A cibersegurança da cloud

A transformação digital fez com que a utilização de serviços na cloud tivesse um crescimento considerável nos últimos tempos. Seja pública ou privada, multicloud ou cloud híbrida, já é difícil encontrar uma organização que não utilize, pelo menos, um serviço na cloud.

Mas essa utilização pressupõe uma proteção que nem sempre é tida em conta. Se utilizamos um serviço na cloud, quem é o responsável pela sua segurança? Quem contrata ou quem é contratado?

Independentemente de quem é a ‘culpa’, a verdade é que cabe às organizações proteger a sua informação e a sua infraestrutura para que não se vejam a braços com um ciberataque que pare por completo a sua operação, principalmente numa altura em que as organizações precisam tanto da cloud.

Proteger a cloud

Não há dúvida de que a cloud já é uma realidade na larga maioria das organizações, mas a cibersegurança pode estar num nível ligeiramente mais abaixo no que toca à sua adoção.

Para Scott Barlow, VP Global MSP & Cloud Alliances da Sophos, “as organizações de todas as dimensões devem garantir que os seus ambientes de cloud pública – tal como fazem para redes locais – são configurados e protegidos adequadamente, utilizando uma abordagem de várias camadas”, através dos “muitos serviços de segurança disponíveis para ambientes de cloud pública, incluindo firewalls cloud-edge, proteção de container e cargas de trabalho, e gestão da postura de segurança na cloud para visibilidade e conformidade”.

António Correia, Area Sales Manager da WatchGuard para Portugal, defende que “a defesa de qualquer infraestrutura (mais ou menos assente na cloud) tem que ser, invariavelmente, feita por diversas camadas e procurando reduzir ao máximo a superfície de ataque, algo que o novo normal em termos de trabalho veio dificultar”. No entanto, acrescenta, só se pode falar “de reduzir, de minimizar” e “nunca de eliminar”.

Manuel Dias, NTO da Microsoft Portugal, assegura que “muitas organizações em Portugal, tanto no setor público como no privado, assentam hoje o seu negócio em soluções cloud pública ou híbrida, tirando partido de todas as vantagens financeiras e sobretudo do ritmo de inovação que é cada vez mais um fator de diferenciação no mercado. No que toca à segurança em particular, muitos dos desafios que se colocam hoje ao nível da proteção de infraestruturas apenas conseguem ser endereçados em soluções cloud que disponibilizam todos os mecanismos de escalabilidade, segurança, privacidade e conformidade”.

José Luís Silva, Head of Integration and Audit na S21sec em Portugal, afirma que há dois estágios de maturidade completamente distintos: “no mais baixo, as empresas adotam aquelas que são as soluções imbuídas nas proteções base disponibilizadas pelo fornecedor de cloud e assumem que essas securitizações são o suficiente para protegerem os seus serviços ou as suas plataformas”. Por outro lado, nas organizações com mais maturidade, encontra-se “a replicação daquilo que são as soluções já utilizadas anteriormente em data centers próprios ou de parceiros, obviamente com a adoção da virtualização das soluções ou plataformas de segurança”.

José Gomes, Cloud & Security Associate Director na Noesis, refere que “as organizações deveriam optar por abordagens holísticas e estruturadas, aplicando simultaneamente políticas e tecnologia na proteção do seu ecossistema tecnológico contra ataques informáticos internos e externos. A realidade vem demonstrar, no entanto, que há ainda um grande número de organizações que não tomaram consciência desta realidade e entendem que os níveis de proteção que os seus fornecedores de hardware e software asseguram individualmente é suficiente para a proteção do seu negócio”.

Nuno Vieira da Silva, FSM e Head of Google Cloud em Portugal, defende que “a cultura de segurança é um conceito que pode variar de empresa para empresa, mas em geral prevê que a segurança não é algo interessante ter por ser engraçado. Em vez disso, é uma parte expectável de todo o trabalho de IT desde o início”.

De quem é a culpa?

Um tema comum quando existe um ciberataque a uma empresa através de um serviço na cloud é: de quem é a culpa? Da organização que contrata o serviço ou do fornecedor desse mesmo serviço de cloud.

Esteban Hernández, Security Specialist Solutions Architect na Amazon Web Services, explica que a empresa “opera num modelo de responsabilidade partilhada”, ou seja, “a AWS é responsável pela proteção da infraestrutura que executa todos os serviços oferecidos na cloud da AWS (security of the cloud), enquanto os nossos clientes são responsáveis pela construção de aplicações seguras (security in the cloud)”. Hernández acrescenta, ainda, que “a responsabilidade do cliente será determinada pelos serviços de cloud da AWS que um cliente selecionar, que, por sua vez, determina a sua responsabilidade como parte das suas responsabilidades de segurança como a gestão dos seus dados, classificação dos seus ativos e utilização de ferramentas IAM para aplicar as permissões apropriadas”.

