Como interromper uma cadeia de ataques na nuvem com a segmentação Illumio para nuvem.

Mais empresas estão usando serviços em nuvem do que nunca, e isso está expandindo a superfície de ataque a um ritmo alarmante. Há muitas outras oportunidades para os invasores invadirem redes e se movimentarem até atingirem seus ativos críticos ou instalarem ransomware.

Mas as intrusões na nuvem podem ser difíceis de detectar. Como os métodos modernos de crimes cibernéticos não implantam malware, não há comportamento anormal que chame a atenção para eles. Eles geralmente usam portas legítimas para se deslocar pela rede até o destino.  

Por isso é tão importante construir uma infraestrutura de Confiança Zero na nuvem. Isso desloca o limite de confiança o mais próximo possível dos recursos críticos. Neste artigo, explore uma cadeia de ataque real na nuvem e aprenda como a Segmentação Zero Trust com o Illumio Segmentation for Cloud pode ajudar a interromper cadeias de ataque na nuvem.  

Exemplo da vida real: uma cadeia de ataques na nuvem bem-sucedida

A maioria das plataformas de segurança de aplicativos protege a nuvem encontrando e respondendo a ameaças. Mas esse método não é suficiente — muitas violações de segurança na nuvem nos últimos anos não foram descobertas por muito tempo. Na verdade, 47% de todas as violações de dados no último ano tiveram origem na nuvem, de acordo com uma pesquisa da Vanson Bourne.  

É tão importante sobreviver às ameaças não detectadas quanto se proteger contra as que conhecemos. Tanto as ameaças conhecidas quanto as desconhecidas precisam ser interrompidas.

O que aconteceu? A cadeia de ataque

Os atacantes usaram credenciais roubadas de alto nível para violar a rede. A organização tinha várias soluções de segurança implementadas, mas os invasores criaram backdoors na rede para roubar dados com sucesso. Eles evitaram ferramentas de detecção e não implantaram malware, deixando a violação sem ser detectada por meses.  

As ferramentas de segurança da organização estavam procurando apenas ameaças conhecidas e comportamentos suspeitos. Como o comportamento do invasor usou meios legítimos para acessar a rede, ele conseguiu se mover facilmente pelo ambiente ou se mover lateralmente para acessar os aplicativos.  

A camada de rede tinha algum nível de segmentação usando grupos de segurança, mas eram segmentos amplos. Depois que os invasores acessaram o aplicativo inicial, foi fácil migrar para outros aplicativos.  

O que poderia ter sido feito? Parando o movimento lateral  

Teria sido muito mais difícil para os atacantes acessar os recursos se não conseguissem se mover entre os aplicativos. Limitar o movimento lateral teria protegido o ambiente de nuvem não apenas de violações conhecidas, mas também de violações desconhecidas e não detectadas.

Uma arquitetura de segurança bem-sucedida precisa proteger contra ameaças conhecidas e desconhecidas sem adicionar complexidade operacional.  

No exemplo acima, apenas os grupos de segurança nos limites da rede em nuvem estavam restringindo o movimento lateral. O problema com os grupos de segurança em nuvens privadas virtuais (VPCs) ou redes virtuais (VNETs) é que eles são soluções centradas na rede. Como muitos proprietários de aplicativos não entendem completamente as dependências de tráfego entre seus aplicativos, os grupos de segurança são adicionados à rede com muita frequência de forma muito ampla – ou nem são adicionados. Isso permite a passagem de um amplo fluxo de tráfego, criando brechas que os atacantes podem facilmente atravessar.  

Confiar nas ferramentas tradicionais de segurança de rede não funciona nas arquiteturas modernas de nuvem híbrida. Isso ocorre porque os recursos aumentam e diminuem constantemente e podem ser movidos entre os hosts para um desempenho ideal. O endereçamento de rede tradicional não é mais uma forma confiável de identificar um aplicativo na nuvem.  

