Computação em Nuvem - 12 grandes ameaças à segurança da Nuvem (Parte 1)
Dessa vez indo pro tópico específico do tema de segurança da computação em Nuvem, falaremos sobre 12 grandes ameaças aos usuários dessa tecnologia, mostrando casos e possíveis soluções. Por ser um assunto bem extenso, esse post ficou dividido em duas partes, com 6 exemplos cada. Sem mais delongas, vamos lá!
Para começar, devemos ter em mente que desde que começou a se popularizar em 2008, a utilização da computação em nuvem aumentou de uma forma extraordinária, possibilitando a criação de novas modalidades de serviços e transformando a forma com que lidamos com dados. Naturalmente, por conta de seu crescimento acelerado, a computação em nuvem tanto atraiu a atenção de hackers mal intencionados quanto não teve seu desenvolvimento acompanhado no mesmo ritmo pelas inovações em segurança. Por conta disso, a CSA (Cloud Security Alliance) lançou em 2017 um relatório criado por experts da área sobre os maiores fatores de risco na utilização dessa tecnologia. Comecemos a lista:
1 - Vazamento de Dados
Um vazamento de dados pode ser resultado de um ataque intencional, de erro humano, vulnerabilidade das aplicações ou falhas de segurança. Esses dados podem conter qualquer tipo de informação que supostamente não deveria estar acessível ao publico, como registro de saúde, informações financeiras, números de documentos, etc. Esse tipo de preocupação não é exclusivo da computação em nuvem, mas como os dados de uma organização usuária de nuvem pode conter informações de milhares de pessoas, é especialmente preocupante.
Um dos exemplos que podemos citar foi o hackeamento de senhas do LinkedIn em 2012, em que um criminoso conseguiu roubar 167 milhões de senhas do database da LinkedIn porque a empresa não criptografou as credencias de login dos usuários da forma devida, consistindo numa enorme falha de segurança.
2 - Gerenciamento insuficiente de acesso, credenciais e identidades
Pessoas má intencionadas podem se "disfarçar" de usuários legítimos, operadores ou e desenvolvedores, e assim ter acesso, modificar e excluir arquivos, espionar dados em trânsito e até mesmo liberar softwares maliciosos que aparentam originar de fontes legítimas. Como resultado disso, um descuido com o gerenciamento de acesso e identidades podem resultar em danos imensuráveis para organizações e usuários.
Um dos casos conhecidos desse tipo de problema foi a descoberta de bancos de dados desprotegidos da MongoDB, que permitia o acesso de pessoas sem autenticação.
3 - APIs inseguras
Provedores de nuvens podem oferecer uma série de softwares de interface de usuário, ou APIs, que os clientes utilizam para gerenciar e interagir com os serviços ofertados. Como as APIs estão ligadas diretamente com a utilização dos recursos da nuvem, parte da segurança depende exatamente do quão segura a API é, para prevenir e proteger as partes de um uso inadequado intencional ou acidental.
4 - Vulnerabilidades no Sistema
Vulnerabilidades nos sistemas são bugs nos programas os quais hackers podem utilizar para se infiltrar em um sistema para roubar dados, tomar o controle do sistema ou prejudicar os serviços. Com o advento da nuvem, sistemas de várias organizações são colocados próximos um ao outro, com recursos e memória compartilhados, aumentando de forma exponencial o risco.
5 - Sequestro de Contas
O sequestro de contas não é algo novo, mas é mais um dos riscos que é potencializado pela natureza da computação em nuvem. Ao ganhar acesso às credenciais de um usuário, um hacker pode bisbilhotar atividades e transações, bem como manipular dados e informações e redirecionar clientes para sites ilegítimos, afetando cada vez mais pessoas.
6 - Usuários maliciosos
Acho que todos já sabem que existem muitas pessoas que não são realmente confiáveis. Enquanto o nível de risco ainda é contestável, já é um consenso que um usuário legítimo, mas mal intencionado pode ter acesso à dados delicados e quanto maior o acesso, maior o estrago que essa pessoa pode causar aos outros usuários.
