable entre janeiro e junho deste ano, incluindo informações de uso das plataformas de cloud AWS, Microsoft Azure e Google Cloud.