A empresa de segurança Palo Alto Networks divulgou um estudo mostrando tendências e analisando o comportamento das empresas que estão migrando sua infraestrutura para a nuvem – ou seja, terceirizando parte da sua infraestrutura para provedores como Amazon e Google. Segundo o levantamento, as empresas cometem diversos erros nesse processo, o que pode expor dados ou encarecer ou tornar a adoção do serviço menos vantajosa.
A computação em nuvem é muito associada aos serviços de armazenamento on-line, mas é muito mais do que isso para as empresas. Entre outros benefícios, ela reduz custos com escala, já que tende a ser “elástica”: ela se expande quando há picos de acesso, sem exigir que a empresa sustente um centro de processamento ocioso em horas de baixa utilização. Porém, ao colocar sua infraestrutura em um sistema totalmente on-line, a empresa deve adotar medidas apropriadas. Como as empresas guardam informações de funcionários e clientes, a negligência pode acabar prejudicando o consumidor em vazamentos de dados.
O estudo da Palo Alto não menciona nenhuma empresa por nome e a companhia não comenta casos específicos. Mas há registros públicos de vazamentos envolvendo infraestrutura em nuvem. O site Reddit, que abriga diversas comunidades on-line, anunciou um vazamento em agosto.
Também em agosto, o Banco Inter confirmou que dados de correntistas foram vazados. De acordo com uma nota da instituição, o vazamento teria ocorrido quando uma pessoa autorizada a acessar o sistema “quebrou seu dever de sigilo”. O Banco Inter é considerado uma fintech — startup do setor financeiro — e utiliza a nuvem em sua infraestrutura.
Em linha com esses ocorridos, os dados do estudo apontam problemas em diversas esferas. A pesquisa revela que 28% dos bancos de dados recebem conexões a partir da internet — normalmente, os bancos de dados são de uso exclusivo da aplicação da empresa e não precisam dessa conexão externa. Além disso, 49% dos bancos de dados não estão criptografados e 32% das empresas têm algum serviço de armazenamento em nuvem exposto. Esses descuidos, embora não sejam em si sinônimo de vazamentos de dados, diminuem as barreiras que poderiam estar presentes para algum invasor.
Os controles de acesso também às vezes são inadequados. O estudo afirma que 29% das empresas sofrem com possíveis comprometimento de contas, ou seja, quando alguém sem autorização obtém credenciais de acesso ao sistema. Apesar do risco de perder uma conta, 27% das empresas adotam acesso root — contas com controle total, sem restrições e que, portanto, devem ser evitadas, especialmente quando há risco de acesso indevido.
Esses e outros deslizes podem contribuir para uma migração desnecessariamente dolorosa para a nuvem. Para Daniel Bortolazo, diretor de engenharia de sistemas da Palo Alto Networks, é mais fácil e barato desenhar os projetos com segurança desde o início do que pagar a conta quando os problemas acontecerem, já que a empresa pode sofrer com perdas de vendas, problemas de imagem e até multas por conta da legislação.
“Esse momento é bem interessante para a empresa repensar a estratégia de cloud e avaliar se está considerando segurança, governança e compliance [obediência a normas e padrões de segurança] dentro dessa jornada para a cloud que ela está fazendo. Em alguns meses mais, será obrigatório com a LGPD [Lei Geração de Proteção de Dados] e a GDPR [lei de proteção de dados da Europa] já está valendo”, afirmou Bortolazo em entrevista ao blog Segurança Digital.
O executivo destacou que a cloud é uma tendência para as empresas e que ela é até mais segura que uma infraestrutura tradicional, mas que às vezes ainda falta informação, especialmente no uso de tecnologias mais recentes, como os contêineres. Ele destaca que a nuvem funciona em um modelo compartilhado de responsabilidade: o provedor se encarrega de questões básicas, mas o cliente é responsável por todo o restante.
“O provedor fornece a segurança da estrutura base, do roteador, do datacenter, enfim. O restante é responsabilidade do cliente. O pessoal acha que está mudando para a cloud pública e que a segurança está totalmente garantida. Ela é mais segura se você usar ela corretamente, se tiver governança, compliance, como na cloud privada. Se você jogar a aplicação lá sem conhecimento disso, sem planejamento, fatalmente você terá mais problemas de segurança lá do que na cloud privada”, alerta ele.
Na prática, essa divisão de responsabilidades significa que a empresa paga a conta quando um invasor conseguir acesso e executar códigos não autorizados, seja um serviço de controle de redes-zumbi ou um programa de mineração.
Como a conta é cobrada de acordo o uso, semelhante a uma conta de energia elétrica, serviços “piratas” executados em nome da empresa acabam tendo que ser pagos pela empresa. De acordo com o estudo, 11% das organizações sofreram algum incidente de “cryptojacking”, que é quando um atacante utiliza recursos de forma não autorizada para minerar criptomoedas.
Bortolazo avalia que a migração para a cloud é “inevitável”, considerando-se todos os benefícios que ela pode trazer para a empresa em termos de negócios e simplificação da tecnologia. Adotá-la sem o devido planejamento e observação de boas práticas, porém, pode ser uma experiência ruim, que vai aumentar a desconfiança e retardar a idealização novos projetos. “O momento mais barato de você envolver segurança é no começo”, sentencia.
O estudo da Palo Alto Networks, com orientações para as empresas que que estão estruturando projetos para a nuvem, pode ser baixado aqui (em inglês).
Fonte: G1