Scott Barlow indica que “é responsabilidade do cliente, ou do seu parceiro, proteger os ambientes cloud, mas é mais importante configurá-los adequadamente para garantir que não há ambientes abertos ou inseguros. Já estamos a ver uma maior sensibilização em relação à responsabilidade partilhada, mas ela continua a ser um ponto de partida em qualquer conversa que tenhamos com os clientes”.

Para José Gomes, da Noesis, esta é “uma área cinzenta”, uma vez que a jornada para a cloud pressupõe “uma confiança quase inabalável no prestador de serviços cloud”. “O que é verdadeiramente relevante é que as organizações desenvolvam uma cultura de ciberdefesa com a premissa de que um dia serão atacadas. Começando pelos CEO e terminando nos colaboradores que garantem a operação, o foco deverá estar no trabalho cooperativo entre a organização e os seus fornecedores”, diz.

António Correia assume que é preciso ter atenção que estamos numa área em que o apurar de responsabilidade é importante, mas é ainda mais importante que “nunca se chegue a ter essa necessidade”.

José Luís Silva indica que “a responsabilidade será sempre do cliente final, a não ser que seja explorado algum serviço ou funcionalidade disponibilizado pelo fornecedor de cloud” e acrescenta que “o facto de a infraestrutura estar alojada na cloud é apenas uma arquitetura adicional ou complementar àquela que é a forma mais tradicional de implementar e disponibilizar serviços e plataformas”.

Tecnologias a ter atenção

Existem várias estratégias e tecnologias que permitem a proteção adequada no acesso à cloud de uma organização, mas existem determinadas soluções mais comuns e que são necessárias em grande parte dos diferentes cenários existentes.

“A segurança tem que estar na base de tudo o se implementa, e diria que já é unânime que tem de passar por políticas de zero trust”, refere o representante da WatchGuard. “Isto vai desde a segmentação das redes, à política de acessos, às soluções tecnológicas que utilizam no perímetro, no endpoint, obrigatoriedade de utilizarem soluções de multifactor authentication de forma transversal”, diz.

O representante da S21sec vê “uma preocupação em ter pelo menos uma tecnologia onde implementar o controlo de acessos (uma firewall) e proteger os servidores contra malware (antimalware)”. Depois, as organizações procuram “tecnologias de proteção contra ataques de DoS/DDoS, proteção de sites via WAF, proteção de servidores com soluções antimalware, plataformas antiscrapping para evitar roubo de dados dos sites”.

Barlow refere que “a visibilidade completa é crucial para garantir uma prevenção mais forte contra ameaças, e aquilo a que chamamos ‘higiene de segurança’. Para isso, recomendamos Plataformas de Proteção de Cargas de Trabalho na Cloud (CWPP, na sua sigla em inglês), capazes de oferecer capacidades de Deteção e Resposta Ampliadas e Gestão de Postura de Segurança na Cloud (CSPM, na sua sigla em inglês). Desta forma, será possível às empresas obterem visibilidade sobre todos os seus ambientes, para descobrir ativos, manter uma boa higiene de IT e evitar configurações incorretas e vulnerabilidades”.

Para o representante da Noesis, a jornada para garantir a salvaguarda contra ciberataques deve, no mínimo, ser complementada com uma visão next- -gen cybersecurity, com mecanismos de compliance e auditing, com governance de dados, com digital identity, com provileged access management e com serviços geridos de cibersegurança que atuem 24/7 com talentos altamente qualificados e experientes.

Vetor de ataque

Os vetores de ciberataque são cada vez mais sofisticados e não é apenas um ataque de ransomware ou a exploração de vulnerabilidades de um ou mais serviços.

José Gomes indica que os principais tipos de ataques de ransomware – aquele que tem tido o maior impacto nos últimos tempos – são RansomCloud (que se concentra nos serviços de correio eletrónico baseados na cloud), ataque ao cloud provider e sincronização com serviços de partilha de ficheiros.

De acordo com o representante da Sophos, a proteção contra ciberataques de cloud pública de última geração requer um novo nível de visibilidade e automação de segurança, uma vez que a cloud é suscetível aos mesmos ataques que foram direcionados a redes e data centers locais. A maior prioridade de uma organização deve ser proteger-se dos métodos utilizados para invadir os sistemas cloud, nomeadamente os “recursos cloud mal configurados” e “funções de IAM com privilégios excessivos”.

José Luís Silva refere que, atualmente, os vetores de ataque mais explorados são “essencialmente os utilizadores, seja por campanhas de phishing ou outro tipo de ataques para roubo de credenciais” para depois levar a cabo “ataques de autenticação e Man in the Middle”.

António Correia afirma que “aquilo que vemos cada vez mais, e com efeitos mais nefastos, são os ataques que funcionam com diferentes técnicas de evasão. Tratam-se de ataques de zero day (únicos, ainda que possam ser semelhantes a ataques já verificados no passado), utilizam ferramentas fidedignas (living of the land) e muitas vezes sem utilizar nenhum ficheiro, e que procuram, numa primeira fase, o roubo de identidade e o acesso a alguma credencial de acesso que depois permite o escalar de privilégios”.

