Crypto ID entrevistou Arthur Capella, diretor-geral da Tenable Brasil, que compartilha insights com nossa audiência
A Tenable, empresa de gestão de exposição, revelou que sua equipe de pesquisa, Tenable Research, descobriu uma vulnerabilidade crítica de execução remota de código (RCE), chamada CloudImposer, que poderia ter permitido a atacantes mal-intencionados executar código em potencialmente milhões de servidores do Google Cloud Platform (GCP) e nos sistemas de seus clientes. Essa vulnerabilidade destaca uma lacuna significativa de segurança nos serviços do Google Cloud, impactando especificamente o App Engine, Cloud Function, e Cloud Composer.
A descoberta resulta de uma análise aprofundada da documentação tanto do GCP quanto da Python Software Foundation, revelando que esses serviços eram vulneráveis a um ataque à cadeia de suprimentos conhecido como confusão de dependências.
Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização e medidas preventivas contra ela, mesmo entre grandes provedores de tecnologia, como o Google.
O Crypto ID, durante a Conferência Gartner realizada em São Paulo no final de setembro, entrevistou Arthur Capella, diretor-geral da Tenable Brasil, que esclarece pautas relacionadas a cibersegurança além de discutir a recente descoberta da vulnerabilidade CloudImposer e suas implicações para a segurança na nuvem.
Nesta entrevista, ele também destaca a necessidade de colaboração entre provedores e clientes, bem como o papel da pesquisa em segurança na evolução do setor e mostrará uma visão aprofundada sobre como a Tenable está se posicionando frente aos desafios da segurança cibernética e as inovações que moldarão o futuro da proteção de dados.
Leia artigo na íntegra!
Crypto ID: Qual a importância estratégica da Conferência Gartner 2024 para a Tenable? Quais são as suas expectativas em termos de visibilidade da marca, networking com potenciais clientes e parceiros, e geração de novas oportunidades de negócio?
Arthur Capella: O Gartner é uma referência para discussões e tendências de tecnologia. É muito importante para nós esse contato direto com clientes, parceiros e especialistas de mercado para mostrarmos a inovação da Tenable para segurança na nuvem, OT, on-premisses e o gerenciamento de vulnerabilidades que podem trazer risco ao negócio.
Crypto ID: Há alguma atividade específica, como palestras, demonstrações ou reuniões, que você destacaria sobre a participação da Tenable?
Arthur Capella: Tivemos a visita de Arick Goomanovsky, VP de Produto e Inovação da Tenable, que ministrou a palestra “Solução Integrada para uma Gestão Eficiente” com insights exclusivos da pesquisa Tenable Cloud Security e sobre como o CNAPP (sigla em inglês para Plataforma de Proteção de Aplicativos Nativos da Nuvem) pode ajudar empresas a se protegerem. Goomanovsky tem mais de 20 anos de experiência em cibersegurança e cofundou a Ermetic, empresa adquirida pela Tenable e que ajudou a desenvolver o conceito de CNAPP.
Soluções CNAPP são de extrema importância pois resolvem uma das maiores dores dos gerentes de segurança – a complexidade de ambientes. Em uma única plataforma é possível uma visão completa de risos, configurações, ativos, permissões, cargas de trabalho e outros fatores cruciais. Listando, os quatro principais benefícios: Aumento de visibilidade, compatibilidade aprimorada, detecção precoce e automação extensiva.
Crypto ID: Podemos agora falar sobre a vulnerabilidade CloudImposer recém-divulgada por vocês? A descoberta da vulnerabilidade CloudImposer pela Tenable Research demonstra um grande comprometimento com a segurança na nuvem. Gostaria de saber como essa descoberta impacta a visão da Tenable sobre a segurança em ambientes cloud e quais as principais lições que podemos aprender com esse caso?
Arthur Capella: Nós estamos totalmente comprometidos com segurança na nuvem e nossa equipe de pesquisa trabalha extensivamente para detectar riscos que possam afetar os negócios antes que eles sejam explorados por cibercriminosos e em colaboração com os fabricantes de software para mitigar uma vulnerabilidade o mais rápido possível.
