Melhores práticas de validação de segurança: segurança na nuvem

postado em: Cibersegurança 0

Antes de analisarmos a segurança na nuvem, vamos relembrar o princípio da validação de segurança definido pela Cymulate.

A Validação de Segurança é um princípio fundamental na segurança cibernética que visa garantir que sistemas, aplicativos e processos sejam seguros e operem conforme o esperado.

O Princípio da Validação de Segurança – Cymulate

Com base em nosso princípio, o objetivo é garantir que os aplicativos e cargas de trabalho em execução em um ambiente de nuvem sejam seguros e que os controles usados ​​para proteger as diferentes camadas da arquitetura de nuvem operem conforme o esperado para impedir ameaças baseadas em nuvem.

Organizações que investem na transformação da nuvem

Melhores práticas de validação de segurança: segurança na nuvem
Melhores práticas de validação de segurança: segurança na nuvem

As organizações estão fazendo investimentos significativos na movimentação de aplicativos e cargas de trabalho para a nuvem, permitindo que elas dimensionem suas operações de acordo com as necessidades de seus negócios. A transformação da nuvem oferece às organizações:

  • Escalabilidade e flexibilidade com base na demanda do negócio
  • Inovação e agilidade alavancando tecnologias avançadas
  • Eficiência operacional e de custo reduzindo a complexidade e as despesas de capital
  • Vantagem competitiva para implantação mais rápida de novos produtos e serviços

No entanto, essa nova fronteira da nuvem e a natureza muito dinâmica das plataformas de nuvem podem dificultar a otimização da segurança da nuvem e acertar na primeira vez e igualmente difícil manter a segurança da nuvem em um nível aceitável de risco ao longo do tempo.

Além disso, as plataformas de nuvem podem ser usadas para uma variedade de propósitos diferentes – desde executar aplicativos em contêineres seguros, hospedar máquinas virtuais como dispositivos de endpoint ou usar a nuvem para armazenamento e backup de dados.

Isso torna a validação contínua dos controles de segurança da nuvem uma prática recomendada essencial para garantir que os controles que defendem nossos aplicativos e cargas de trabalho da nuvem estejam operando conforme o esperado. E dependendo de como a plataforma de nuvem está sendo usada, determina-se o tipo de controle de segurança necessário para proteger o que estiver hospedado nela.

Controle de Segurança de Aplicativos

Quando se trata de aplicativos hospedados na nuvem, os Web Application Firewalls (WAFs) (que também podem ser hospedados na nuvem ou entregues como parte da rede de entrega de conteúdo) são usados ​​para proteger o aplicativo da mesma forma que faríamos para o aplicativo em execução no local.

A avaliação do Cymulate Web App Firewall é usada para testar e validar se o controle de segurança do aplicativo (o WAF) está operando conforme o esperado. Durante as avaliações do WAF, o Cymulate envia milhares de payloads da lista dos 10 principais do OWASP e, com base na resposta HTTP/S recebida pelo servidor de ataque do Cymulate, determina se o payload foi bloqueado ou penetrado.

Controles de segurança de contêiner e Kubernetes

Testar a eficácia da segurança de contêiner é essencial para garantir a segurança de aplicativos e cargas de trabalho em nuvem. A validação contínua ajuda a identificar ameaças específicas a contêineres, como acesso não autorizado, violações de dados e ataques de tempo de execução, garantindo proteção robusta em seu ambiente de nuvem.

Esses controles previnem ou detectam atividades maliciosas em ambientes em contêineres e plataformas Kubernetes, garantindo a segurança de aplicativos e cargas de trabalho dentro de contêineres. Esses controles incluem:

  1. Controles de segurança nativos da nuvem
  • Azure Defender for Cloud
  • AWS GuardDuty
  • Google Cloud Command Center
  1. Cloud Workload Protection Platform (CWPP)
  2. Cloud-Native Application Protection Platform (CNAPP)
  3. Security Information and Event Management (SIEM)
  4. Firewall (FW) / Intrusion Prevention Systems (IPS)

O Cymulate permite que você teste seus controles de segurança de contêiner usando cenários maliciosos nativos da nuvem e atividades privilegiadas, como escape de contêiner, listagem de segredos, histórico limpo e outras técnicas persistentes e evasivas. As avaliações de segurança de contêineres da Cymulate se concentram em ambientes Kubernetes e estão disponíveis para implantações locais e gerenciadas pelo Azure, AWS e Google Cloud. As avaliações estão disponíveis para pré e pós-exploração:

  • Pré-exploração: simula um invasor executando ações maliciosas de dentro de um contêiner ou plataforma Kubernetes. Esse tipo de avaliação inclui casos de teste, como tentativas de escapar do pod para o host para avaliar se tais ações são detectadas e evitadas pelos controles de segurança da nuvem.
    • Scanners: testa configurações incorretas comuns do Kubernetes no Azure, AWS e Google Cloud.
    • Cenários avançados: simula cenários de ataque avançados para avaliar sua postura de segurança do Kubernetes.
  • Pós-exploração: pressupõe que um invasor escapou do contêiner e executa atividades maliciosas no host. Esse tipo de avaliação inclui casos de teste, como conexão com servidores de comando e controle, criptografia de arquivos e implantação de operações de mineração de criptografia.

