Aumento de Riscos em Segurança na Nuvem: Relatório da Tenable Revela Preocupantes Vulnerabilidades
A Tenable®, empresa dedicada à gestão da exposição cibernética, lançou seu Cloud Security Risk Report 2025, destacando os riscos associados a configurações inadequadas na nuvem, exposição de dados sensíveis e segredos mal armazenados. O relatório avisa que essas questões estão comprometendo a segurança digital de inúmeras organizações ao redor do mundo.
Baseado em análises de telemetria real entre outubro de 2024 e março de 2025, o estudo revela que 9% do armazenamento em nuvem acessível publicamente contém informações sensíveis, sendo que 97% desses dados estão classificados como restritos ou confidenciais.
Um dos achados mais alarmantes do relatório é a falta de segurança no armazenamento de chaves, senhas e tokens de acesso. A pesquisa indicou que:
- 54% das empresas armazenam pelo menos um segredo em definições de tarefas do AWS ECS.
- 52% dos casos se repetem no Google Cloud Run.
- No Azure Logic Apps, 31% dos fluxos de trabalho também contêm segredos embutidos.
- Além disso, 3,5% das instâncias EC2 analisadas tinham dados confidenciais nos metadados de usuário.
Essas falhas de configuração representam vetores de ataque diretos que os cibercriminosos podem explorar, uma vez que não exigem vulnerabilidades complexas, mas apenas o aproveitamento de acessos públicos ou credenciais visíveis.
A Tenable também identificou o que chamou de “trilogia tóxica”: cargas de trabalho simultaneamente expostas publicamente, vulneráveis e com permissões elevadas. Embora a presença desse tipo de configuração tenha diminuído de 38% para 29% no último ano, ainda representa uma ameaça significativa nos ambientes em nuvem.
Adicionalmente, o relatório analisa a gestão de identidades, onde 83% das organizações na AWS utilizam provedores de identidade (IdPs) para controlar acessos. Entretanto, questões como configurações padrão, permissões excessivas e acessos persistentes ainda deixam essas entidades vulneráveis a ameaças relacionadas à identidade.
Ari Eitan, diretor de pesquisa em segurança na nuvem da Tenable, ressalta: “As organizações continuam a deixar recursos críticos mal configurados e expostos, apesar das lições aprendidas com incidentes anteriores. Para um atacante, a rota pode ser tão simples quanto explorar um acesso público ou roubar uma credencial embutida.”
Entre as recomendações do relatório, estão:
- Auditar o uso de segredos em definições de tarefas, fluxos de trabalho e metadados.
- Remover acessos públicos desnecessários a recursos de armazenamento.
- Implementar a rotatividade automática de chaves e credenciais.
- Aplicar políticas rígidas de privilégios mínimos.
- Adotar uma visibilidade contínua sobre identidades, dados, cargas de trabalho e recursos de IA.
A mensagem central do relatório é clara: a segurança na nuvem precisa ser proativa, contínua e baseada em visibilidade unificada. A complexidade do ambiente em nuvem não pode ser gerida com ferramentas fragmentadas ou medidas reativas.
O Cloud Security Risk Report 2025 está disponível para download gratuito no site oficial da Tenable.
