Ano Novo, Problemas antigos: Um olhar interno sobre os erros de configuração da cloud

Ano Novo, Problemas antigos: Um olhar interno sobre os erros de configuração da cloud

Explore um par de exposições de segurança da indústria automóvel e a forma como as ferramentas de segurança adequadas poderiam ter evitado a ocorrência destes “mesmos velhos problemas”.

No início do mês de Fevereiro, a BMW foi mais uma vítima perigosa de configurações incorretas no armazenamento da cloud, que expuseram chaves privadas e dados sensíveis. De acordo com um artigo recente da TechCrunch, um balde de armazenamento público pelo Microsoft Azure continha "ficheiros de script que incluem informações de acesso a contentores do Azure, chaves secretas para aceder a endereços de baldes privados e detalhes sobre outros serviços na cloud."

Para ser justo, a BMW não está sozinha nestas questões, de acordo com a 2023 Check Point Cloud Security Report,relatório realizado pela Check Point Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de plataformas de segurança cibernética baseadas em IA e fornecidas na cloud, as configurações incorretas são o problema de segurança nº1 que as organizações que utilizam o armazenamento da nuvem enfrentam atualmente. E porque é que isso acontece? Erro humano. Com a quantidade de novos códigos, aplicações e instâncias a serem enviados para a cloud a cada segundo de cada dia, é cada vez mais difícil efetuar verificações de segurança adequadas antes da produção.

Isto não significa que a cloud tenha de ser abandona, efetivamente, a velocidade da cloud é fundamental para que as organizações se mantenham no panorama empresarial atual. No entanto, devem ser implementadas medidas de segurança para monitorizar, alertar e prevenir ameaças para proteger os ambientes da cloud e permitir que as empresas, como a BMW, avancem.

A boa notícia é que isto já não é um sonho impossível. As soluções necessárias para resolver estas preocupações existem. E o melhor de tudo é que não precisa de contratar 7 fornecedores diferentes para resolver todos os problemas.

CNAPP entrou no chat

Em 2021, a Gartner cunhou o termo Cloud Native Application Protection Platform, ou CNAPP. Essa tecnologia foi criada para um propósito extremamente específico. Devido à natureza da cloud, tudo é um vetor de ataque. Então, como é que protege todos os ângulos de ataque e dá a mesma visibilidade aos erros inevitáveis dos humanos? CNAPP. Estes tipos de soluções são diferentes porque são plataformas (está mesmo no nome), o que significa que não precisa de ter soluções pontuais espalhadas pelo seu ambiente. Significa também que, em vez de ter várias ferramentas diferentes, que emitem alertas diferentes e não comunicam entre si, pode ter todas as ferramentas de segurança de que necessita integrar numa única interface, com os vários alertas de risco a serem ponderados contextualmente. O que é que isto significa em termos práticos? Deixe-me mostrar-lhe.

Des (re) configuração

A questão principal da exposição da BMW é o facto de se ter descoberto que um contentor de armazenamento incluindo dados sensíveis, estava acessível ao público. A partir daí, o potencial de exploração aumenta rapidamente. Que tipo de dados foram expostos? Bem, "informações de acesso a contentores" e "chaves secretas". Este tipo de problemas são imediatamente assinalados com um CNAPP (Cloud Native Application Protection Platform).

Na captura de ecrã mostra o painel de gestão de riscos no nosso CNAPP do CloudGuard. Pode ver na área destacada que esta exposição exata foi designada como uma gravidade crítica e colocado no topo do separador de problemas de segurança. Isto significa que as equipas têm de ver este alerta e começar a tomar medidas para investigar e corrigir o problema. Por falar em correção, um bom CNAPP também o orientará sobre como iniciar o processo. Aqui está um resumo do alerta "ativo de armazenamento exposto publicamente"...

Este tipo de alertas não acontece num vácuo. Nos bastidores, o CNAPP analisa o ativo e as circunstâncias que rodeiam a configuração incorreta e começa a atribuir uma pontuação de risco com base em fatores, como a exposição pública, a sensibilidade dos dados, as vulnerabilidades conhecidas, a prioridade da empresa e muito mais.

Precisa de outro exemplo de valor aqui? Vejamos a exposição da Mercedes-Benz no início deste ano. O TLDR deste caso, é um token de autenticação de um funcionário que foi codificado num repositório público do GitHub. Este token fornecia "acesso ilimitado ao código-fonte da empresa". Não o vou insultar explicando porque é que isto é um cenário de pesadelo. Em vez disso, vamos ver como um CNAPP com segurança de código pode ajudar a evitar que esses problemas aconteçam posteriormente.

Uma boa ferramenta de segurança de código permitir-lhe-á integrar todos os seus ambientes de desenvolvimento - quer seja CI/CD, IDE, etc - no sistema para que tenha total visibilidade de todas as partes do SDLC. Também será suficientemente rápido para analisar os ambientes sem causar abrandamentos no próprio sistema ou nos programadores que deles dependem. Por fim, alertá-lo-á quando forem detetados problemas e fornecer-lhe-á os passos orientados sobre como resolvê-los.

Voltando ao exemplo acima, também funciona com o GitHub...

Aqui pode ver uma verificação de um repositório de demonstração (usando o módulo de segurança de código do CloudGuard) e os tipos de alertas que podem ser esperados quando os problemas são encontrados.

OBSERVAÇÃO: tudo isso está na mesma interface do painel de Gestão de riscos destacado anteriormente neste artigo.

Neste exemplo, pode ver que uma palavra-passe da base de dados do Microsoft Azure foi encontrada na base de código e precisa de ser corrigida. Se aprofundarmos mais o problema, obtemos um playbook sobre como lidar com os vários tipos de problemas, bem como uma visão destacada da linha exata em que o problema foi detetado. Permitindo a correção rápida e fácil de um problema que, de certa forma, seria grave.

Saber melhor, fazer melhor.

No final do dia, somos todos humanos. Todos cometemos erros. Mas a verdade é que, em 2024, estes tipos de problemas podem ser evitados muito facilmente com a plataforma de segurança correta. Se a sua empresa realiza negócios na cloud e utiliza ou armazena dados de clientes, recomenda-se a si próprio e aos seus clientes a implementação de uma solução CNAPP. As soluções pontuais costumavam ser suficientemente boas, mas com a interconectividade da cloud, basta que um agente malicioso encontre um dos problemas acima referidos, para conseguir juntar numa base de dados exposta publicamente um segredo de API codificado ou uma credencial de conta antes que acabe por ser a próxima grande história de violação. Não espere até lá.