Como interromper uma cadeia de ataques na nuvem com o Illumio CloudSecure

Mais empresas estão usando serviços em nuvem do que nunca, e isso está expandindo a superfície de ataque a um ritmo alarmante. Há muitas outras oportunidades para os invasores invadirem redes e se movimentarem até atingirem seus ativos críticos ou instalarem ransomware.

Mas as intrusões na nuvem podem ser difíceis de detectar. Como os métodos modernos de crimes cibernéticos não implantam malware, não há nenhum comportamento anormal que chame a atenção para eles. Eles geralmente usam portas legítimas para se deslocar pela rede até o destino.

É por isso que é tão importante criar Zero Trust na nuvem. Ele move o limite de confiança o mais próximo possível dos recursos essenciais. Nesta postagem do blog, percorra uma cadeia real de ataques na nuvem e saiba como a segmentação Zero Trust com o Illumio CloudSecure pode ajudar você a interromper as cadeias de ataques na nuvem.

Exemplo da vida real: uma cadeia de ataques na nuvem bem-sucedida

A maioria das plataformas de segurança de aplicativos protege a nuvem encontrando e respondendo às ameaças. Mas esse método não é suficiente — muitos violações de segurança na nuvem nos últimos anos não foram descobertos por muito tempo. Na verdade, 47% de todas as violações de dados no último ano tiveram origem na nuvem, de acordo com uma pesquisa da Vanson Bourne.

É tão importante sobreviver às ameaças não detectadas quanto se proteger contra as que conhecemos. Tanto as ameaças conhecidas quanto as desconhecidas precisam ser interrompidas.

O que aconteceu? A cadeia de ataque

Os atacantes usaram credenciais roubadas de alto nível para violar a rede. A organização tinha várias soluções de segurança implementadas, mas os invasores criaram backdoors na rede para roubar dados com sucesso. Eles evitaram ferramentas de detecção e não implantaram malware, deixando a violação sem ser detectada por meses.

As ferramentas de segurança da organização estavam procurando apenas ameaças conhecidas e comportamentos suspeitos. Como o comportamento do invasor usou meios legítimos para acessar a rede, ele conseguiu se mover facilmente pelo ambiente ou se mover lateralmente para acessar os aplicativos.

A camada de rede tinha algum nível de segmentação usando grupos de segurança, mas eram segmentos amplos. Depois que os invasores acessaram o aplicativo inicial, foi fácil migrar para outros aplicativos.

O que poderia ter sido feito? Parando o movimento lateral

Teria sido muito mais difícil para os atacantes acessar os recursos se não conseguissem se mover entre os aplicativos. Limitando movimento lateral teria protegido o ambiente de nuvem não apenas de violações conhecidas, mas também de violações desconhecidas e não detectadas.

Uma arquitetura de segurança bem-sucedida precisa se proteger contra ameaças conhecidas e desconhecidas sem aumentar a complexidade operacional.

No exemplo acima, somente grupos de segurança nos limites da rede em nuvem estavam restringindo o movimento lateral. O problema com grupos de segurança em nuvens privadas virtuais (VPCs) ou redes virtuais (VNETs) é que eles são soluções centradas na rede. Como muitos proprietários de aplicativos não entendem totalmente as dependências de tráfego entre seus aplicativos, os grupos de segurança são frequentemente adicionados à rede de forma muito ampla — ou nem sequer são adicionados. Isso permite a passagem de uma grande variedade de tráfego, criando portas abertas pelas quais os atacantes podem se mover facilmente.

Confiando em ferramentas tradicionais de segurança de rede não funciona em arquiteturas modernas de nuvem híbrida. Isso ocorre porque os recursos aumentam e diminuem constantemente e podem ser movidos entre os hosts para um desempenho ideal. O endereçamento de rede tradicional não é mais uma forma confiável de identificar um aplicativo na nuvem.

Como a segmentação Zero Trust aborda as cadeias de ataques na nuvem

É hora de separar a segurança da carga de trabalho e dos aplicativos na nuvem da segurança centrada na rede. Eles têm prioridades muito diferentes.

Segmentação Zero Trust (ZTS) atua como suporte para as cadeias de ataque na nuvem. Ele usa controles de segmentação no nível do aplicativo sem depender da segmentação tradicional centrada na rede.

A maioria dos sistemas operacionais modernos tem portas abertas por padrão e no modo de escuta, como Linux Secure Shell (SSH) e Protocolo de área de trabalho remota (RDP) do Windows. Se os invasores comprometerem uma carga de trabalho, eles poderão usar qualquer uma dessas portas para se conectar a um host vizinho. Em seguida, eles podem usá-los para obter acesso a recursos essenciais ou entregar cargas maliciosas.

Do ponto de vista dos agentes de ameaças, essas portas abertas são portas destrancadas que são fáceis de atravessar enquanto se movem pela rede em busca do alvo desejado. O ZTS interrompe esse acesso lateral desnecessário entre os aplicativos. Isso significa que os atacantes ficam confinados em seu ponto de entrada original e não podem se espalhar ainda mais pela rede.

‍Como o Illumio CloudSecure estende o ZTS para a multinuvem híbrida

Com Illumio CloudSecure, você pode criar um ZTS centrado em aplicativos em grande escala. Ao se concentrar nas necessidades de segurança exclusivas de cada aplicativo, o CloudSecure reduz sua superfície de ataque e interrompe o movimento lateral.

Aqui estão as três etapas que o CloudSecure executa para interromper uma cadeia de ataques na nuvem antes que ela se espalhe por seus aplicativos.

1. Veja todas as dependências de tráfego e aplicativos na nuvem

Você não pode impor o que não pode ver. É por isso que é crucial obter visibilidade de ponta a ponta em todo o tráfego de aplicativos em todo o seu ambiente híbrido e multinuvem.

Como parte do Plataforma Illumio ZTS, o CloudSecure mostrará todo o tráfego entre todas as cargas de trabalho de qualquer aplicativo em seu ambiente de nuvem:

2. Defina o acesso com menos privilégios entre aplicativos

O CloudSecure usa um modelo de política baseado em rótulos que mapeia as tags de nuvem existentes para os rótulos multidimensionais da Illumio. Ele identifica cargas de trabalho ao longo de limites que fazem sentido para proprietários de negócios e proprietários de aplicativos, em vez do endereçamento centrado na rede. Esses rótulos definem políticas em hosts que pertencem aos aplicativos. ‍

3. Implemente automaticamente políticas de segurança na nuvem

Em seguida, o CloudSecure implementará essas políticas usando ferramentas de segurança nativas da nuvem, como grupos de segurança e grupos de segurança de rede (NSGs).

As equipes de segurança não precisam usar endereços IP e portas para implementar políticas. O CloudSecure coloca a política centrada no aplicativo na sintaxe que os controles nativos da nuvem podem entender. Em seguida, ele descobre os controles nativos da nuvem necessários para implantar essa política.

Usar um modelo de política baseado em rótulos significa que cada recurso de nuvem associado a um aplicativo terá o rótulo correto.

No exemplo de ataque na nuvem acima, se o sistema fosse dividido em segmentos, seria muito mais difícil para os atacantes passarem de um aplicativo para outro. O ataque teria sido contido em um pequeno grupo de recursos em vez de se espalhar rapidamente para todos eles antes de ser detectado.

Comece seu teste gratuito do Illumio CloudSecure hoje. Entre em contato conosco para saber mais sobre como impedir violações em sua multinuvem híbrida com a plataforma Illumio ZTS.