Três passos para a segurança centrada em dados: Descoberta, proteção e controle

Views: 362
0 0
Read Time:9 Minute, 30 Second

Estamos em 2020 e o inimigo não está mais no portão. Está em sua rede, sondando seus switches e servidores

Estamos em 2020 e o inimigo não está mais no portão. Está na sua rede, sondando seus switches e servidores. Isso torna o portão irrelevante. Então, o que você faz agora?

As pessoas começaram a prever a morte do perímetro da rede já em 2004. Um grupo de trabalho de CIOs conhecido como Fórum de Jericó abordou a ideia no Black Hat naquele ano. A ideia apresentada era simples, mas seminal: o anel de ferro em torno da rede corporativa média é obsoleto. As velhas distinções binárias que definiram a segurança – pessoal ou não pessoal, confiável ou não confiável, dentro ou fora – não se aplicavam mais. Estávamos agora na era da web, onde as pessoas e o tráfego de rede transcendiam regularmente esse limite corporativo.

Um Jericó sem paredes

Jericó chamou essa desperimeterização de tendência, e propôs quatro etapas para lidar com isso. Primeiro, mover sistemas não corporativos fora do perímetro, encolhendo o que ele contém. Em segundo lugar, remova o perímetro endurecido e concentre-se no acesso autenticado generalizado. Terceiro, remova o perímetro completamente e substitua-o por autenticação em nível de conexão e criptografia em nível de dados.

O passo final foi o clincher, e criou uma mudança geracional na segurança cibernética: adotar a autenticação em nível de dados. Significava a tingimento de privilégios de acesso aos dados em vez do hardware em que ele se sentava. Isso, afinal, é o que é realmente importante para uma empresa. Quando os reguladores multam uma organização por perder um disco rígido, são os dados em vez da ferrugem giratória que eles estão chateados.

A ideia de Jericó pode ter parecido radical na época, mas há 15 anos ninguém defendia a ideia de um perímetro. Phishing, downloads drive-by e acesso wi-fi convidados pagos a essa ideia . À medida que o volume e o escopo de entrada e saída de tráfego dos sistemas da empresa aumentavam, ficou claro que proteções rígidas como firewalls não seriam suficientes, não importa o quão inteligentes fossem.

Em março de 2020, a pandemia destruiu a ideia do perímetro de uma vez por todas. Durante a noite, a Europa foi trabalhar em casa. Qualquer empresa que ainda amarra a segurança a dispositivos específicos se viu em apuros. Os funcionários acessavam sistemas corporativos através de conexões domésticas não confiáveis, muitas vezes a partir de dispositivos móveis que suas redes de negócios nunca tinham visto.

Ao mudar para um modelo de segurança centrado em dados faz sentido na teoria, ele traz desafios práticos. Por um lado, a natureza dos dados em si está evoluindo rapidamente. Lutamos muito mais hoje com dados semiestruturados e não estruturados do que há 15 anos.

Os dados também se tornaram mais distribuídos do que nunca. Ele não só vive em sistemas diferentes, mas muito mais dele agora vive permanentemente fora do local, juntamente com os aplicativos que o executam. Quando Jericho se apresentou pela primeira vez, a AWS estava apenas lançando e Azure estava a anos de distância. Agora, aplicações em nuvem são um modo de vida.

Tudo isso cria um problema abrangente que está no caminho da segurança centrada em dados: a complexidade. É a melhor coisa manter os profissionais de segurança cibernética acordados à noite. Quando a Thales perguntou a 509 executivos sobre as maiores barreiras à segurança de dados para a versão europeia de seu Relatório de Ameaças de Dados 2020,quatro em cada dez deles citaram a complexidade. Os outros problemas mais comuns estavam ligados a essa complexidade. Isso afetou os processos de negócios, e as empresas não tinham pessoal qualificado para gerenciar a segurança dos dados. A falta de orçamento dificultou a origem da experiência adicional necessária para desvendar questões de segurança centradas em dados.

Descobrir

A Thales defendeu uma estratégia de três pontos para combater essa complexidade e fazer com que as empresas protevam seus dados em vez de seus perímetros. A primeira é a descoberta. Você não pode proteger dados confidenciais se não sabe que eles existem, muito menos onde estão e que tipo são. Isso significa procurar dados que já estão em sua organização, vasculhar servidores e armazenar tanto em suas instalações quanto em ambientes em nuvem. Se você não instigou políticas claras de serviço em nuvem, também pode implicar auditoria para shadow IT para rastrear dados que vazaram em contas não autorizadas.

A digitalização dos dados existentes é um trabalho difícil sem as ferramentas adequadas, mas é apenas o começo. Você também deve classificar os novos dados que você cria. Isso é algo que você pode enfrentar com políticas automatizadas que marcam arquivos com base em quem os criou e quando. O software também pode procurar conteúdo específico e classificá-lo de acordo usando taxonomias que fazem sentido para suas necessidades de conformidade. Você pode se ater a “baixo risco/regulado/altamente sensível”, ou optar por classificação relacionada a um quadro de conformidade específico, como dados de funcionários, PCI DSS ou GDPR. Após a descoberta e classificação, você deve realizar uma análise de risco sobre o que está exposto. Use isso para priorizar seus esforços de remediação, garantindo os dados mais importantes.

Proteger

O segundo passo para a segurança de dados é a proteção de dados. Como as empresas podem garantir que seus dados confidenciais estejam seguros contra acesso não autorizado? Várias abordagens para bloquear a tecnologia abordam diferentes camadas da pilha de tecnologia, cobrindo aplicativos, bancos de dados, arquivos e armazenamento em disco.

Uma abordagem é a tokenização. Nesse cenário, ideal para bancos de dados, dados confidenciais como um campo em um registro são substituídos por um token. O aplicativo que acessa o registro pode usar o token para recuperar os dados reais de um local diferente.