Um exemplo notável é o caso de um antigo funcionário da Zynga (uma empresa de jogos) que estava insatisfeito com a empresa e então fez o download de arquivos confidenciais da empresa e os levou para a sua start-up. Por conta disso, é necessário fazer um controle de acesso e criar sistemas de prevenção à perda de dados.
Fontes:
https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/
https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html
Para começar, devemos ter em mente que desde que começou a se popularizar em 2008, a utilização da computação em nuvem aumentou de uma forma extraordinária, possibilitando a criação de novas modalidades de serviços e transformando a forma com que lidamos com dados. Naturalmente, por conta de seu crescimento acelerado, a computação em nuvem tanto atraiu a atenção de hackers mal intencionados quanto não teve seu desenvolvimento acompanhado no mesmo ritmo pelas inovações em segurança. Por conta disso, a CSA (Cloud Security Alliance) lançou em 2017 um relatório criado por experts da área sobre os maiores fatores de risco na utilização dessa tecnologia. Comecemos a lista:
1 - Vazamento de Dados
Um vazamento de dados pode ser resultado de um ataque intencional, de erro humano, vulnerabilidade das aplicações ou falhas de segurança. Esses dados podem conter qualquer tipo de informação que supostamente não deveria estar acessível ao publico, como registro de saúde, informações financeiras, números de documentos, etc. Esse tipo de preocupação não é exclusivo da computação em nuvem, mas como os dados de uma organização usuária de nuvem pode conter informações de milhares de pessoas, é especialmente preocupante.
Um dos exemplos que podemos citar foi o hackeamento de senhas do LinkedIn em 2012, em que um criminoso conseguiu roubar 167 milhões de senhas do database da LinkedIn porque a empresa não criptografou as credencias de login dos usuários da forma devida, consistindo numa enorme falha de segurança.
2 - Gerenciamento insuficiente de acesso, credenciais e identidades
Pessoas má intencionadas podem se "disfarçar" de usuários legítimos, operadores ou e desenvolvedores, e assim ter acesso, modificar e excluir arquivos, espionar dados em trânsito e até mesmo liberar softwares maliciosos que aparentam originar de fontes legítimas. Como resultado disso, um descuido com o gerenciamento de acesso e identidades podem resultar em danos imensuráveis para organizações e usuários.
Um dos casos conhecidos desse tipo de problema foi a descoberta de bancos de dados desprotegidos da MongoDB, que permitia o acesso de pessoas sem autenticação.
3 - APIs inseguras
Provedores de nuvens podem oferecer uma série de softwares de interface de usuário, ou APIs, que os clientes utilizam para gerenciar e interagir com os serviços ofertados. Como as APIs estão ligadas diretamente com a utilização dos recursos da nuvem, parte da segurança depende exatamente do quão segura a API é, para prevenir e proteger as partes de um uso inadequado intencional ou acidental.
4 - Vulnerabilidades no Sistema
Vulnerabilidades nos sistemas são bugs nos programas os quais hackers podem utilizar para se infiltrar em um sistema para roubar dados, tomar o controle do sistema ou prejudicar os serviços. Com o advento da nuvem, sistemas de várias organizações são colocados próximos um ao outro, com recursos e memória compartilhados, aumentando de forma exponencial o risco.
5 - Sequestro de Contas
O sequestro de contas não é algo novo, mas é mais um dos riscos que é potencializado pela natureza da computação em nuvem. Ao ganhar acesso às credenciais de um usuário, um hacker pode bisbilhotar atividades e transações, bem como manipular dados e informações e redirecionar clientes para sites ilegítimos, afetando cada vez mais pessoas.
6 - Usuários maliciosos
Acho que todos já sabem que existem muitas pessoas que não são realmente confiáveis. Enquanto o nível de risco ainda é contestável, já é um consenso que um usuário legítimo, mas mal intencionado pode ter acesso à dados delicados e quanto maior o acesso, maior o estrago que essa pessoa pode causar aos outros usuários.
Um exemplo notável é o caso de um antigo funcionário da Zynga (uma empresa de jogos) que estava insatisfeito com a empresa e então fez o download de arquivos confidenciais da empresa e os levou para a sua start-up. Por conta disso, é necessário fazer um controle de acesso e criar sistemas de prevenção à perda de dados.
Fontes:
https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/
https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html
Comentários
Postar um comentário