A proteção da cloud

Hoje é quase impossível encontrar uma organização de alguma relevância que não utilize pelo menos um serviço na cloud; é uma necessidade. A cloud veio para ficar e a transformação digital que o mundo tem vivido nos últimos anos fez com que a utilização de serviços cloud tivesse um crescimento considerável.

Mas, tão importante quanto ter um serviço cloud é proteger esse mesmo serviço. A proteção tem de ser tida em conta por quem contrata, até porque é a sua informação que está em risco. Se não há dúvida de que a cloud é uma realidade na larga maioria das organizações, então é necessário que a cibersegurança acompanhe essa realidade.

Soluções de proteção

A verdade é que há cada vez mais soluções que as organizações podem utilizar para proteger a sua infraestrutura e a sua operação. As organizações – independentemente do seu tamanho – devem garantir que os seus ambientes de cloud pública, tal como fazem para as redes locais, são configuradas e protegidas adequadamente, utilizando uma abordagem de várias camadas.

Muitas organizações nacionais tiram vantagens das soluções de cloud pública ou híbrida para o seu negócio. Esta realidade permite às empresas tirar vantagens financeiras e, sobretudo, aumentar o ritmo de inovação que é cada vez mais um fator de diferenciação no mercado.

Para uma abordagem de proteção de várias camadas é possível utilizar vários serviços de segurança que estão disponíveis para ambientes de cloud pública, nomeadamente firewalls cloud-edge, proteção de container e workloads e gestão de postura de segurança na cloud para visibilidade e conformidade.

A proteção dos serviços cloud depende de empresa para empresa. Num nível mais baixo, as empresas adotam apenas as soluções que estão imbuídas nas proteções base disponibilizadas pelo fornecedor de cloud e assumem que essa segurança é o suficiente.

Por outro lado, as organizações mais maduras replicam aquilo que são as soluções já utilizadas em data centers próprios ou de Parceiros, mas com a adoção da virtualização das soluções ou plataformas de segurança. Se é verdade que é preciso proteger os serviços cloud, também importa lembrar que existem soluções de proteção de infraestruturas que apenas podem ser endereçadas através de soluções cloud, uma vez que disponibilizam todos os mecanismos de escalabilidade, segurança, privacidade e conformidade.

Vetores de ataque

Os vetores de ciberataque são cada vez mais sofisticados. A proteção contra ciberataques à cloud pública de última geração, por exemplo, requer um novo nível de visibilidade e automação de segurança, uma vez que a cloud é suscetível aos mesmos ataques que são direcionados a redes e data centers locais. Assim, a prioridade deve ser a proteção dos métodos utilizados para invadir os sistemas cloud, nomeadamente os recursos cloud mal configurados e funções de gestão de privilégios com autorizações excessivas.

Atualmente, os vetores de ataque mais explorados são os utilizadores. Através de campanhas de phishing ou outro tipo de ataques para roubo de credenciais, acabam por ser os utilizadores que estão na primeira linha de ataque. Depois, são feitos ataques de autenticação e man in the middle. Por outro lado, existem cada vez mais ataques de zero day e únicos, ainda que possam ser semelhantes a ataques já verificados no passado, e que utilizam ferramentas fidedignas. Por norma, e como referido, o objetivo é o roubo de identidade e acesso a alguma credencial de acesso para, depois, escalar os privilégios.

Estratégia de proteção

Não deve existir um movimento para a cloud sem um plano de cibersegurança adaptado à realidade da organização, da sua atividade e do que pretende atingir. Por outro lado, muitas organizações trataram do movimento para a cloud sem esse plano de cibersegurança.

Para uma transformação digital bem-sucedida é importante que as organizações envolvam, também, o planeamento de segurança com antecedência, adotando uma abordagem informada sobre os riscos e não uma abordagem de prevenção de riscos. Ao mesmo tempo, as organizações que tenham essa capacidade, devem formar, requalificar e reorganizar o seu trabalho de segurança ou, em alternativa, contar com os Parceiros para os aconselhar nessa jornada.

A ciberhigiene é, também, uma das bases para melhorar a segurança na cloud. Para além de formações recorrentes, é importante ter, também, autenticação multifator, ter políticas de dados intencionais e cifrar informação sensível.

Para além disso, deve ser implementada uma política de confiança zero (zero-trust) de forma transversal a toda a empresa e a toda a infraestrutura e adequada à equipa de IT ou Parceiros tecnológicos envolvidos. No entanto, a realidade de cada negócio tem de levar à recomendação da adoção de soluções distintas e adaptadas às suas particularidades. Tentar uma abordagem de one size fits all não irá ajudar grande parte das organizações.

A personalização da solução deve ir ao encontro da sua exposição, do mercado onde se insere, das geografias onde está ou pretende estar presente, da proteção das suas aplicações e do tipo de sistemas e aplicações utilizados nos seus ambientes.

Por fim, as organizações devem pensar em como vão gerir a segurança, a monitorização e a conformidade com os vários fornecedores de cloud, em sistemas e consolas separadas. Quando mais fácil for a experiência de gestão, mais fácil será reduzir os tempos de resposta a incidentes e aumentar a deteção de ameaças.

Oportunidades para os Parceiros

Como habitual, existem várias oportunidades para os Parceiros. Para muitas empresas, a transformação digital foi feita sem pensar na proteção dos novos serviços adotados e que – agora – são essenciais para a organização.

A cloud é uma realidade que veio para ficar e, como tal, a sua proteção é essencial. Se, como dito neste texto, existem várias empresas menos maduras que utilizam apenas a proteção imbuída pelo fornecedor de cloud, então há várias oportunidades para abordar essa empresa e oferecer uma proteção adequada às suas necessidades.

Este ano, Portugal tem sido inundado por notícias de ciberataques a uma miríade de empresas de vários setores, mas apenas chegam às notícias os ataques às empresas mais relevantes, não as pequenas empresas. A ideia de que ‘a minha empresa não é importante para atacar’ é falsa. Existem vários ataques indiscriminados, onde o objetivo é apenas cifrar os dados e receber o consequente resgate. A empresa e a informação cifrada não têm de ser importantes para quem ataca; só têm de ser importantes para quem a protege.

O talento nesta área é particularmente escasso e, muitas vezes, as pessoas responsáveis têm demasiadas tarefas. Assim, é essencial que exista uma aposta em tecnologia unificada que facilite a sua gestão e ofereça visibilidade sobre toda a organização. Ao Parceiro cabe posicionar-se como um especialista na área para ajudar os seus clientes a ficarem protegidos no ciberespaço.

Assim, os Parceiros têm uma oportunidade de, em conjunto com o cliente, perceber as necessidades das organizações e, com o conhecimento único que têm das soluções existentes no mercado, aconselhar a solução que melhor se adequa às suas necessidades e ao orçamento disponível, criando um plano do que é mais importante proteger primeiro e consequentemente avançar nos seus investimentos para que a organização fique tão protegida quanto possível e mitigue o máximo possível de ameaças.