O relatório “2024 Cloud Security Outlook”, realizado pela Global Surveyz – empresa independente de pesquisa – e encomendado pela Tenable, empresa de gerenciamento de exposição cibernética, mostra claramente a necessidade de medidas preventivas para segurança de ativos hospedados em nuvem. Para o relatório, foram entrevistados 600 profissionais de segurança na nuvem a fim de entender os problemas que afetam empresas; as prioridades que definiram para enfrentar estes desafios e as ferramentas que utilizam para medir o sucesso.
As implantações em nuvem são reconhecidas como a maior área de exposição a riscos a ciberataques de uma organização. Proteger a nuvem de maneira eficaz exige a análise de todos os aspectos da exposição potencial, incluindo vulnerabilidades, configurações e identidades. Até mesmo as organizações nativas da nuvem enfrentam a dificuldade de detectar e remediar riscos em seus ambientes – cada vez mais em ambientes multinuvem.
Para obter controle sobre as lacunas de segurança na nuvem, as organizações devem ser capazes de discernir os riscos mais críticos e definir prioridades. Fazer isso em escala requer uma análise de risco integrada e abrangente em todas as partes da infraestrutura de nuvem e da automação tanto da detecção de riscos quanto de sua correção.
A grande maioria sofreu violações na nuvem; 58% relataram danos reais causados por dados confidenciais expostos. Cerca de 95% dos profissionais de segurança em nuvem relataram violações relacionadas à nuvem, com 92% relatando que seus dados confidenciais foram expostos. Para abordar esta realidade de exposição, o C-Level deve capacitar e equipar os líderes de segurança para aplicar políticas que protejam dados confidenciais em todos os ambientes de nuvem da sua organização.
Os principais riscos para a infraestrutura em nuvem são identidades inseguras e configurações incorretas. Entre os riscos de segurança para sua infraestrutura em nuvem, os entrevistados classificaram identidades e permissões inseguras de pessoas/serviços e configurações incorretas na nuvem, no topo (39%). Os maiores desafios para proteger identidades e permissões incluíram a falta de visibilidade (53%) e a dificuldade em gerenciar direitos em um ambiente multinuvem (50%).
Das organizações que sofreram violações relacionadas à nuvem, impressionantes 99% citaram o risco de identidades e permissões como a causa. Fundamental para superar esses problemas é uma abordagem de segurança coesa, incluindo análise de risco de identidade, que ajuda a facilitar recomendações de segurança.
Conhecimento insuficiente em segurança de infraestrutura em nuvem afeta 95% das organizações. 95% dos entrevistados foram afetados pela falta de conhecimento em proteção de infraestrutura em nuvem. Ainda assim, as principais prioridades de segurança das organizações nos próximos 12 meses são a implementação de Zero Trust/ Privilégio Mínimo, a detecção e correção de configurações incorretas na nuvem e a aplicação de acesso Just-in-Time – iniciativas que requerem uma visão profunda, se não especializada.
Essas descobertas ressaltam a necessidade de automação e ferramentas intuitivas para preencher a lacuna de conhecimento e acelerar a produtividade das equipes existentes. A pesquisa também descobriu que as organizações estão interessadas em avaliar o valor dos seus esforços e investimentos em segurança na nuvem; especificamente, a maioria procura medir o tempo médio para investigação e remediação.
As descobertas indicam ainda que a exposição a dados confidenciais prejudicou mais as organizações em alguns setores do que em outros. Os que relataram danos por vazamento de dados foram: Tecnologia da informação 73%; Varejo 72%; Outros 62%; Mídia/Telecom 57%; Manufatura 57%; Alimentação 56%; Bancário/Financeiro/Seguros 53%; Saúde & Farmacêutica 48%; Softwares 38%; e Governo/Serviços Públicos 38%;
Identidade cresce como maior perigo
Ficaram empatados em primeiro lugar como maiores riscos para infraestrutura em nuvem a insegurança humana/ serviço de identidades e permissões arriscadas (39%) e as configurações incorretas na nuvem (39%).
