Segurança na nuvem: de quem é a responsabilidade?

Ambientes em nuvem não são fáceis de administrar, e uma das consequências diretas dessa complexidade tem a ver com a segurança cibernética. Um estudo recente da empresa Venafi revelou que 81% das organizações entrevistadas sofreram um incidente de cibersegurança relacionado à nuvem nos últimos 12 meses, com quase metade (45%) experimentando, pelo menos, quatro incidentes. Além disso, a pesquisa destaca que o problema subjacente a esses incidentes é o crescimento dramático da complexidade nas áreas de segurança e operacional associado às implantações de soluções nuvem.

As organizações presentes no estudo hospedam atualmente dois quintos (41%) de suas aplicações na nuvem, mas esperam elevar esse percentual para 57% nos próximos 18 meses. Isso sugere que a complexidade crescerá ainda mais. Além disso, mais da metade (51%) dos tomadores de decisão para questões de segurança que foram entrevistados pela pesquisa acreditam que os riscos são maiores na nuvem do que localmente.

Entre os incidentes de segurança na nuvem citados como os mais comuns pelos entrevistados, estão:

• Incidentes de segurança durante o tempo de execução (34%)
• Acesso não autorizado (33%)
• Configurações incorretas (32%)
• Vulnerabilidades não corrigidas (24%)
• Auditoria com falhas (19%)

Já as preocupações operacionais e de segurança críticas relacionas à migração para a nuvem são:

• Sequestro de contas, serviços ou tráfego (35%)
• Malware ou ransomware (31%)
• Problemas de privacidade ou acesso a dados (31%)
• Acessos não autorizados (28%)
• Ataques de estados-nação (26%)

O estudo também investigou como a responsabilidade pela proteção de aplicações na nuvem está sendo atualmente atribuída às equipes internas. Isso varia muito entre organizações, sendo que equipes de segurança foram citadas por 25% das respostas (maior parcela), seguidas por equipes de operações responsáveis por infraestruturas na nuvem (23%). Outros grupos responsáveis são equipes compartilhadas (22%), desenvolvedores de aplicativos para nuvem (16%) e equipes de DevSecOps (10%). No entanto, o número de incidentes de segurança indica que nenhum desses modelos tem sido eficaz para reduzir incidentes de segurança.

Quando questionados sobre quem deveria ser responsável pela segurança das aplicações na nuvem, novamente não houve consenso. A opção mais citada foi a responsabilidade compartilhada entre equipes que respondem pelas operações de infraestrutura de nuvem e as equipes de segurança corporativa (24%). Outras opções são equipes compartilhadas (22%), desenvolvedores (16%) e equipes DevSecOps (14%).

“Equipes de segurança querem compartilhar responsabilidades com desenvolvedores que são especialistas em nuvem, mas muitas vezes ficam de fora das decisões de segurança. Já os desenvolvedores estão tomando decisões relacionadas a arquitetura e ferramentas nativas da nuvem sem envolver as equipes de segurança. E o resultado desse cenário é o rápido crescimento dos incidentes de segurança na nuvem”, afirma Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi.

O executivo destaca que é preciso redefinir a abordagem para segurança na nuvem e criar serviços consistentes, observáveis e controláveis para ambientes e aplicações na nuvem. Essa abordagem deve incorporar segurança aos processos dos desenvolvedores e permitir que as equipes de segurança protejam os negócios sem atrasar os engenheiros.

Confirmando os riscos, apontando o caminho

Um outro estudo, este da empresa Snyk, corrobora a complexidade enfrentada por profissionais de segurança e desenvolvedores para afastar os ambientes de nuvem de riscos e ameaças. A pesquisa também apontou que 80% das organizações entrevistas haviam sofrido pelo menos um incidente grave de segurança na nuvem no ano passado, como violações de dados, vazamentos e invasões. Além disso, 41% dos entrevistados afirmaram que serviços nativos da nuvem aumentam a complexidade dos ambientes e complicando ainda mais os esforços de segurança.

“Esta nova pesquisa deve servir como alerta que nos lembra que os riscos na segurança na nuvem são universais e só devem crescer se continuarmos com abordagens e ferramentas desatualizadas. No entanto, a perspectiva não é totalmente ruim, pois o estudo também revelam claramente que a adoção de esforços colaborativos em torno do DevSecOps pode deixar que as organizações continuem inovando em seus ritmos atuais com mais segurança”, afirma Josh Stella, vice-presidente e arquiteto-chefe da Snyk.