A evolução da ciber-segurança, e o papel que ela assumiu dado o crescimento que as empresas têm experimentado nos processos de exportação para a nuvem, é essencial hoje. As empresas embarcaram na migração de suas aplicações e serviços para a nuvem. ambientes de nuvens. Alguns por necessidade porque não tinham os ambientes prontos para acesso VPN, ou se os tinham, eram apenas para alguns poucos usuários e não para toda a empresa. Outros porque perceberam que é realmente uma solução boa e econômica se você souber como utilizá-la.
Estas mudanças nos levarão a ver ataques a estes ambientes nos próximos meses, que, por mais que tentemos dizer que eles são seguros (sim, são), as inseguranças vêm de outros lugares.
As empresas devem, portanto, reforçar aspectos aos quais até agora não prestaram muita atenção.
No passado, seguimos as especificações do fabricante ou do departamento onde nos foi dito o que era necessário, nós o fornecemos e nos dedicamos a garantir os acessos, seja através do controle da rede, do controle de usuários ou de várias permissões. Há algum tempo, a maioria das empresas trabalha com ambientes virtualizados e quase tudo é provisionado com essa tecnologia, seja em sistemas completos ou por meio de containers, então isso pode ser diretamente carregado em ambientes de Cloud? A verdade é que sim, e este seria nosso primeiro erro de segurança e devemos nos fazer as seguintes perguntas:
Já verificamos a segurança do código?
Em um ambiente doméstico é um problema, mas em um ambiente com acesso à rede é um problema sério. Mas é claro que também há dois cenários aqui, se não possuirmos o código é muito difícil para eles nos deixarem verificar se o código é seguro ou não, então eu recomendaria passar para um Serviço SaaS e assim delegar segurança e responsabilidade ao provedor, mas se formos donos do código, isso seria um bom começo antes de carregar algo na nuvem, verificando possíveis bugs de segurança, seja na tecnologia ou no próprio código, é essencial para evitar assustamentos posteriores.
FortiFy e BugScout são duas boas ferramentas, a primeira é cara, portanto, se seu orçamento não o permitir, eu recomendaria a segunda. Muitas pessoas dirão que Kuiwan me esqueceu, mas eu acho que os dois primeiros são mais poderosos, mas como tudo o resto, é discutível.
Depois de saber que nosso código é seguro, podemos nos perguntar, como temos implantado o ambiente? É claro que ter um bom bastião de nosso ambiente de nuvens, seja em uma rede pública ou privada, é algo que teremos que rever constantemente da mesma forma que costumávamos verificar se nossas redes eram seguras.
Já automatizamos a implantação?
Uma coisa que devemos planejar é a automação da implantação de nossos serviços, seja para poder ter um ambiente elástico que cresce ou encolhe de acordo com as necessidades do momento (ou é desligado/ligado porque há horas em que o sistema não é utilizado e agora é pay-per-use, lembre-se).
Algo que considero essencial seria ter ambientes imutáveis e ser capaz de isolar rapidamente um ambiente porque detectamos um incidente e há necessidade de continuar fornecendo o serviço com uma nova implantação.
Isto é muito interessante do ponto de vista da segurança, pois ter a possibilidade de isolar um ambiente no qual detectamos um incidente nos permitirá estudar o problema e resolvê-lo mais eficientemente em implantações subseqüentes.
Gestão da identidade na evolução da ciber-segurança
E finalmente, o gestão da identidade (IAM). Em nossos serviços internos estávamos procurando um único sing-on onde normalmente confiávamos no LDAP e Active Directory para autenticação dos diferentes sistemas e alcançamos o triplo A (Autenticação ? Autorização ? Auditoria). Portanto, agora devemos ter a mesma coisa, mas em um ambiente de nuvem onde teremos que combinar e parar de pensar em papéis por pessoa e pensar "onde acessamos, como acessamos e o que acessamos".
Um bom sistema IAM deve ser capaz de se integrar com os serviços SaaS que contratamos, assim como os sistemas PaaS e IaaS, mas também deve ser capaz de se integrar com nossos sistemas internos LDAP e Active Directory para conseguir uma gestão única dos diferentes serviços que temos disponíveis.
Uma última pergunta sobre a gestão de identidade, é muito complexa e, do meu ponto de vista, não deve ser abordada como um único projeto, mas como múltiplos projetos que gradualmente integram os diferentes serviços, caso contrário, você pode morrer tentando.
Não quero terminar estas linhas sem lembrá-lo que uma parte fundamental da evolução da ciber-segurança está no controle dos logs, talvez mais agora do que nunca, porque como um bom amigo meu me disse uma vez ?nos logs você encontrará a verdade sobre seu sistema? Integrando em um bom SIEM, os logs do ambientes de nuvens, nos ajudará muito a entender o que está acontecendo em nosso ambiente e a detectar possíveis ataques ou acessos não autorizados.
Portanto, dado o papel e a evolução da ciber-segurança, os perfis e serviços que serão mais solicitados nos próximos meses serão DEVSECOPS, arquitetos de segurança em nuvem e oficiais de conformidade para garantir que os serviços não violem ou coloquem os sistemas em risco.
Lembrete: novas necessidades não implicam que esqueçamos o que temos feito até agora, até que o serviço deixe completamente de ser prestado e seja desabastecido de nosso ambiente.
Artigo de José María Pulgar, CISO em Bosonit.