Para entender a causa, foi questionado junto àqueles que sofreram violações relacionadas à nuvem que identificassem os principais riscos e fatores que contribuem para a identidade/acesso. Quase todos (99%) confirmaram que as violações estavam relacionadas a identidades e permissões.
Esta descoberta sublinha o papel crítico da governança do acesso na segurança da nuvem. Entre os 95% das organizações afetadas por violações na nuvem, os entrevistados identificaram os três principais fatores de risco de identidade/acesso, tais como: Permissões excessivas (56%); Falta de visibilidade do risco relacionado a identidades e/ou permissões atribuídas (53%); e Privilégios arriscados para administradores de nuvem, desenvolvedores e/ou DevOps (49%)
Prioridades de segurança da nuvem
As principais prioridades de segurança para infraestrutura em nuvem nos últimos 12 meses incluíram a implementação de Zero Trust e Privilégio Mínimo para identidades (38%), detecção e correção de configurações incorretas na nuvem (38%) e implementação de acesso elevado temporário (muitas vezes chamado de acesso Just-In-Time) para DevOps e funções relacionadas (33%).
O mais impressionante é o quase mesmo nível de importância atribuído à maioria das áreas de segurança da infraestrutura em nuvem, dificultando determinar qual a real prioridade.
Por outro lado, os KPIs que as organizações estão usando para mostrar o retorno sobre seus investimentos em tecnologia de segurança em nuvem são: tempo para investigar/neutralizar uma possível ameaça (56%), tempo para remediar uma descoberta (56%) e tempo para detectar riscos (46%).
Já os principais indicadores para mostrar o retorno de seus investimentos em tecnologia de segurança IAM foram: tempo para investigar /neutralizar uma possível ameaça – em comparação com antes da implantação (60%); tempo para priorizar riscos de identidade entre “críticos” e “altos” – em comparação com antes da implantação (56%); e melhor capacidade de transmitir KPIs a diferentes públicos – resultados de alto nível para executivos, dados/tendências específicos para tecnologia (55%).
Apesar disso, ainda existem barreiras para implementação de segurança em ambientes de nuvem. Notadamente a falta de habilidade para remediação; falta de suporte, orçamento, tempo, expertise e clareza nas responsabilidades. Ainda, mesmo com conhecimento de como remediar, 27% dos entrevistados expressaram hesitação em agir, motivados pelos temores do desenvolvedor e/ou DevOps de que as ações de segurança possam causar paradas de sistema.
As principais barreiras listadas foram: Falta de capacidade de remediação 51%; Falta de suporte ou orçamento da gestão sênior 50%; Falta de clareza das responsabilidades de segurança na nuvem 44%; Restrições de tempo 42%; Restrições de especialização 41%; Desenvolvedores/DevOps temem que a segurança cause paradas 27%; Falta de processos e melhores práticas para segurança na nuvem 24%; e Falta de conhecimento de soluções para resolver falhas 4%.
Metodologia
Em colaboração com a Global Surveyz, uma empresa de pesquisa independente, a Tenable entrevistou 600 colaboradores de empresas – 200 da América do Norte (Estados Unidos, Canadá) e 400 da Europa (França, Alemanha, Espanha, Reino Unido) – concentrando-se nos responsáveis para segurança na nuvem.
Metade dos participantes veio de organizações com receitas anuais de US$ 10 milhões a US$ 500 milhões, e metade com mais de US$ 500 milhões. A base de entrevistados incluiu uma combinação de cargos seniores, incluindo gerentes, diretores, VPs e SVPs.
A pesquisa fornece um panorama dos desafios e prioridades atuais em segurança na nuvem para grandes empresas. Nem todos os totais serão iguais a 100% devido a arredondamentos ou à permissão de múltiplas respostas.