Proteção contra ameaças à segurança de dados

Views: 615

Os dados corporativos precisam ser seguros, privados e protegidos. Isso é um conselho óbvio, mas as medidas que as organizações devem tomar para evitar ameaças à segurança de dados e manter seus dados a salvo de hackers são muito menos aparentes.

Este artigo analisa algumas das táticas – antigas e novas – que os hackers estão usando em suas tentativas de acessar seus dados. Alerta de spoiler: Proteger sua organização contra ameaças de segurança de dados requer uma abordagem abrangente. A segurança não é apenas orquestrada através de um único departamento de segurança, e não pode simplesmente residir em uma única camada de uma pilha de protocolo. As ameaças vêm de várias fontes, de dentro e de fora de uma organização. O combate a essas ameaças requer uma estratégia multinível e multifacetada que inclui não apenas TI, mas outros departamentos, incluindo RH, contabilidade e jurídico. Aqui está um olhar para algumas tendências que representam as maiores ameaças aos dados corporativos e às ações que você pode tomar para protegê-los.

Ameaças não detectadas à segurança de dados

Estas podem ser chamadas explorações esperando para acontecer. Vulnerabilidades que já podem existir em seus sistemas corporativos podem ser usadas para comprometer a privacidade de dados. Por exemplo, sistemas legados podem ter senhas administrativas embutidas no backdoor. Essas possíveis identidades de superusuário podem ter acesso a todos os dados, permitindo assim que os usuários roubem dados sem sequer ter que hackear as credenciais de um usuário real.

Proteger seus dados significa fazer uma lista de todos os sistemas de TI de terceiros e internamente em uso. Verifique se esses sistemas têm algum ID sobreusuário. Se assim for, confirme que a senha do ID do usuário não está definida para o padrão do sistema e que ela é desativada, se não for necessária, ou, se usada, guardada por uma senha forte.

Para todos os outros, as listas de controle de acesso(ACLs)serão a principal ferramenta para proteger dados. Os ACLs especificam os direitos de acesso a dados, entre eles somente leitura, leitura/gravação, somente gravação ou sem acesso. Esses direitos são então atribuídos aos perfis de usuários, que, por sua vez, estão associados aos usuários.

É uma tarefa ingrata, mas necessária, rever suas estruturas corporativas de ACL e certificar as atribuições da ACL que refletem as necessidades corporativas atuais. Algumas listas podem incluir permissão de acesso total que foi inicializada quando o ambiente atual do servidor foi instalado como uma maneira de depurar o sistema ou ajudar os usuários com problemas para acessar um determinado arquivo. ACLs não expiram. ACLs com direitos globais de acesso a arquivos podem efetivamente abrir um backdoor que pode ser usado para comprometer dados – mesmo de dentro da rede corporativa. Os ACLs criados para grupos ou projetos especiais que não estão mais ativos devem ser excluídos.

Guardando contra ataques auto-infligidos

Apesar dos melhores esforços de uma organização, muitas violações são essencialmente auto-infligidas: ataques de phishing, propagados através de e-mails camuflados com a aparência e a sensação de remetentes legítimos, são um grande perigo hoje e provavelmente continuarão a ser assim nos anos seguintes. Esses ataques se tornam ainda mais perigosos porque os usuários que clicam nessas mensagens podem usar combinações similares de ID e senha para vários sistemas, colocando dados adicionais em risco. Ainda mais insidiosos são ataques baleeirosmais novos, os chamados ataques baleeiros, onde o remetente se disfarça como chefe do usuário ou algum outro executivo conhecido dentro da organização. Como os e-mails parecem ser pedidos de negócios genuínos, os destinatários geralmente cumprem.

Opções de segurança testadas e verdadeiras

Ao abordar métodos novos e mais sutis para comprometer dados, não se esqueça dos ataques rápidos e frontais do malware. O malware ainda existe e pode vir na forma de uma chamada SQL ou ser transportado no código de um programa de utilidade baixado por um funcionário. Independentemente de sua fonte, o malware continua sendo uma força a ser contada ao proteger seus dados.Um firewall básico, de variedade de jardim e filtragem de portas não é proteção suficiente contra todas as ameaças à segurança de dados.

Um firewall básico, de variedade de jardim e filtragem de portas não é proteção suficiente contra todas as ameaças à segurança de dados. Implantar um sistema de detecção e prevenção de intrusões (IDS/IPS) que fornece inspeção de pacotes profundos aumentará a eficácia do perímetro de segurança de uma organização e reduzirá a gravidade dos ataques que passam. O software de gerenciamento de segurança endpoint baseado em agentes capaz de rastrear assinaturas de malware é outra ferramenta importante. Uma abordagem multifacetada – que inclui educação do usuário – é particularmente importante no combate ao ransomware, que é talvez a forma mais virulenta de malware. Este é o ataque final à privacidade e segurança de dados corporativos. Um ataque de ransomware bem sucedido pode paralisar um sistema e, potencialmente, uma empresa. A maneira mais comum desses ataques ocorrerem é fazendo com que alguém execute software infectado nos computadores da empresa. A melhor maneira de eliminar essa chance é usar uma estratégia de segurança que dependa de um conjunto coeso – e atualizado – de ferramentas de ponto final, firewall e IDS/IPS.

