A busca pela transformação digital tem levado mais organizações a moverem seus dados e outros recursos para a nuvem. A pandemia do coronavírus e a mudança abrupta para o trabalho remoto aumentaram ainda mais essas iniciativas de migração para a nuvem. Mas essa transição rápida naturalmente chamou a atenção dos cibercriminosos que estão explorando qualquer fraqueza no acesso baseado em nuvem para implantar malware.
O número médio de aplicativos em nuvem em uso entre empresas aumentou em 20% no ano passado, e a atividade na nuvem agora responde por 53% do tráfego de gateway da web seguro, segundo levantamento feito pela Netskope recentemente (https://www.netskope.com/netskope-threat-labs/cloud-threat-report). No entanto, essa maior dependência da nuvem acarreta certos riscos. Organizações com 500 a 2.000 funcionários agora usam em média cerca de 690 aplicativos em nuvem distintos a cada mês, 97% dos quais são considerados aplicativos de TI de sombra adotados por vários departamentos e usuários.
A porcentagem de todo o malware entregue por meio de um aplicativo na nuvem aumentou para 61% em 2020, de 48% no ano anterior, de acordo com o relatório. Os cibercriminosos tendem a preferir aplicativos populares entre os usuários corporativos.
Outro tipo de risco de segurança ocorre quando os funcionários remotos armazenam dados confidenciais em aplicativos pessoais. Cerca de 83% dos usuários acessam versões pessoais de aplicativos em nuvem em dispositivos gerenciados pela empresa, para os quais carregam uma média de 20 arquivos por mês.
Para proteger sua organização de algumas das ameaças de segurança de aplicativos e serviços. Selecionamos 10 dicas baseadas no relatório Netskope para ficar de olho:
- Use autenticação forte e controles de acesso (por exemplo, SSO, MFA, etc.) para aplicativos gerenciados e não gerenciados.
- Use controles de acesso adaptáveis com base no usuário, aplicativo, instância, dispositivo, localização, dados e destino para conceder acesso seletivamente a atividades específicas.
- Empregue o acesso de rede Zero Trust a aplicativos privados em data centers e serviços de nuvem pública para reduzir a exposição dos aplicativos e limitar o movimento lateral da rede.
- Avalie continuamente a segurança dos serviços de nuvem pública para detectar configurações incorretas e dados expostos publicamente.
- Analise aplicativos de nuvem gerenciados e não gerenciados para tráfego de usuários suspeitos.
- Habilite aplicativos em nuvem de forma seletiva e segura com base em uma avaliação de risco de terceiros.
- Oriente os usuários sobre um comportamento seguro para proteger a si próprios e aos dados da empresa. Por exemplo, se um usuário quiser usar um aplicativo com uma classificação de risco baixa, informe-o sobre alternativas mais seguras com classificações de risco mais altas.
- Configure controles de política granulares para proteção de dados, incluindo movimentação de dados de e para aplicativos, instâncias, usuários, sites, dispositivos e locais.
- Use proteção de dados em nuvem (DLP) para proteger dados confidenciais de ameaças internas e externas.
- Analise o comportamento de anomalias de segurança, eventos e alertas.