CASB

Microsoft Cloud App Security – Uma visão geral

Introdução

Essa semana quero entrar no tema CASB com uma visão geral do que é, seus principais usos e recomendações utilizando o Microsoft Cloud App Security.

O que são CASBs?

De acordo com o Gartner, os CASBs (Cloud Access Security Brokers) são “pontos de imposição de políticas de segurança on-premises (infraestrutura local) ou de aplicação em nuvem que são colocados entre os consumidores e os provedores de serviços em nuvem.”.

Perceba, ele é uma ferramenta que vai agir no meio da comunicação, entre usuário e nuvem, com o objetivo de entregar uma maior segurança para um ambiente estendido para a nuvem.

Na medida que a sua jornada para a nuvem aumenta, você vai passar por novos e complexos desafios para que sua organização se mantenha segura (LGPD que o diga). Não é porque um provedor de serviços de nuvem já está em conformidade com a GDPR, por exemplo, que você automaticamente também estará. O ponto aqui é, você tem uma responsabilidade compartilhada com o seu provedor SaaS, IaaS, PaaS, etc.

Se você quiser obter os benefícios da nuvem, como por exemplo, migrar para um ambiente de trabalho moderno e ser mais competitivo nos dias atuais, você precisará encontrar o equilíbrio ideal entre dar suporte ao acesso e manter o controle para proteger dados críticos.

Então o CASB nos ajuda basicamente em várias frentes, como: fornecer uma visibilidade avançada (Shadow IT), controle sobre o tráfego de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem, integração com ferramentas de classificação ou data loss prevention (DLP) e mais algumas funcionalidades.

A estrutura do MCAS (Microsoft Cloud App Security)

Abaixo, vou listar os principais pontos do MCAS:

  • Descobrir e controlar o uso de shadow IT
  • Proteger informações confidenciais em qualquer lugar na nuvem
  • Proteger contra ameaças cibernéticas e anomalias
  • Avaliar a conformidade de seus aplicativos na nuvem

Alguns pontos interessantes do Microsoft Cloud App Security:

  • Você não precisa de agentes nos dispositivos
  • Ele é totalmente integrado com a suíte de segurança da Microsoft EMS dando uma visão geral de todo o ambiente
  • Integração com AIP para Classificação e Proteção automática dos documentos em nuvem
  • Integração com o Azure Conditional Access para fazer proxy somente das aplicações que você determinar e não de todo o tráfego
  • Faz uso do Microsoft Threat Intelligence Security graph

 Shadow IT

Um primeiro ponto de interesse das soluções CASB é com relação à descoberta do Shadow IT, que são os sistemas usado dentro de organizações sem aprovação explícita. Durante algumas pesquisas com administradores de TI, foi questionado quantos aplicativos de nuvem eles achavam que seus usuários se conectavam, e na média eles diziam algo em torno de 30 – 40, quando na realidade, a média é de mais de mil aplicativos. Outras pesquisas mostram que 80% dos funcionários usam aplicativos não sancionados.

Com o Cloud App Security você pode tratar o shadow IT em três fases principais de acordo com o seguinte processo:

1.      Descobrir o Shadow IT

2.      Identificar os níveis de risco dos aplicativos

3.      Avaliar a conformidade

4.      Analisar o uso

5.      Gerenciar aplicativos de nuvem

6.      Monitoramento contínuo

A imagem abaixo ilustra esse processo.

O processo de coleta de logs é bem simples. Você pode carregar os logs de Proxies ou Firewalls do uso de conectividade de sua rede local através do painel do Cloud App Security. Para um primeiro teste, você pode fazer de forma manual. Você pode configurar também um coletor para fazer isso de forma automática e passar a analisar seus logs de tráfego com base no catálogo de mais de 16.000 aplicativos de nuvem do Microsoft Cloud App Security.

Esses relatórios contínuos podem receber dados, por exemplo, de:

  • Uma integração com Microsoft Defender ATP
  • Um coletor de logs
  • Integração nativa com o Zscaler
  • Integração com o iboss

Menu de descoberta do MCAS:

Telas do dashboard gerado a partir de logs de firewall ou proxy da minha infraestrutura local.

