* Thiago Carvalho Farah Montenegro
Muito se fala a respeito de ransomware, a família de malwares cujo objetivo é sequestrar os dados de uma pessoa ou organização cobrando um resgate (o ransom, do inglês) pela chave de criptografia. Sem uma cópia inacessível (ou imutável) ao malware, a única saída para recuperar seus dados é pagar o resgate. São ataques sofisticadíssimos de múltiplos estágios, explorando brechas de segurança complexas e com valores de resgate astronômicos.
No mundo da nuvem, no entanto, os ataques mais comuns que temos visto não são de ransomware. Tendo parceria com diversos players no ecossistema de cloud, clientes e muitas organizações que nos pediram ajuda para tratar um incidente, o que mais vejo são ataques para explorar a disponibilidade de infraestrutura da nuvem dos clientes e minerar criptomoedas.
Se há uma década ouvíamos no jornal de domingo que grupos hackers bagunçaram o site de uma grande empresa para protesto, no mundo de nuvem atual não é necessário ser uma gigante para ser um alvo. Qualquer CPF e qualquer CNPJ, de um pequeno Microempreendedor Individual (MEI) a uma multinacional, podem sofrer o mesmo tipo de ataque.
Aqui, explico. Na nuvem, os clientes assinam um cheque em branco: quem tiver o direito administrativo necessário pode provisionar novos recursos computacionais. Funciona como nossa conta de energia ou água: consumiu mais, pagou mais.
Você já deve ter ouvido falar de alguém que investiu em máquinas e placas de rede de última geração para minerar criptomoeda em casa, explorando uma cidade em que a energia é mais barata ou até mesmo uma instalação de energia solar e assim ter lucro. Imagina ter a sua disposição quantas máquinas e GPUs você desejar, sem pagar nada por isso, nem pelo hardware, nem pela energia? Neste tipo de ataque, o hacker consegue privilégio e, utilizando infraestrutura como código, provisiona automaticamente dezenas, senão centenas, de máquinas em poucos minutos e põe este ambiente para minerar.
Até que o cliente perceba, a conta pode estar com valores estratosféricos. Vivenciamos um caso de cliente que em um dia e meio de ambiente invadido gerou uma conta de quase R$ 1 milhão. E veja, esta conta é devida. Da mesma forma que você deve gerenciar seus recursos on premise, a guarda da sua infraestrutura em nuvem é de sua responsabilidade e não do provedor de nuvem. É você quem utiliza a infinidade de recursos de segurança disponíveis para, em harmonia, minimizarem esses ataques.
Ataques deste tipo não bagunçam seu site. Não tiram do ar seus serviços, aplicações ou bancos de dados. Seus dados não são criptografados ou sequestrados. Tudo continua funcionando normalmente, seu CRM, seu ERP, a frente de caixa, o faturamento, a folha de pagamento. O hacker apenas adiciona recursos no seu ambiente e os usa.
E quem paga a conta é você. É por isso que perceber estes ataques é tão difícil.
Nuvem não é apenas provisionar e usar. A gestão do consumo, a governança e a segurança nunca foram tão importantes. Várias tecnologias estão aparecendo cada vez mais na mesa do CIO: fala-se de FinOps, fala-se de um conceito mais amplo – a Observabilidade – mas nada disso funciona comprando um software. Tudo isso é gestão de consumo e precisa haver processo, monitoração, alertas e orçamento configurados, acompanhamento diário de custos (e desvios!) e uma cultura de segurança.
Não adianta ter tudo e não ter o básico, por exemplo, autenticação de dois fatores no mínimo para os administradores. Não adianta ter o básico e não gerir o valor consumido, percebendo que houve um ataque destes somente 30 dias depois, quando chegar a fatura mensal. Neste momento, será tarde demais.
* Thiago Carvalho Farah Montenegro é Diretor de Business Unit – Lanlink, uma das maiores provedoras de TI do Brasil, com 35 anos de experiência e atuação em todo o Brasil, atendendo mais de 300 mil usuários em todo o país