Controles de segurança de cargas de trabalho em nuvem

Controles de segurança de cargas de trabalho em nuvem

Plataformas de nuvem são usadas para hospedar diferentes tipos de cargas de trabalho, incluindo cargas de trabalho de computação como máquinas virtuais (endpoints), cargas de trabalho centradas em dados como armazenamento de arquivos/dados, bancos de dados e big data/data lakes, e cargas de trabalho de aplicativos como aplicativos da web e aplicativos SaaS corporativos, para citar alguns.

O Cymulate testa a robustez de segurança de cargas de trabalho em nuvem em execução em instâncias EC2, VMs do Azure e instâncias de computação do GCP simulando cenários de ataque comuns, como operações de mineração de criptografia em uma carga de trabalho em nuvem, exfiltração de dados em nuvem de uma carga de trabalho centrada em dados e ataques direcionados a aplicativos hospedados em nuvem.

Foram testados e validados diferentes tipos de cargas de trabalho em nuvem usando as diferentes avaliações para controles de segurança importantes como:

  • As máquinas virtuais (VMs) do Windows hospedadas em uma plataforma de nuvem usariam nossa solução de validação de segurança de endpoint para testar se os controles de segurança de endpoint podem impedir amostras e comportamentos de arquivos maliciosos conhecidos da mesma forma que faríamos para um endpoint físico do Windows.
  • O armazenamento de arquivos e dados hospedados em um bucket de armazenamento em nuvem usaria nossa solução de validação de exfiltração de dados para testar se os controles de perda de dados podem impedir que os dados saiam do ambiente de nuvem.
  • O aplicativo Enterprise SaaS hospedado em um contêiner de nuvem usaria nossa solução de validação WAF para testar se os controles de segurança WAF podem impedir atividades maliciosas direcionadas ao aplicativo.

Controles de segurança de infraestrutura de nuvem

Quando agentes de ameaças obtêm acesso à infraestrutura de nuvem, precisamos ser capazes de detectar sua presença por meio da existência de eventos na plataforma SIEM. Para validar que o SIEM pode detectar atividade de ameaça potencial, adotamos uma abordagem de pós-exploração de “assumir violação” que simula um invasor que já obteve credenciais e acesso ao ambiente de nuvem

Em vez de procurar atividades maliciosas, testamos a eficácia da sua configuração de SIEM simulando atividades de alto privilégio que um agente de ameaça normalmente executaria durante uma violação de nuvem. Este exercício visa avaliar quais atividades acionam eventos de SIEM e se esses eventos levam corretamente a alertas.

  • Pós-exploração: execução de casos de teste de comportamento malicioso envolvendo simulação de atividades de alto privilégio de infraestrutura de nuvem, incluindo exfiltração de dados por meio de buckets S3 não autenticados, adições de usuários não autorizados ou exposição de portas confidenciais.

As avaliações de segurança de nuvem da Cymulate avaliam a eficácia das soluções de SIEM em correlação com logs de nuvem, CSPM e controles de segurança CNAPP.

Frequência recomendada: semanal

O objetivo dessas práticas recomendadas é testar completamente a eficácia dos controles e políticas de segurança de nuvem de uma organização simulando uma ampla variedade de ameaças baseadas em nuvem e comportamentos maliciosos e de alto privilégio.

Devido à natureza muito dinâmica dos ambientes de nuvem, é altamente recomendável que esses testes de validação sejam executados semanalmente ou sempre que forem feitas alterações no ambiente de nuvem.

A segurança da nuvem é um componente estratégico do seu programa de segurança e que requer várias formas de simulação de ataque para testar e validar continuamente se seus controles de segurança estão operando de forma eficaz para proteger seus aplicativos e cargas de trabalho em nuvem.

Para obter mais informações, agende uma demonstração da plataforma Cymulate.

Seguir Team VIVA:
Especialistas em Cibersegurança e Privacidade de Dados, Pentest, SOC, Firewall, Segurança de API e LGPD.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *