Tabela 1. Criticidade de determinados recursos de nuvem.<\/span><\/p>\n Em particular, os invasores atacaram com frequ\u00eancia os tokens de IAM serverless, resultando no uso remoto da linha de comando. Eles s\u00e3o importantes porque podem ser usados para obter acesso ao ambiente de nuvem maior de uma organiza\u00e7\u00e3o. Como parte do aumento dos alertas de nuvem, houve tr\u00eas vezes mais eventos de acesso remoto \u00e0 linha de comando utilizando tokens de gerenciamento e acesso \u00e0 identidade (IAM) e credenciais usadas por fun\u00e7\u00f5es serverless na nuvem.<\/p>\n Tamb\u00e9m identificamos outras tend\u00eancias de aumento nos alertas:<\/p>\n A identidade \u00e9 o per\u00edmetro de defesa da infraestrutura de nuvem. Os atacantes t\u00eam como alvo tokens IAM e credenciais, pois eles det\u00eam as chaves do reino da nuvem, permitindo que os atacantes se movimentem lateralmente, aumentem o n\u00edvel de suas permiss\u00f5es e realizem outras opera\u00e7\u00f5es maliciosas. O aumento no n\u00famero de tentativas de acesso e no uso de contas de servi\u00e7os IAM sens\u00edveis significa que os invasores de todo o mundo t\u00eam seus olhos voltados para os recursos da nuvem.<\/p>\n Os atacantes t\u00eam como alvo os servi\u00e7os de armazenamento em nuvem, pois eles geralmente cont\u00eam dados confidenciais. Observamos um aumento not\u00e1vel no n\u00famero de downloads suspeitos de objetos de armazenamento em nuvem e exporta\u00e7\u00f5es de snapshots de imagens. Alertas suspeitos de download de objetos de armazenamento em nuvem s\u00e3o acionados quando uma \u00fanica identidade baseada em IAM faz o download de muitos objetos de armazenamento em um intervalo de tempo limitado. Isso pode significar opera\u00e7\u00f5es maliciosas, como ransomware ou extors\u00e3o. Os snapshots de imagem s\u00e3o visados pelos invasores pois podem conter dados confidenciais relacionados \u00e0 infraestrutura de nuvem e \u00e0s credenciais de IAM, podendo permitir que o invasor eleve privil\u00e9gios e se desloque lateralmente em um ambiente de nuvem da v\u00edtima.<\/p>\n Esses exemplos ilustram a necessidade imediata de proteger os ambientes de nuvem, n\u00e3o s\u00f3 com ferramentas b\u00e1sicas de gerenciamento da postura de seguran\u00e7a na nuvem (Cloud Security Posture Management - CSPM), como tamb\u00e9m em coopera\u00e7\u00e3o com ferramentas que detectam e impedem opera\u00e7\u00f5es maliciosas em runtime (\u201ctempo de execu\u00e7\u00e3o\u201d) \u00e0 medida que elas ocorrem.<\/p>\n Ao implantar as ferramentas de seguran\u00e7a de nuvem em tempo de execu\u00e7\u00e3o do Cortex Cloud - tamb\u00e9m chamadas de Cloud Detection and Response (CDR<\/a>) - as equipes de seguran\u00e7a podem identificar e evitar eventos maliciosos em ambientes de nuvem.<\/p>\n Se voc\u00ea acha que pode ter ocorrido um comprometimento ou tem um assunto urgente, entre em contato com a equipe de resposta a incidentes da Unit 42<\/a>.<\/p>\n Em uma publica\u00e7\u00e3o recente da Unit 42 <\/a>, publicamos detalhes de uma campanha de ransomware e extors\u00e3o que visava diretamente a arquivos de vari\u00e1veis de ambiente expostos. O ator de amea\u00e7a da campanha coletou com sucesso mais de 90.000 credenciais de 110.000 dom\u00ednios visados. O mais preocupante \u00e9 que eles tamb\u00e9m coletaram quase 1.200 credenciais IAM da nuvem. Essas credenciais permitiram que o ator de amea\u00e7a realizasse com sucesso ataques de extors\u00e3o contra v\u00e1rias organiza\u00e7\u00f5es.<\/p>\n Essa opera\u00e7\u00e3o destaca uma oportunidade de discutir os mecanismos de seguran\u00e7a que est\u00e3o em vigor para proteger as organiza\u00e7\u00f5es. Especificamente, isso nos permite determinar como empregar solu\u00e7\u00f5es de seguran\u00e7a de gerenciamento de postura e monitoramento em tempo de execu\u00e7\u00e3o sem problemas. Isso permite que as organiza\u00e7\u00f5es criem um per\u00edmetro de defesa de seguran\u00e7a na nuvem que seja suficientemente robusto e capaz de enfrentar essas novas ondas de invasores.