Pesquisa aponta que 44% das credenciais corporativas tem privilégios de configuração errado
Levantamento da Varonis também aponta que 1 em cada 4 credenciais são usadas por serviços, e não pessoas
Três a cada quatro credenciais corporativas de serviços na nuvem pertencem a terceiros, e permaneceram ativos, mesmo não sendo mais utilizados. Esse é o resultado do Relatório de Riscos em Serviços SaaS 2021 - cuja análise feita sobre mais de 200 mil credenciais e centenas de milhares de ativos na nuvem - em vários serviços, tais como Google, Box, GitHub, Zoom, Slack, Salesforce, AWS e Amazon S3.
Além disso, 43% dessas credenciais abandonadas estão expostas, e podem ser facilmente usadas por criminosos para roubo de informações - o que pode levar a uma onda ransomware na captura de dados da nuvem. "O problema é que os últimos 15 meses levaram as empresas a adotar serviços na nuvem - cujo gerenciamento de credenciais pode ou não estar integrado aos serviços como o AD, aumentando a complexidade de gestão de identidade por parte dos times de TI", avalia Carlos Rodrigues, vice-presidente da Varonis para Latam. "No Brasil, ainda há o agravante das punições impostas pela Lei Proteção Geral de Dados a vazamentos de informações", explica o executivo.
Outro ponto que aumenta e muito o risco desses ambientes é o fato de que quase a metade das credenciais são utilizadas por serviços, tais como APIs, aplicações serverless, máquinas virtuais, entre outras. Ao contrário das credenciais que são utilizadas por seres humanos, esses dados de login estão comprometidos 24x7 porque estão sendo usados o tempo todo e, geralmente, não são inspecionados nas rotinas de segurança - muitos são utilizados em segundo plano.
Falta de limites entre o pessoal e o profissional
A pesquisa também apontou que ao menos 15% dos funcionários transferem dados críticos do negócio para suas contas pessoais na nuvem - sejam espaços de armazenamento pessoais, cedidos pela empresa, ou contas de cunho totalmente pessoal - completamente fora do escopo de gestão da equipe de segurança. O ideal, nestes casos, é garantir o uso de políticas que previnam a transferência desses arquivos.
Outro problema é que ao menos 20% dos usuários de serviços na nuvem têm acesso a dados privilegiados - e cerca de 44% das credenciais têm privilégios configurados incorretamente. "A nuvem apaga os limites entre contas pessoais e corporativas e usuários não administradores podem quebrar privilégios mínimos com uma ação simples de compartilhamento de arquivos. O risco da nuvem é diretamente proporcional à facilidade que os serviços trazem. Na nuvem, usuários podem copiar, excluir ou expor silenciosamente informações críticas para praticamente qualquer pessoa. E esses dados podem ser desde a sua lista de clientes do Salesforce, até o código-fonte de uma aplicação no GitHub, ou documentos no Box e Google Drive. Por isso, mais do que nunca, gestores de TI têm a obrigação de reforçar a segurança dos ativos de nuvem daqui pra frente", sinaliza Rodrigues.
Sobre a Varonis
Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>
Adicionar comentário