Os especialistas dividem em três os tipos as ameaças vinculadas à cloud: ameaças internas, ameaças externas – ambas comuns a outros ambientes tecnológicos - e os riscos associados especificamente à cloud. Estes últimos, que são habitualmente os menos considerados, podem estar diretamente relacionados com o próprio fornecedor do ambiente cloud ou com os serviços oferecidos.
Segue-se a lista dos 10 principais riscos identificados nos ambientes de serviços cloud:
- Ameaças internas: insiders, erros de uso, falta de consciencialização e conhecimento.
- Ameaças externas: campanhas dirigidas, malware, grupos de ameaças persistentes avançadas (APTs) ou hacktivistas.
E, entre as ameaças específicas da cloud, os identificam-se:
- Serviços de suporte: os serviços cloud estão sempre disponíveis – estará o service desk preparado para os controlar?
- Ritmo de evolução: a cloud é um ambiente em constante mudança e transformação. É possível acompanhar este ritmo?
- Novos elementos: as aplicações cloud usam novos elementos de comunicação. Conseguirá a empresa controlá-los?
- Cloud diferentes: É possível ter serviços de diferentes clouds na mesma infraestrutura e saberá a empresa como estas podem interagir?
- Uso de recursos: Nestes ambientes paga-se por recurso – como prevenir uma má utilização?
- Microsserviços: a cloud proporciona acesso a contentores e microsserviços. É possível proteger esta tecnologia?
- Alterações normativas: Estas variações ocorrem com frequência. É possível adaptar os processos para uma atualização tão rápida quanto possível?
- Controlo de políticas: A existência de diferentes políticas pode afetar as aplicações. Como ter controlo sobre tudo isto?
Os especialistas da S21sec consideram que todos estes riscos devem ser considerados ao desenhar-se uma estratégia de adoção de soluções cloud. Neste processo, é necessário apoiar-se em workframes (como os controlos CIS ou o workframe internacional NIST), assim como em elementos de segurança (tanto nativos da cloud como de terceiros) e em táticas específicas.
Numa segunda fase do desenho, os especialistas alertam que abordar 100% dos vetores de segurança é muito dispendioso e pode afetar a operação do negócio quando, na realidade, não é necessário fazê-lo para cobrir os requisitos. É, portanto, essencial considerar a especificidade do negócio nesta fase de desenho e implementar ferramentas para auditar a conformidade normativa e de políticas e confirmar que todos os requisitos estabelecidos são cumpridos.
Por último, destacam que, ao existir tantos elementos a ter em conta, a monitorização é um pilar fundamental: ter uma visibilidade global sobre os ambientes cloud minimizará os tempos de deteção e resposta.
A mudança de paradigma que a cloud representa aumenta a superfície de exposição dos ativos digitais com valor de negócio às ameaças e adiciona novos desafios à tecnologia. “Ter um parceiro sólido pode ajudar a superar o desafio da falta de experiência na gestão de todo este conjunto de riscos e permitir que a empresa se concentre apenas na sua atividade”, defende Jorge Hurtado.