Bloqueando ataques baixos e lentos

Em contraste com ataques que tentam invadir através de um firewall ou e-mail, toda uma nova geração de ataques pode ser descrita como invasões baixas e lentas. Em vez de malware em execução em um computador, esses ataques são funneld através de aplicativos ou dispositivos de baixo nível, como câmeras de vigilância, e são deliberadamente programados para evitar a detecção exfiltrando dados lentamente ao longo do tempo.

Esses ataques usam uma variedade de maneiras de colher dados. Uma avaliação do Tolly Group sobre ataques de baixa e lenta em 2019 descobriu que, em um caso, o malware havia comprometido o Sistema Operacional de uma câmera de vigilância. O malware coletou informações sobre dispositivos dentro da empresa, enquanto também ainda executava suas funções de vídeo, enviando periodicamente esses dados para um site externo. Uma vez que muitos firewalls estão configurados para assumir que o tráfego de saída é legítimo, as informações foram exfiltradas com sucesso.

Em outro exemplo, o software de exfiltração foi contido em uma extensão de navegador do Google Chrome não registrada. Residindo como parte do navegador, ele foi capaz de coletar dados, que depois exfiltraram para um site externo. Outra incursão envolveu o código que usou a ferramenta de túnel DNScat para tirar arquivos de dados do PC e enviá-los para o site do invasor, que evita a segurança do perímetro no processo.

Para lidar com esses tipos de ameaças ao proteger seus dados, considere adicionar um novo tipo de sistema de segurança: um sistema de detecção e resposta de rede (NDR). Ao contrário dos IDSes/IPSes que buscam assinaturas, os sistemas NDR usam IA e aprendizado de máquina para monitorar a rede à medida que aprendem a entender o tráfego normal. Um sistema NDR detectará tráfego anômalo e alertará as equipes de segurança corporativa para parar uma exfiltração baixa e lenta se ele tentar entrar em contato com um site externo para fornecer dados roubados.

Fique de olho em seus dados

Considere maneiras de manter o controle sobre os dados. Uma maneira de fazer isso é usar o software de proteção contra perdas de dados (DLP). O DLP geralmente conta com um agente que funciona em todos os dispositivos clientes. O software é executado em conjunto com um servidor de gerenciamento e usa modelos que identificam dados que precisam ser protegidos contra a remoção. Exemplos típicos incluem sequências de dados, como segurança social ou números de cartão de crédito. Modelos também podem ser criados para sinalizar certas palavras-chave, como segredo comercial ou proprietário,para garantir que documentos contendo esses termos sejam protegidos. Geralmente, as ferramentas DLP baseadas em modelos funcionam melhor em dados estruturados ou arquivos contendo exemplos evidentes de texto confidencial. Os produtos DLP mais novos usam recursos que examinam a movimentação de todos os dados em vez de examinar padrões de dados específicos. Essas ferramentas não interceptam dados; em vez disso, eles criam um rastro de evidências para permitir que as equipes de segurança remediassem vazamentos, identificando quem pode ter exposto os dados e o tipo de informação revelada.

O enigma da segurança de dados da parceria

Quando os dados são comprometidos, há pouco consolo em dizer: “Não évamos nós. Era nosso parceiro.” Manter sistemas e dados protegidos pode ser difícil quando são controlados por um parceiro. De fato, os problemas mais graves que as organizações enfrentam podem decorrer da segurança frouxa por parte de parceiros – empresas ou provedores de armazenamento em nuvem – com quem compartilham ou depositam dados.

O comércio de hoje quase exige que as empresas compartilhem arquivos de dados importantes com seus parceiros de negócios. Mas essas parcerias também incluem riscos em termos de ameaças à segurança de dados. Mais de 12 milhões de pacientes que usaram a Quest Diagnostics tiveram alguns de seus registros médicos roubados quando hackers acessaram o sistema de TI de um contratante entre 2018 e 2019. A empreiteira, American Medical Collection Agency, foi usada pela Quest e pela LabCorp para lidar com cobranças de faturamento. Mais recentemente, a ring, subsidiária da Amazon, disse que algumas contas de clientes foram roubadas por hackers que acessaram um serviço de terceiros não identificado.

Igualmente preocupante, os provedores de nuvem não estão imunes a problemas. O chamado hack Cloud Hopper, revelado no final de 2019, deu aos hackers acesso irrestrito a dados de uma miríade de clientes. Analistas de segurança confirmaram segredos comerciais e outras propriedades intelectuais estavam contidas em arquivos roubados. As empresas vítimas assumiram que seus fornecedores de armazenamento em nuvem tinham segurança adequada. Resumindo: não assuma que os arquivos entregues aos fornecedores da SaaS estejam seguros. Eles podem não ser.

Dados rentáveis – sejam registros de cartão de crédito, números da Previdência Social ou qualquer outra informação transacional – sempre serão alvo de hackers motivados. Tudo o que eles precisam é de uma maneira de entrar. Acompanhar novas técnicas de hacking e novas salvaguardas, além de construir uma forte base de segurança, é a melhor maneira de proteger contra ameaças à segurança de dados.

FONTE: SEARCH SECURITY