Especialista explica como os pentestes verificam, mapeiam, e exploram fragilidades nos processos de segurança da informação em ambientes da “nuvem”
A pandemia acelerou um movimento de computação em nuvem que ganha mais força com a chegada do 5G. Segundo estimativas da consultoria Gartner, a Cloud Computing tende a manter a linha de crescimento, com um aumento de 20% neste ano em comparação a 2022, o que acende o alerta para a segurança de dados cada vez mais descentralizados.
De acordo com o diretor de Red Team da Cipher, empresa de cibersegurança do grupo Prosegur, Alexandre Armellini, provedores de nuvem estão vinculados a regulamentos de segurança e subordinados à Lei Geral de Proteção de Dados (LGPD), mas isso não é suficiente. “É preciso ter um plano de segurança da informação que inclui os testes de penetração, para prevenir, identificar e corrigir os pontos fracos da rede”, explica.
O Teste de Penetração (ou Penteste) na nuvem é um serviço de Red Team para Cloud e consiste na simulação de um ataque cibernético controlado para detecção e exploração de vulnerabilidades de segurança em uma infraestrutura de cloud computing, apoiando decisões para melhoria da rede e correção de falhas na segurança dos dados. Diferentes tipos de métodos manuais e ferramentas automáticas podem ser usados, dependendo do tipo de serviço e do provedor de nuvem utilizados.
“Cada provedor tem sua própria política em relação
à realização de testes de penetração na nuvem e o escopo do penteste é ditado
por um modelo compartilhado, estabelecido pelo no Service Level Agreement (SLA)
entre o cliente e o prestador de serviços. Via de regra, aspectos da segurança
na nuvem, como proteção física da infraestrutura e dos data centers, são
responsabilidade dos provedores de nuvem, enquanto medidas de segurança
relacionados à identidade do usuário são encargo do cliente”, informa o diretor
de Red Team.
Com a realização sistemática de pentestes nas
aplicações em nuvem, é possível identificar e reparar problemas antes que a
ameaça se instale na rede, tais como:
1. APIs
inseguras: APIs inseguras podem levar a um vazamento de dados em grande escala, ou
até mesmo à perda total dos dados. O controle de acesso inadequado e a falta de
sanitização de entrada estão entre as principais causas do comprometimento das
APIs.
2. Configurações
incorretas do servidor: As configurações incorretas do serviço são uma
vulnerabilidade de nuvem comum (S3 Buckets mal configurados, em particular). Os
erros de configuração mais recorrentes do servidor em nuvem são permissões
impróprias, dados não criptografados e diferenciação entre dados privados e
públicos.
3. Credenciais
fracas: Senhas fracas facilitam ataques de força bruta, no qual o invasor pode
usar ferramentas automatizadas para decifrar esses códigos, abrindo caminho o
uso da conta e das credenciais, podendo levar ao roubo da conta e sequestro de
dados.
4. Software desatualizado: O software desatualizado contém vulnerabilidades críticas de segurança que podem comprometer seus serviços em nuvem. A maioria dos fornecedores de software não usa um procedimento de atualização simplificado ou os próprios usuários desativam as atualizações automáticas. Isso torna os serviços de nuvem desatualizados que os hackers identificam usando scanners automatizados.
5. Práticas de codificação inseguras: A contratação de profissionais não especializados conduz às más práticas de codificação, reduzindo a eficiência da rede e causando bugs de segurança. Essas vulnerabilidades estão entre as principais causas do comprometimento de serviços da web em nuvem.