O armazenamento em nuvem inaugurou a tokenização como um mecanismo popular de proteção de dados. É ideal para armazenar dados em um ambiente disponível publicamente, como um aplicativo em nuvem, mantendo dados confidenciais seguros em um ambiente local sob seu controle físico direto. Outra abordagem mais tradicional é a criptografia. A Microsoft introduziu o TDE (Transparent Data Encryption, criptografia de dados transparente) no SQL Server 2008 para criptografar dados em bancos de dados inteiros e não no nível da célula. Oracle e IBM também o usam. Fora do banco de dados, existem várias abordagens (criptografia de arquivo, pasta e disco completo), usando uma panóplia de mecanismos de criptografia. Em seguida, os provedores de serviços em nuvem oferecem aos clientes a chance de criptografar dados na nuvem, quer estejam operando em um ambiente Desa, PaaS ou SaaS. Em seguida, há provedores de criptografia de terceiros, como a Thales, entre outros, que trazem técnicas consistentes e gerenciamento de chaves em todas as suas organizações diferentes tipos de arquivos e armazenamento.

Controle

Proteger os dados é semelhante ao cadeado da área onde você os armazena. Isso por si só não ajudará a proteger dados sem um pilar adicional de segurança centrada em dados: controle. Saber quem está autorizado a ter a chave de cadeado e manter logs de seu uso.

The key to the padlock in this case is the digital encryption key. They must be able to see and control access to the data and even control which applications or computer processes are allowed to access different data sets. This limits malware and ransomware from getting ahold of the data.

Essa tarefa de governança se torna mais complexa à medida que as empresas empregam mais chaves de criptografia em diferentes casos de uso. Ambientes em nuvem agora normalmente oferecem aos clientes a chance de controlar suas próprias chaves de criptografia em um acordo de trazer sua própria chave. Os sistemas no local naturalmente exigem que as empresas gerenciem suas próprias chaves em vários ambientes, incluindo servidores de aplicativos e web, máquinas virtuais, servidores de arquivos e dispositivos de armazenamento. Cada um desses ambientes multiplica o número de chaves em jogo e o número de fornecedores e sistemas que desbloqueiam.

Quanto mais complexo o cenário de gerenciamento e tokenização de chaves de criptografia de uma empresa se torna, mais obstáculos operacionais os administradores enfrentam à medida que fazem malabarismo com todos esses ativos, cada um com seus próprios perfis de risco e políticas de acesso.

Errei na gestão, e os resultados podem ser desastrosos. Empresas que não conseguem gerenciar, monitorar e proteger suas chaves podem perder o controle e permitir que caiam em mãos erradas, tornando os dados dos clientes vulneráveis. Eles poderiam colocar sua conformidade em risco, deixando-se vulneráveis a falhas de auditoria e multas regulatórias.

Apoiando os três pilares

Como as empresas podem abordar esses três aspectos de uma política de segurança cibernética centrada em dados? A descoberta, a proteção e o controle estão intrinsecamente ligados. Eles transcendem o ciclo de vida dos dados. As empresas não podem pagar nenhum silos ou pontos cegos nesse processo de governança. Isso significa que você precisa de uma maneira perfeita de unir soluções de pontos de vários fornecedores, talvez com uma camada de middleware, ou você precisa fazê-lo a partir de um hub central de um único fornecedor que cobre todas as três tarefas. Qualquer abordagem escolhida, ele deve lidar com toda a gama de tipos de dados e locais, abrangendo estruturados e desestruturados, mas também no local e nuvem. Ele tem que suportar uma série de abordagens de criptografia de diferentes fornecedores em diferentes níveis da pilha de tecnologia. Isso exige um amplo conjunto de integrações de produtos e serviços.

Uma solução de cibersegurança centrada em dados também deve apoiar a separação de deveres entre diferentes partes interessadas. Por exemplo, os desenvolvedores de software estão preocupados com o pilar de proteção. Eles precisam de uma maneira de integrar facilmente criptografia ou tokenização em seus aplicativos sem tentar rolar suas próprias bibliotecas. No entanto, você não quer que eles tossem os tipos de decisões políticas que estão firmemente no nível de controle. Esse é o reino dos administradores, juntamente com os oficiais de privacidade e conformidade. Sua solução de segurança de dados deve apoiar essas divisões organizacionais, juntamente com uma gama de técnicos.

A Thales enfrentou esse problema quando lançou sua Plataforma de Segurança de Dados CipherTrust em setembro. É uma plataforma all-in-one que une esses pilares de descoberta, proteção e controle, oferecendo uma maneira de encontrar dados na organização e, em seguida, protegê-los usando uma variedade de técnicas de criptografia no nível de arquivo, banco de dados e aplicativos, juntamente com suporte à tokenização. Ele também inclui um sistema centralizado de gerenciamento de chaves de criptografia e interfaces com provedores de nuvem pública para lidar com as chaves de criptografia que acessam dados corporativos em seus serviços.

Você precisará de mais do que uma solução técnica robusta ao redesenhar sua abordagem de segurança cibernética em torno de seus dados: você também precisará de uma estrutura organizacional sólida. Os dados tocam em todos os stakeholders da sua empresa, o que significa que todos precisam ter entrada, desde sysadmins e desenvolvimento de software até jurídico. A gestão departamental também deve ser representada. Anseio por muitas reuniões enquanto você aborda as muitas facetas de um complexo problema multidisciplinar. Mas quando terminar, será uma companhia mais forte e segura do que era antes. Se você estiver interessado em saber mais, este artigo da Thales pode valer a pena ler.

FONTE: THE REGISTER

POSTS RELACIONADOS