Ferramentas dos fornecedores

Quem fornece serviços cloud – como a AWS, a Google Cloud e a Microsoft – têm ao dispor dos seus clientes várias ferramentas e tecnologias para aumentar a cibersegurança das clouds dos seus utilizadores.

Esteban Hernández explica que na cloud da AWS “são aplicados os mesmos isolamentos de segurança que seriam num centro de dados tradicional. Estes incluem segurança física do centro de dados, separação da rede, isolamento do hardware do servidor e isolamento do armazenamento”.

Nuno Vieira da Silva afirma, por exemplo, que “na Google Cloud implementamos medidas de segurança rígidas para proteger os dados e disponibilizamos aos nossos clientes as ferramentas para os controlarem, nos seus termos”. Simultaneamente, a Google Cloud tem soluções como “o Cloud IDS, sistema de deteção de intrusão cloud-native da Google que permite detetar malware, spyware, command-and-control attacks e outras ameaças à rede, e a Autonomic Security Operations, um conjunto de produtos, integrações e ferramentas que melhoram a capacidade de uma organização para resistir a ataques à segurança”.

Por seu lado, Manuel Dias, da Microsoft, refere que “as tecnologias que hoje em dia estão à disposição dos nossos clientes vão desde a componente mais infraestrutural, através do Azure, que inclui todas as funcionalidades de identidade, à componente de produtividade, com o Microsoft 365, passando pelas aplicações de negócio com a Power Platform e o Dynamics 365, até às soluções mais leading edge, como a inteligência artificial, a realidade aumentada, sendo a segurança transversal a todas as áreas de solução”.

Estratégia de Proteção

Não pode haver um movimento para a cloud sem um plano de cibersegurança adaptado à realidade da organização, da sua atividade e do que pretende atingir.

O representante da Google Cloud em Portugal acredita que, para uma transformação bem-sucedida, é importante que as organizações se envolvam no planeamento de segurança com antecedência; adotem uma abordagem informada sobre riscos e não uma abordagem de prevenção de riscos; planeiem voltar a formar, requalificar e reorganizar a sua força de trabalho de segurança; façam parcerias com os fornecedores de cloud com base numa compreensão partilhada dos riscos e objetivos; e desafiem as suposições de segurança existentes e implementem as melhores práticas específicas de cloud.

Para o representante da AWS, “a higiene na cibersegurança é uma das bases para melhorar a segurança na cloud” e é importante ter, também, autenticação multifator, ter políticas de dados intencionais, não codificar informação sensível, centralizar os registos AWS Cloudtrail e tomar medidas sobre os resultados do GuardDuty, que pode detetar ameaças de forma atempada.

José Gomes defende que “em organizações cada vez mais digitais e que tiram partido das novas capacidades tecnológicas, como a cloud, como forma de se diferenciarem e inovarem nos seus modelos de negócio, o nível de exposição dos seus dados através da utilização de multiclouds, consumo de aplicações SaaS e múltiplas integrações com entidades que passaram a fazer parte dos seus novos modelos de negócio. Perante este cenário, o que as organizações estão (ou deviam) estar a fazer é a colocar a segurança na sua agenda, a colocar o foco no aumento da resiliência das suas infraestruturas”.

Para António Correia, da WatchGuard, a estratégia que “deve ser implementada [é] uma política de confiança zero de forma transversal a toda a empresa e a toda a sua infraestrutura, e adequada à equipa de IT/Parceiros tecnológicos envolvidos. Diz-nos a experiência que os recursos humanos dedicados e especializados nesta área são escassos, a maior parte das vezes temos poucas pessoas responsáveis por demasiadas tarefas, pelo que é fundamental que a aposta seja em tecnologia unificada que facilite a sua gestão e ofereça visibilidade sobre toda a organização”.

José Luís Silva, da S21sec, explica que a “realidade de cada negócio leva à recomendação de adoção de soluções distintas e adaptadas às particularidades de cada cliente”. Nesse sentido, a personalização da solução “vai ao encontro da sua exposição, do seu mercado, das geografias onde pretende estar presente, da proteção das suas aplicações ou plataformas, a disponibilidade das mesmas, o tipo de sistemas e aplicações utilizados nos seus ambientes”.

Por fim, para Scott Barlow, “as empresas devem pensar em como vão gerir a segurança, a monitorização e a conformidade em vários fornecedores de cloud, em sistemas e consolas separadas”. Assim, “quanto mais fácil for a experiência de gestão, mais fácil será reduzir os tempos de resposta a incidentes, aumentar a deteção de ameaças e reduzir as dores de cabeça causadas pelas auditorias de conformidade”. “Reduzir o número de ferramentas, o tempo e as pessoas necessárias para gerir a segurança em várias contas e regiões na cloud será fundamental para atingir as metas a que se propuserem”, conclui.