<\/p>\n Durante a pesquisa para este artigo, descobrimos que o n\u00famero total m\u00e9dio de alertas de nuvem experimentados por uma organiza\u00e7\u00e3o aumentou 388% em 2024. Esses alertas foram originados das opera\u00e7\u00f5es de gerenciamento de postura e de detec\u00e7\u00e3o de monitoramento em tempo de execu\u00e7\u00e3o.<\/p>\n Embora os alertas com severidade \"informativa\" tenham sido respons\u00e1veis pela maioria dos alertas, \u00e9 extremamente importante destacar que a mudan\u00e7a mais significativa foi no n\u00famero de alertas de alta severidade. Essa classifica\u00e7\u00e3o de alerta registrou um aumento de 235% em 2024. Os alertas de severidade m\u00e9dia e baixa tamb\u00e9m aumentaram em 21% e 10%, respectivamente.<\/p>\n As mudan\u00e7as que observamos no n\u00famero de alertas se alinham com nosso Relat\u00f3rio do estado de seguran\u00e7a nativa na nuvem de 2024,<\/a> que constatou que 71% das organiza\u00e7\u00f5es atribuem o aumento da exposi\u00e7\u00e3o a vulnerabilidades \u00e0s implementa\u00e7\u00f5es aceleradas. Al\u00e9m disso, 45% dessas organiza\u00e7\u00f5es relatam um aumento nos ataques de amea\u00e7as persistentes avan\u00e7adas (APT) no \u00faltimo ano.<\/p>\n Um caso em quest\u00e3o \u00e9 a pesquisa recente da Microsoft sobre o Storm-2077<\/a>, um grupo de atores de amea\u00e7as na nuvem (CTAG) baseado na China que emprega t\u00e9cnicas complexas de coleta de credenciais de IAM na nuvem para obter e manter o acesso aos ambientes de nuvem das v\u00edtimas. Fica bem evidente que tanto o gerenciamento da postura na nuvem quanto o monitoramento da seguran\u00e7a em tempo de execu\u00e7\u00e3o devem funcionar como uma \u00fanica unidade para realizar a prote\u00e7\u00e3o adequada contra a pr\u00f3xima fase de amea\u00e7as em ambientes de nuvem. A Se\u00e7\u00e3o de hist\u00f3rico<\/a> abaixo fornece informa\u00e7\u00f5es adicionais sobre gerenciamento de postura e detec\u00e7\u00f5es de monitoramento em tempo de execu\u00e7\u00e3o.<\/p>\n Uma miss\u00e3o importante para as equipes de defesa da nuvem \u00e9 projetar e implantar uma plataforma de seguran\u00e7a na nuvem que melhore os recursos de detec\u00e7\u00e3o. Isso permite que os administradores n\u00e3o s\u00f3 detectem configura\u00e7\u00f5es incorretas e vulnerabilidades, como tamb\u00e9m coletem e analisem os eventos em tempo de execu\u00e7\u00e3o em ambientes de nuvem. Essa plataforma oferece \u00e0s equipes de defesa melhor visibilidade e permite um tempo de resposta mais r\u00e1pido ao lidar com alertas.<\/p>\n Embora a capacidade de identificar e detectar eventos de nuvem maliciosos ou suspeitos tenha aumentado em toda ind\u00fastria, o mesmo ocorreu com a complexidade das opera\u00e7\u00f5es de nuvem ofensivas dos atores de amea\u00e7as. Por exemplo, em janeiro de 2024, o ambiente de nuvem m\u00e9dio viu apenas dois alertas para o uso remoto de linha de comando de um token IAM de fun\u00e7\u00e3o serverless. Isso permaneceu uniforme durante todo o ano. No entanto, at\u00e9 dezembro de 2024, o ambiente de nuvem m\u00e9dio teve mais de 200 desses mesmos alertas: um sinal preocupante de aumento de atividade. Como compartilhado no artigo Vari\u00e1veis de ambiente vazadas<\/a> , essa opera\u00e7\u00e3o em tempo de execu\u00e7\u00e3o \u00e9 exatamente o que ocorreu durante esse evento malicioso de extors\u00e3o.<\/p>\n Outras evid\u00eancias que apoiam essa tend\u00eancia s\u00e3o as seguintes:<\/p>\n Ambas as constata\u00e7\u00f5es de alerta s\u00e3o um forte indicador de que o objetivo principal dos CTAGs \u00e9 visar, coletar e usar um token IAM ou credencial de nuvem. Isso tamb\u00e9m indica que os invasores usar\u00e3o esses tokens ou credenciais para opera\u00e7\u00f5es potencialmente maliciosas.<\/p>\n As ferramentas de gerenciamento da postura de seguran\u00e7a na nuvem (CSPM<\/a>) formam a base da seguran\u00e7a na nuvem. Suas opera\u00e7\u00f5es se concentram no monitoramento do controle de prote\u00e7\u00e3o para garantir que os ambientes de nuvem mantenham configura\u00e7\u00f5es seguras e estejam livres de vulnerabilidades e configura\u00e7\u00f5es incorretas.