Como a segmentação Zero Trust aborda as cadeias de ataques na nuvem

É hora de separar a segurança da carga de trabalho e dos aplicativos na nuvem da segurança centrada na rede. Eles têm prioridades muito diferentes.  

A Segmentação de Confiança Zero (ZTS, na sigla em inglês) atua como uma proteção contra cadeias de ataques na nuvem. Ele utiliza controles de segmentação no nível da aplicação, sem depender da segmentação tradicional centrada na rede.

A maioria dos sistemas operacionais modernos tem portas abertas por padrão e no modo de escuta, como Linux Secure Shell (SSH) e Windows Remote Desktop Protocol (RDP). Se os invasores comprometerem uma carga de trabalho, eles poderão usar qualquer uma dessas portas para se conectar a um host vizinho. Em seguida, eles podem usá-los para obter acesso a recursos essenciais ou entregar cargas maliciosas.

Do ponto de vista dos agentes de ameaças, essas portas abertas são portas destrancadas que são fáceis de atravessar enquanto se movem pela rede em busca do alvo desejado. O ZTS interrompe esse acesso lateral desnecessário entre os aplicativos. Isso significa que os atacantes ficam confinados em seu ponto de entrada original e não podem se espalhar ainda mais pela rede.

Como o Illumio Segmentation for Cloud estende o ZTS para a nuvem híbrida multicloud.

Com o Illumio Segmentation for Cloud, você pode criar ZTS (Zero Segmentation Test) centradas em aplicações e em escala. Ao focar nas necessidades de segurança exclusivas de cada aplicação, o Illumio Segmentation for Cloud reduz a superfície de ataque e impede a movimentação lateral.  

Aqui estão os três passos que o Illumio Segmentation for Cloud executa para interromper uma cadeia de ataques na nuvem antes que ela se espalhe por seus aplicativos.  

1. Veja todas as dependências de tráfego e aplicativos na nuvem

Você não pode impor o que não pode ver. É por isso que é crucial obter visibilidade de ponta a ponta de todo o tráfego de aplicativos em todo o seu ambiente híbrido e multinuvem.  

Como parte da plataforma Illumio ZTS, o Illumio Segmentation for Cloud mostrará todo o tráfego entre todas as cargas de trabalho para qualquer aplicativo em seu ambiente de nuvem:

2. Defina o acesso com menos privilégios entre aplicativos

O CloudSecure usa um modelo de política baseado em rótulos que mapeia as tags de nuvem existentes para os rótulos multidimensionais da Illumio. Ele identifica cargas de trabalho ao longo de limites que fazem sentido para proprietários de negócios e proprietários de aplicativos, em vez do endereçamento centrado na rede. Esses rótulos definem políticas em hosts que pertencem aos aplicativos. ․

3. Implemente automaticamente políticas de segurança na nuvem

Em seguida, o CloudSecure implementará essas políticas usando ferramentas de segurança nativas da nuvem, como grupos de segurança e grupos de segurança de rede (NSGs).  

As equipes de segurança não precisam usar endereços IP e portas para implementar políticas. O CloudSecure coloca a política centrada no aplicativo na sintaxe que os controles nativos da nuvem podem entender. Em seguida, ele descobre os controles nativos da nuvem necessários para implantar essa política.

Usar um modelo de política baseado em rótulos significa que cada recurso de nuvem associado a um aplicativo terá o rótulo correto.  

No exemplo de ataque na nuvem acima, se o sistema fosse dividido em segmentos, seria muito mais difícil para os atacantes passarem de um aplicativo para outro. O ataque teria sido contido em um pequeno grupo de recursos em vez de se espalhar rapidamente para todos eles antes de ser detectado.

Comece hoje mesmo seu teste gratuito do Illumio CloudSecure. Entre em contato conosco para saber mais sobre como impedir violações de segurança em sua nuvem híbrida multicloud com a plataforma Illumio ZTS.