No caso do CloudImposer, a Tenable Research descobriu uma vulnerabilidade que poderia ter permitido que um invasor malicioso executasse código em potencialmente milhões de servidores de propriedade do Google e de seus clientes.
Sobre as lições aprendidas, vulnerabilidades sempre irão surgir, não existe um ambiente completamente livre delas. O que podemos e devemos fazer é um gerenciamento de vulnerabilidades, com priorização e dados de inteligência que ajudem os gestores a entender quais os riscos do negócio.
Crypto ID: A vulnerabilidade CloudImposer explora um tipo de ataque conhecido como “confusão de dependências”. Você poderia explicar de forma mais detalhada como esse ataque funciona e quais são os seus principais riscos para as empresas que utilizam serviços em nuvem?
Arthur Capella: Um ataque de confusão de dependência começa quando um invasor cria um pacote de software malicioso, dá a ele o mesmo nome de um pacote interno legítimo e o publica em um repositório público.
Quando o sistema ou processo de construção de um desenvolvedor puxa por engano o pacote malicioso em vez do interno pretendido, o invasor obtém acesso ao sistema. Esse ataque explora a confiança que os desenvolvedores depositam nos sistemas de gerenciamento de pacotes e pode levar à execução de código não autorizado ou violações de dados.
A Tenable Research descobriu que o CloudImposer poderia ter permitido que invasores conduzissem um ataque massivo à cadeia de suprimentos ao comprometer o serviço Cloud Composer da Google Cloud Platform para orquestrar pipelines de software.
Especificamente, o CloudImposer poderia ter permitido que invasores conduzissem um ataque de confusão de dependência no Cloud Composer, uma versão de serviço gerenciado do popular serviço Apache Airflow de código aberto.
Em ataques à cadeia de suprimentos, os invasores se infiltram nos sistemas de suprimentos de provedores legítimos.
Quando o provedor distribui inadvertidamente a versão comprometida de seu software, seus usuários se tornam vulneráveis a um ataque, levando a violações de segurança generalizadas.
É de extrema importância monitorarmos este tipo de falha, pois seus desdobramentos podem ser catastróficos, incluindo paradas generalizadas de sistema como vimos este ano.
Crypto ID: A Tenable ressalta a importância da colaboração entre provedores de nuvem e clientes para fortalecer a segurança. Na sua visão, quais são as principais ações que os clientes podem tomar para se protegerem contra vulnerabilidades como o CloudImposer e outros ataques à cadeia de suprimentos na nuvem?
Arthur Capella: Uma combinação de práticas de segurança por provedores e clientes de nuvem pode mitigar muitos riscos associados a ataques à cadeia de suprimentos de nuvem. Especificamente, os usuários devem analisar seus ambientes para seu processo de instalação de pacotes para evitar violações.
Estabelecer um programa de segurança na nuvem é crucial nos ambientes atuais. Como primeiros passos, devemos considerar:
- Visibilidade e propriedade da conta de nuvem: É importante saber quais contas de nuvem você possui e o que está sendo executado nelas.
- Defina os owners: Eles são responsáveis por garantir a segurança geral da conta e aceitam o risco de todos os recursos excluídos nas contas, independentemente da propriedade.
- Conformidade: É importante garantir que suas contas de nuvem estejam em conformidade com os padrões da indústria e que atendem aos seus requisitos legais, regulatórios e comerciais.
- Revisar e corrigir descobertas: É importante revisar e remediar as vulnerabilidades encontradas em suas contas de nuvem para começar e priorizar esses esforços de remediação.
- Defina e monitore exclusões: Em qualquer organização, sempre haverá problemas de segurança que não são resolvidos por uma variedade de razões. Após remediar as descobertas, você pode ter recursos nos quais precisa adicionar exceções. Mas é importante ressaltar que, se exclusões foram feitas de forma permanente, é necessário que você tenha um controle compensatório em vigor que mitigue o risco.
