0
0
Na longa saga de violações sistêmicas de dados do PII, a Pfizer é a mais recente vítima. Informações pessoalmente identificáveis, ou PII, são dados que possam identificar uma pessoa em particular. Exemplos de informações do PII incluem nome completo, endereço, identificadores como números de carteira de motorista, números de contas bancárias ou endereços de e-mail. Na temporada de outono de 2020, a Razor, uma fabricante de hardware de jogos, perdeu milhares de registros de PII de clientes. Broadvoice, um provedor de VoIP também vazou centenas de registros de PII de clientes. E mais de uma dúzia de sites de namoro tiveram dados pii de seus clientes expostos,causando mais do que apenas abraço.
Assim como a pandemia COVID afeta indiscriminadamente as organizações, as violações de dados do PII podem atingir qualquer lugar. E também como a resposta pandêmica, diligência e prevenção podem ir um longo caminho para inocular sua organização contra a ameaça.
A causa principal na maioria das violações de dados do PII é a grosseira desconfiguração dos serviços em nuvem. No caso da Pfizer, a violação foi resultado de uma configuração errada de dados armazenados no Google Cloud Service (GCP). A prevenção de tal violação começa com uma simples auditoria de visibilidade e segurança da infraestrutura em nuvem. Neste blog, vou passar por cima de algumas medidas preventivas do GCP para manter sua organização segura. Embora você possa implementar a maioria das recomendações manualmente, recomendo uma ferramenta automatizada como o Halo. Com a oferta gratuita de CSPM, automatizar a proteção GCP é fácil.
Protegendo o GCP contra violações de dados do PII
Normalmente, identidade e acesso vêm em primeiro lugar em uma estratégia de segurança de infraestrutura em nuvem. Mas dado o número de violações de dados do PII causadas por baldes de armazenamento em nuvem mal configurados, acho que este é um dos primeiros lugares a começar. As organizações devem garantir que não haja baldes de armazenamento anônimos ou acessíveis publicamente para proteger contra uma violação como a sofrida pela Pfizer. Você também vai querer olhar para sua rede e computar casos para possíveis vetores de ataque.
Armazenamento em nuvem GCP
O GCP Cloud Storage oferece dois sistemas para conceder aos usuários permissão para acessar baldes e objetos: Cloud Identity and Access Management (Cloud IAM) e Access Control Lists (SCTS). Esses sistemas agem em paralelo — para que um usuário acesse um recurso de Armazenamento em Nuvem, apenas um dos sistemas deve conceder permissão ao usuário. O GCP Cloud IAM permite que você conceda uma variedade de permissões nos níveis de balde e projeto. Os ACLs são usados apenas pelo Cloud Storage e têm opções limitadas de permissão, mas permitem que você conceda permissões por objeto. Certifique-se de que os baldes de armazenamento em nuvem tenham acesso uniforme ao nível do balde ativado.
Gestão de Identidade e Acesso
Os conceitos fundamentais de gestão de identidade e acesso permanecem os mesmos em todas as nuvens públicas, embora a implementação difere; GCP não é exceção. No mínimo, a autenticação multifatorial (MFA) e a aplicação de chaves de segurança devem ser habilitadas para todas as contas administrativas. As contas de serviço também desempenham um papel vital na infraestrutura atual. Apenas as chaves de contas de serviço gerenciadas pelo GCP devem estar associadas a contas de serviço, e as contas de serviço não devem ter privilégios administrativos. A imposição de separação de direitos ao atribuir funções relacionadas a contas de serviço aos usuários também protege contra violação de dados do PII. Além disso, garanta uma política de rotação de 90 dias ou menos para chaves de criptografia KMS e chaves de API.
Rede
No GCP, um projeto organiza todos os seus recursos do Google Cloud. Um projeto consiste em um conjunto de usuários, um conjunto de APIs, faturamento, autenticação e configurações de monitoramento dessas APIs. A rede padrão normalmente não é uma boa opção, uma vez que é pré-configurada, com regras de firewall criadas automaticamente que não são registradas na auditoria. Ao configurar sua rede, certifique-se de restrições para acesso a protocolos comuns como SSH, RDP e habilite registros de fluxo VPC. Use cifras fortes para HTTPS ou SSL e evite usar RSASHA1 fraco para obter chaves de assinatura de zona no Cloud DNSSEC.
Calcular
Para reduzir a superfície de ataque, as instâncias de computação não devem ter um endereço IP público e devem ser configuradas atrás de um balanceador de carga. Uma vez que a conta padrão de serviço do mecanismo de computação GCP tem a função editor no projeto, certifique-se de não configurar instâncias para usar as contas de serviço padrão. O uso de chaves SSH específicas para instâncias, por exemplo, acessa, em vez de usar chaves comuns ou compartilhadas em todo o projeto, protege ainda mais as instâncias de computação GCP. Ao habilitar a opção ‘Bloquear chaves SSH em todo o projeto’, você pode garantir o acesso controlado. Ao habilitar a opção oslogin, você garantirá que as chaves SSH usadas para conexão sejam mapeadas com usuários de IAM. O lançamento de instâncias computacionais com VM Blindado ativado protege ainda mais suas instâncias de computação contra os dados PII, garantindo o carregador de inicialização assinado e sem abalo e o firmware em seus VMs.
Além dessas recomendações básicas, as organizações também devem analisar os serviços executados na infraestrutura GCP. Estes podem incluir bancos de dados, serviços operacionais como monitoramento e depuração, ferramentas, registros de contêineres, big data e serviços relacionados à IA.
Higiene na nuvem leva à prevenção de violação de dados do PII
Mudar-se para a nuvem, quando feito com segurança, oferece inúmeras vantagens e capacidades que não eram possíveis apenas alguns anos atrás. Seguir algumas medidas básicas de higiene e prevenção de segurança na nuvem pode proteger a jornada de transformação de nuvem da sua organização.
FONTE: CYBERSECURITY INSIDERS