Segurança da AWS: o que torna a configuração incorreta crítica?

Na nuvem, onde não há perímetros e endpoints ilimitados, há muitas maneiras pelas quais os invasores podem obter acesso direto ao seu ambiente se você fizer o movimento errado. Dada a velocidade com que as empresas estão migrando para a nuvem, é fácil perder uma etapa e deixar sua empresa aberta para um ataque.

Em uma pesquisa recente, descobrimos que 73% das empresas têm configurações críticas de segurança na nuvem da AWS (vou simplificar: CONFIGURAÇÕES ERRADAS).

Questões como SSH aberto e atualizações de software pouco frequentes estão entre os principais riscos identificados e, é claro, algumas das maiores exposições no passado recente (Verizon, Dow Jones e RNC) foram resultado de erros de configuração do AWS S3. Mas há muitos outros que são mais obscuros, mas igualmente perigosos se não forem tratados.

Então, como você sabe se um erro de configuração vai colocá-lo em risco? E como você identifica onde estão suas lacunas? Neste post, vou percorrer os quatro sinais de uma configuração incorreta crítica, como identificar um e como corrigi-lo rapidamente. E se ainda tiver dúvida, pode me procurar.

Sinais de uma configuração crítica de segurança da AWS
A beleza da nuvem é que você pode configurá-la de várias maneiras para atender às necessidades exclusivas da sua organização. O único problema é que pode ser difícil saber a diferença entre uma configuração que se desvia da norma, mas não coloca sua segurança em risco e pode levar a uma violação.

Se uma configuração incorreta pode levar a qualquer uma das situações a seguir, é considerado crítico:

  1. Pode ser aproveitado em uma violação direta de dados
  2. Pode ser aproveitado em um ataque mais complexo
  3. Permite ataques triviais em um console da AWS
  4. Reduz ou elimina a visibilidade crítica (segurança ou conformidade)
  5. A melhor maneira de determinar se uma configuração incorreta poderia levar a alguma das situações acima é pensar como um invasor. Se você puder imaginar um ataque com base em uma configuração incorreta, é provável que outra pessoa também possa.

Como detectar um erro de configuração crítica
O melhor processo para detectar configurações incorretas é digitalizá-las assim que você for para a nuvem e novamente sempre que fizer uma alteração em seu ambiente. A execução de uma auditoria de configuração ajudará você a ver o que pode ter perdido e lhe dará a oportunidade de corrigir antes que os invasores possam localizá-lo e explorá-lo.

Procurando por alguns exemplos?

Desvios como deixar o SSH totalmente aberto à Internet podem permitir que um invasor tente acessar o servidor remoto de qualquer lugar, tornando os controles de rede tradicionais como VPN e firewalls irrelevantes.

Não aplicar a autenticação de múltiplos fatores (MFA) é outra grande preocupação de configuração incorreta. Em uma pesquisa, 62% das empresas não exigiram ativamente que os usuários utilizassem o MFA, tornando os ataques de força bruta muito fáceis para os adversários realizarem. A auditoria de suas configurações regularmente mostra como você se depara com as melhores práticas da CIS Benchmarks e da AWS.

Quanto mais cedo você começar a auditar regularmente suas configurações, mais rápido você poderá detectar erros de configuração antes que outra pessoa o faça.