- Defina KPIs: Depois de abordar suas descobertas, o próximo passo é medir as métricas de conformidade e o desempenho ao longo do tempo. Indicadores-chave de desempenho (KPIs) são usados para avaliar os esforços de conformidade de uma organização em relação a um padrão de conformidade conhecido. Como parte de um programa de segurança de nuvem maduro, rastrear métricas de KPI mensalmente é um bom ponto de partida. Também é importante que você trabalhe com sua equipe de liderança para determinar e concordar com um conjunto de KPIs para monitorar como parte do seu programa.
- Mantenha comunicação contínua: Como etapa final, recomendamos reunir-se com os proprietários de contas para analisar os detalhes do programa de segurança na nuvem. É importante discutir os motivos para implementar esse programa e o que os proprietários de contas são responsáveis por garantir. Os proprietários de contas devem estar cientes de que um programa de segurança na nuvem é projetado para ajudar a garantir a privacidade dos dados e a conformidade regulatória, bem como proteger contra riscos de segurança.
Crypto ID: A pesquisa da Tenable destaca a necessidade de maior conscientização e medidas preventivas contra ataques à cadeia de suprimentos, mesmo entre grandes provedores de tecnologia. Como a Tenable está trabalhando para educar o mercado e promover melhores práticas de segurança na nuvem?
Arthur Capella: Na Tenable, entendemos a criticidade de abordar proativamente os riscos de segurança associados aos ambientes de nuvem. Para isso, investimos em tecnologia e ferramentas de ponta que nos permitem identificar e mitigar ameaças emergentes.
Estamos comprometidos em fazer parcerias com nossos clientes para ajudá-los a transformar sua postura de segurança para atender às demandas do cenário de ameaças em rápida mudança.
Nossa abordagem é centrada na análise das vulnerabilidades de uma organização por meio da coleta e análise de dados da superfície de ataque, permitindo-nos antecipar ameaças potenciais e tomar as medidas necessárias para evitar que elas se infiltrem no sistema.
Em essência, a Tenable fornece aos clientes a visibilidade, inteligência e consultoria necessárias para alocar efetivamente seus recursos de segurança cibernética com base em seu orçamento.
A alocação estratégica de recursos é um aspecto crítico da estratégia de segurança cibernética de nossos clientes, pois transforma as despesas de segurança cibernética em um investimento em vez de um custo.
Crypto ID: A descoberta e divulgação responsável da vulnerabilidade CloudImposer demonstra o papel crucial da pesquisa em segurança. Como a Tenable Research está contribuindo para o avanço da segurança cibernética e quais são as suas principais áreas de foco para o futuro?
Arthur Capella: Nós estamos focados em identificar todo e qualquer fator de ameaça ao negócio de nossos clientes. Desde vulnerabilidades conhecidas a malwares ou mesmo novos meios de exploração que ainda não foram descobertos nem mesmo pelos atacantes, mas, de forma preditiva, podemos conter antes que agentes mal-intencionados possam adquirir vantagem.
Vemos claramente que é melhor prevenir do que remediar e ajudamos empresas em ambientes de alta complexidade, com ativos distribuídos em nuvem, on-premises, OT e geograficamente.
A busca é simplificar para melhorar, de modo que os decisores possam tomar medidas de uma maneira que eles entendam, indo direto a raiz do problema com métricas, priorização e informação pertinente para gerenciar e mitigar vulnerabilidades.
Para o futuro, a Inteligência Artificial representa uma grande virada de chave. Já utilizamos IA há anos em nossos softwares de defesa, porém a IA Generativa vem estabelecendo novos desafios.
Se por um lado temos novas possibilidades de defesa, criminosos enxergam novas possibilidades de ataque. Além disso, estamos vendo brechas em soluções de IA e até mesmo o vazamento de informação não intencional pelo uso de IA Generativa sem a devida governança. Com certeza, estamos com grande foco em todos os aspectos desta nova onda de IA.
Tenable apresenta AI Aware: solução de segurança proativa para IA e grandes modelos de linguagem
Assista e leia outras entrevistas feitas pelo Crypto ID. Você vai gostar muito. Acesse a coluna IDTalks aqui!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