<\/p>\n O monitoramento do gerenciamento de postura \u00e9 tradicionalmente baseado na varredura de seguran\u00e7a espec\u00edfica do tempo dos recursos e das configura\u00e7\u00f5es de um ambiente de nuvem. Os alertas s\u00e3o acionados quando um recurso de nuvem novo ou modificado parece apresentar riscos potenciais \u00e0 seguran\u00e7a.<\/p>\n Por exemplo, um alerta ser\u00e1 acionado se uma pol\u00edtica de IAM for excessivamente permissiva e permitir o acesso a outros recursos da nuvem. Ele tamb\u00e9m ser\u00e1 acionado se uma inst\u00e2ncia de computa\u00e7\u00e3o em nuvem ou fun\u00e7\u00e3o serverless contiver vulnerabilidades ou configura\u00e7\u00f5es incorretas.<\/p>\n As opera\u00e7\u00f5es de escaneamento do gerenciamento da postura s\u00e3o realizadas de forma rotineira, geralmente de hora em hora ou diariamente. Algumas ferramentas de seguran\u00e7a CSPM tamb\u00e9m permitem o monitoramento de registros de auditoria da plataforma de nuvem, o que pode ajudar a detectar atividades suspeitas que ocorrem em uma plataforma de servi\u00e7os em nuvem (CSP). \u00c9 fundamental que as organiza\u00e7\u00f5es configurem sua plataforma CSPM para coletar os logs de auditoria de seus aplicativos de software como servi\u00e7o (SaaS) baseados em nuvem de terceiros para garantir visibilidade.<\/p>\n As ferramentas de CDR fornecem detec\u00e7\u00f5es de monitoramento em tempo de execu\u00e7\u00e3o, coletando, identificando e at\u00e9 mesmo evitando opera\u00e7\u00f5es que ocorrem durante um determinado evento. Ao coletar os registros de inst\u00e2ncias de computa\u00e7\u00e3o em nuvem, recursos de logging do CSP e aplicativos SaaS em nuvem de terceiros, as ferramentas de seguran\u00e7a de CDR podem identificar, alertar e evitar eventos maliciosos na nuvem.<\/p>\n Exemplos dessas opera\u00e7\u00f5es incluem a execu\u00e7\u00e3o de uma solicita\u00e7\u00e3o de API em uma plataforma de nuvem ou aplicativo de nuvem, como:<\/p>\n Em compara\u00e7\u00e3o com as ferramentas de gerenciamento de postura, as ferramentas de monitoramento em tempo de execu\u00e7\u00e3o monitoram continuamente o ambiente de nuvem e geralmente exigem um agente dedicado para manter a visibilidade dos recursos da nuvem. Quando um agente \u00e9 instalado, as ferramentas de seguran\u00e7a de monitoramento em tempo de execu\u00e7\u00e3o da nuvem permitem a detec\u00e7\u00e3o, e at\u00e9 mesmo a preven\u00e7\u00e3o, de opera\u00e7\u00f5es maliciosas na nuvem \u00e0 medida que elas ocorrem.<\/p>\n Observamos um claro aumento no n\u00famero de alertas em 2024, correlacionado com o aumento de ataques a ambientes de nuvem.<\/p>\n Os alertas de nuvem de alta severidade aumentaram em 235% ao longo de 2024. O maior pico em um \u00fanico m\u00eas (281%) ocorreu em maio, e observamos o aumento mais substancial desses alertas (204%, 247% e 122%) em agosto, outubro e dezembro, conforme mostrado na Figura 1.<\/p>\n Uma an\u00e1lise mais detalhada dos 10 alertas di\u00e1rios de alta severidade mais frequentes revela muitos alertas relacionados apenas a eventos focados em tempo de execu\u00e7\u00e3o. Esses alertas s\u00e3o acionados por um \u00fanico evento ou por uma sequ\u00eancia de eventos conectados. Para essa detec\u00e7\u00e3o, foi necess\u00e1ria uma an\u00e1lise quase em tempo real ou, em alguns casos, uma an\u00e1lise em tempo real.<\/p>\n A Tabela 2 abaixo mostra que o uso remoto da linha de comando dos tokens de IAM serverless \u00e9 um evento que requer an\u00e1lise de registro em tempo real para ser detectado e, possivelmente, evitado. Por outro lado, o alerta de alta severidade mais frequente, \"prote\u00e7\u00e3o contra exclus\u00e3o de armazenamento em nuvem desativada\", pode ser detectado e mitigado com uma ferramenta CSPM.<\/p>\n\n
<\/a>Ataques em nuvem em escala<\/h2>\n
<\/a>O que significam esses alertas de tend\u00eancias<\/h3>\n
\n
<\/a>Hist\u00f3rico<\/h2>\n
\n
\n
<\/a>Tend\u00eancias de alertas de alta severidade<\/h2>\n
![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/chart-10.png\")
Os 10 principais alertas de alta frequ\u00eancia<\/h3>\n
![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/05\/chart-11.png\")