Vamos falar sobre como você pode ficar fora da lista crescente de empresas que foram hackeadas. Alerta de spoiler: É preciso dinheiro e compromisso.
Os estudos recentes estão sendo divulgados rapidamente. De acordo com o Thales Global Cloud Security Study de 2022, nos últimos 12 meses, 45% das empresas sofreram uma violação de dados na nuvem ou não realizaram auditorias, um aumento significativo em relação ao ano anterior, que foi de apenas 5%. O que poderia explicar esse aumento repentino?
No geral, estamos tendo uma tempestade perfeita de uma falta de aumento do investimento em segurança na nuvem, uma dependência significativa em plataformas baseadas na nuvem e uma escassez de talentos de segurança na nuvem que leva muitas empresas a contratar profissionais menos qualificados. Combine isso com o aumento da armação de novas ferramentas, como AI generativa por maus atores, e a maioria das empresas está mal preparada para lidar com os novos desafios.
[Continue com os últimos desenvolvimentos na computação em nuvem. Inscreva-se no InfoWorld All Things Cloud newsletter ]
Os dados estão fora de controle
Uma das principais preocupações atuais é o crescimento dos dados não autorizados. Esses dados, conhecidos como dados sombra, são gerados, armazenados ou compartilhados dentro da infraestrutura de tecnologia de uma empresa sem o consentimento ou supervisão do departamento de TI. Geralmente, estão fora de sistemas oficiais e monitorados e incluem informações guardadas em dispositivos dos funcionários, serviços de nuvem ou aplicativos não autorizados e desconhecidos.
Se você já colocou um documento contendo dados de negócios confidenciais de um banco de dados de nuvem empresarial em uma unidade de polegar para trabalhar em casa, ou enviou por email uma lista de clientes de um aplicativo baseado em SaaS para si mesmo antes de ir em uma viagem de negócios, você está usando dados de sombra. Os dados sombra podem conter informações confidenciais ou confidenciais, e sua natureza selvagem representa riscos para a segurança, conformidade e governança de dados.
É mais um problema de treinamento do que um problema de segurança na nuvem. Você pode colocar todas as restrições ao uso desses dados e até mesmo monitorar o uso, mas no final do dia, se os dados podem ser vistos em uma tela, ele pode se tornar dados sombra não protegidos.
O fato de que este é um problema de treinamento (e pessoas) torna a solução do problema difícil. Profissionais de segurança de TI são usados para lançar ferramentas e tecnologia neste problema, o que pode fornecer um falso senso de segurança. Precisamos de uma camada de educação sobre como os dados devem ser tratados, que aqueles em TI podem ver como problema de outra pessoa. Muitas vezes é empurrado para HR, onde raramente é abordado.
É um mundo mal configurado
Os problemas de configuração são muitas vezes o risco mais significativo para os dados de nuvem e os mais frequentemente ignorados. Mostre-me uma brecha, e eu vou mostrar-lhe algo estúpido que permitiu que isso acontecesse. Um exemplo recente é um grande fabricante de carros que tinha mais de dois milhões de dados dos clientes expostos devido a más configurações em seus sistemas de armazenamento em nuvem.
Raramente são sistemas de segurança configurados corretamente ignorados para obter acesso a dados. Muitas vezes, os sistemas de armazenamento são deixados expostos ou bancos de dados precisam de mais criptografia. Alguém não sabia totalmente o que eles estavam fazendo na configuração de segurança para sistemas e armazenamentos de dados baseados em nuvem. Isso vai para a escassez de talentos que eu mencionei, e se tivermos enormes perdas através de uma brecha, isso geralmente acontecerá desta forma.
Outros perigos
Também temos ameaças novas e emergentes, como APIs menos do que seguras. Se você construir e implantar em plataformas baseadas em nuvem, as APIs impulsionam a maior parte do seu trabalho. Não só são APIs fornecidas pelos fornecedores de nuvem, APIs também são incorporadas em aplicativos de negócios. Eles fornecem “chaves ao reino” e muitas vezes são deixados como pontos de acesso abertos aos dados de negócios.
Outras ameaças emergentes incluem o uso de sistemas de IA generativa para automatizar a falsificação. Como eu cobri aqui, esses ataques de IA estão ocorrendo agora. À medida que os maus atores melhoram na alavancagem dos sistemas de IA (frequentemente serviços de nuvem livres), veremos ataques automatizados que podem funcionar em torno dos sistemas de segurança mais sofisticados. Será difícil manter-se com as novas e inovadoras formas de ataques podem ocorrer.
Na verdade, usando AI generativa para criar código para aplicações maliciosas sob demanda, apenas através do grande número de sistemas de software que podem ser gerados e lançados, faz ataques bem sucedidos uma questão de tempo. A maioria dos líderes de TI empresariais não pode escalar suas defesas tão rapidamente quanto os atacantes.
O que fazer
Essa notícia é especialmente desfavorável para os responsáveis pela segurança da nuvem. A maneira mais eficaz de tornar uma plataforma de nuvem mais segura é focar nos conceitos fundamentais. Isso implica adotar abordagens de segurança baseadas em confiança zero e utilizar ferramentas de segurança em nuvem mais avançadas. Ao fazer isso, você estará implementando um conjunto mais robusto de defesas, o que pode tornar sua empresa um alvo menos atrativo para possíveis ataques. Um exemplo disso é o fato de que bicicletas que estão trancadas são roubadas com menos frequência – mesmo que um ladrão possa abrir o cadeado em questão de segundos, a bicicleta desbloqueada ao lado dela é uma presa mais fácil.
Uma vulnerabilidade que este grande precisa da cooperação de toda a empresa para atualizar o conhecimento que as pessoas têm sobre a segurança da nuvem. Vejo dois campos de batalha aqui: Primeiro, os usuários de nuvem de rank e arquivo de executivos de vendas para assistentes executivos devem melhorar as práticas de segurança. Eles precisam de treinamento e governança e devem ser responsabilizados pelo uso de dados fora de conformidade.
O segundo é atualizar o talento de segurança que a empresa emprega. Isso significa financiar salários para contratar os melhores profissionais de segurança, bem como pagar por treinamento contínuo e priorizar o tempo gasto em treinamento. Muitas vezes ouço histórias sobre a falta de exercícios de treinamento porque a equipe de segurança está tendo que apagar incêndios. Adivinha por que esses incêndios estão ocorrendo em primeiro lugar? Se você acha falta de treinamento, você está no caminho certo.