Investigação

Outra parte super importante é a de investigação, onde tenho uma visão dos logs de atividades, arquivos, contas e usuários, Oauth apps e mais.

É importante destacar que o MCAS consegue fazer a integração com os principais serviços de nuvem do mercado, como:

  • Box
  • Okta
  • G Suite
  • ServiceNow
  • Salesforce
  • Dropbox
  • AWS
  • Webex
  • Workday

OAuth Apps

Um outro ponto de destaque é a gestão de aplicativos OAuth arriscados. Por se tratar de um padrão aberto para autenticação e autorização baseada em token, o OAuth permite que as informações da conta do usuário sejam usadas por serviços de terceiros, sem expor a senha do usuário, atuando como um intermediário em nome do usuário.

Por exemplo, aqueles aplicativos add ons que o usuário configura e permite acesso à sua conta, como aplicativos de acesso ao calendário, etc. Abaixo, um exemplo da tela de autorização de um aplicativo OAuth.

Podemos detectar esses aplicativos de risco e gerar alertas ou fazer uma busca de acordo com alguma suspeita, como no exemplo abaixo:

Com base nas descobertas, posso tomar uma ação contra esse aplicativo.

Logs de atividades

Nos logs de atividades eu também consigo verificar as ações de todos meus usuários na nuvem. No exemplo abaixo, a usuária Megan fez o upload de um arquivo chamado RGs.docx.

Bloqueio de sessão

Uma configuração bem interessante é de poder configurar o monitoramento de sessão do usuário para bloquear um upload, ou download de dados.

No meu exemplo abaixo, a usuária Megan tem uma política de monitoramento de sessão. Estou bloqueando aqui a tentantiva de envio de um documento contendo dados de cartões de crédito de sua estação local para o OneDrive. Ao tentar arrastar e soltar o arquivo para o OneDrive ela recebe a mensagem abaixo com uma mensagem customizada.

Integração com AIP – Classificação automática de dados

Outra funcionalidade fantástica é a integração com os rótulos e arquivos protegidos com o Azure Information Protection (AIP). No meu exemplo, um documento que contém números de RG está no OneDrive de um usuário, mas com o Cloud App Security eu posso classificar automaticamente esse conteúdo em minhas aplicaçõe de nuvem.

Eu posso criar uma política para isso:

Nos detalhes da regra percebam que estou usando uma informação sensível proveniente do Office 365 DLP (temos cerca de 100 destas prontas para uso) e caso a condição seja atendida o documento é automaticamente classificado.

Condição do DLP:

Classificação usando o AIP

O resultado no lado do cliente é mostrado abaixo. O arquivo foi classificado e ao abrir ele consegue visualizar o rótulo.

Para fechar, gostaria de recomendar o post da Microsoft sobre uso de CASB, onde exploramos cinco dos 20 principais casos de uso de CASBs que identificamos como retorno imediato de seu investimento, com pouco esforço de implantação necessário antes de passar para cenários mais avançados:

https://www.microsoft.com/security/blog/2019/09/25/top-5-use-cases-cloud-access-security-broker/

Conclusão

Nesse artigo mostrei o que significa CASB e como a Microsoft apoia os clientes com a ferramenta Microsoft Cloud App Security.

Referências

https://docs.microsoft.com/pt-br/cloud-app-security/what-is-cloud-app-security

https://docs.microsoft.com/pt-br/cloud-app-security/investigate-risky-oauth

https://docs.microsoft.com/pt-br/cloud-app-security/use-case-information-protection

https://docs.microsoft.com/pt-br/cloud-app-security/use-case-proxy-block-session-aad

Obrigado a todos!

Nota: Última edição em 30/09/2019.

Tiago Souza

Tiago Souza

Security Technical Specialist
Cyber Security Technical Specialist at Microsoft | Cloud Security & Threat Protection | Blog content creator at CyberGeeks.Cloud - https://linktr.ee/tiagovf