Usando criptografia com controles de acesso para mitigar danos de malware e ransomware

Views: 99
0 0
Read Time:5 Minute, 44 Second

Recentemente, as manchetes foram dominadas por software corporativo infectado que resultou em malware e hackers ganhando acesso a infraestruturas críticas da missão, assumindo o controle de sistemas e roubando dados. Também não parece haver uma semana em que não lemos sobre um ataque de ransomware em grande escala bem sucedido. Se perfurar o perímetro de segurança da rede é realizado através de uma sofisticada injeção de código em software confiável ou o simples clique de um e-mail de phishing bem escrito, o resultado é o mesmo. A casca de coco dura que estava protegendo seus dados está rachada e os cibercriminosos agora têm acesso aos seus sistemas, potencialmente drenando e tomando o controle de seus dados como se fosse leite de coco.

À medida que as ameaças à segurança evoluem e se adaptam, também deve ser uma resposta de uma organização a elas. O Relatório de Defesa Digital da Microsoft 2020 deixa claro que os atores de ameaças aumentaram rapidamente na sofisticação e estão usando técnicas que são muito difíceis de detectar. Esses atores de ameaça são disciplinados, altamente motivados e muitas vezes patrocinados pelo Estado com recursos infinitos. O recente ataque Solarwinds é um exemplo primordial de um ataque calculado. Usando a intrusão através de código malicioso, o invasor foi capaz de obter os privilégios elevados ao confiável certificado de assinatura de tokens SAML (Security Assertion Markup Language, linguagem de marcação de segurança) e foi capaz de adicionar suas próprias credenciais privilegiadas. Uma vez que o invasor teve acesso, era mais fácil para a brecha se mover através de sistemas e ambientes sem levantar qualquer alarme. Este ataque focado coloca uma boa pergunta para outras organizações… “Meus dados valiosos são realmente seguros?”

Camadas de defesa mitigam esses ataques

Quando se trata de como ajudar a proteger contra tais ataques, existem várias práticas recomendadas que toda organização deve seguir. Muitas dessas melhores práticas são simples de implementar e embalar um soco poderoso quando se trata de manter esses atacantes afastados, adicionando uma defesa de camada em torno dos dados — protegendo o próprio leite de coco direcionado e valioso, por assim dizer.

As soluções de criptografia não são criadas iguais

Devido ao seu sucesso na proteção de dispositivos de ponto final, muitas organizações implantaram ou consideraram implantar o FDE (Full Disk Encryption, criptografia de disco completo) em seu data center. O FDE funciona em pontos finais porque se o dispositivo for roubado os dados não poderão ser usados. Isso raramente, se nunca, ocorre no datacenter porque o alto risco não é o disco ser fisicamente roubado, é acesso remoto de disco não autorizado.

Muitos gestores e auditores podem não perceber que uma vez que o dispositivo de armazenamento é alimentado, o FDE não oferece proteção, todos os dados estão claros. Portanto, o FDE não oferece auditoria ou proteção contra ameaças persistentes avançadas, malware ou insiders desonestos, como administradores. As ameaças mais prováveis ao data center e ao armazenamento em nuvem.

Para dados corporativos em sistemas back-end (por exemplo, servidores de arquivos, servidores de rede ou armazenamento baseado em nuvem), as maiores ameaças são infiltração e acesso não autorizado por invasores externos, fraude ou roubo por insiders confiáveis e erros não maliciosos cometidos por usuários autorizados e bem-intencionados. Nesses cenários de ameaça, a criptografia em nível de arquivo (que, ao contrário do FDE) está protegendo ativamente os dados da organização sempre que esses sistemas back-end estiverem on-line, disponíveis e acessíveis, mesmo que o acesso não autorizado tenha sido alcançado com sucesso. Para um exame mais aprofundado dos riscos de ciberataques de sistemas de data center e compensações de mitigação, recomendo que você leia “Selecionando criptografia para ‘data-at-rest’ do Grupo Aberdeen em sistemas back-end: quais riscos você está tentando resolver”.

Para endurecer os dados em repouso em data centers e nuvens, para que ele possa resistir a ataques cibernéticos que violaram seu perímetro, sua solução de criptografia deve oferecer camadas adicionais de controle e defesa:

Lista branca de aplicativos e assinatura

A proteção de dados não deve começar e terminar com os usuários. O que está sendo executado em um servidor, qual aplicativo está acessando os dados e como eles estão acessando os dados são tão críticos quanto o controle de acesso do usuário. Os malwares usam técnicas sofisticadas, como injeção de código, para serem executados no sistema e obter acesso aos dados. A solução ideal de segurança de dados não apenas criptografa, mas também fornece uma maneira de verificar a integridade das assinaturas de aplicativos para evitar que aplicativos infectados por malware polimórfico tenham acesso aos seus dados protegidos.

Proteção e separação de deveres de dispositivos

O elo mais fraco na cadeia de segurança são as pessoas que gerenciam, administram e operam seus sistemas de computador. O gerenciamento centralizado de chaves melhora a segurança, facilitando a vigilância, rotação e exclusão de chaves, ao mesmo tempo em que separa as funções para que nenhum administrador seja responsável por todo o ambiente.

Auditoria do sistema

As soluções de Gerenciamento de Informações e Eventos de Segurança (SIEM) monitoram eventos em tempo real e uma montanha de dados de longo prazo para encontrar padrões anômalos de uso, qualificar possíveis ameaças para reduzir falsos positivos e alertar as organizações quando necessário. As soluções SIEM são ferramentas fortes, mas podem ser cegas para possíveis ameaças aos seus dados protegidos. Combinando ferramentas SIEM juntamente com informações detalhadas de log, você pode identificar padrões de processo anômalos e de acesso ao usuário para investigação. Por exemplo, você pode ver um administrador ou processo acessando repentinamente volumes de dados quando seu uso típico é leve, ou um auditor acessando partes de um banco de dados sem relação com seu trabalho. Isso é muitas vezes um sinal inicial de ransomware ou malware tentando obter o controle do seu sistema.

Como mitigar ataques

CipherTrust Transparent Encryption é um dos produtos de proteção de dados mais amplamente implantados dentro do Plataforma de segurança de dados CipherTrust. Ele fornece criptografia de dados em repouso, controle de acesso fino, recursos de whitelisting de aplicativos, auditoria de sistema e permite que as organizações evitem ataques tão sofisticados. Protege dados estruturados e não estruturados com controles de acesso baseados em políticas para arquivos, volumes, bancos de dados, contêineres e big data onde quer que residam (no local e em ambientes de nuvem híbrida).

À medida que os ataques bem planejados continuam a crescer, as organizações devem fazer sua parte em equipar-se com as ferramentas certas para manter seus dados seguros. O objetivo final deste processo é transformar o desconhecido em conhecido, e melhorar a postura geral de segurança com proteções em um ritmo mais rápido do que os atacantes podem desenvolver seus códigos e explorações maliciosas.

Para saber como a Criptografia Transparente CipherTrust pode ajudar sua organização a proteger seus dados confidenciais, baixe mais informações de Criptografia transparente CipherTrust.

FONTE: THALES

Previous post Como Ransomware usa Protocolos de Remote Desktop desprotegidos
Next post ISPs sob pressão da LGPD e dos crimes cibernéticos

Deixe um comentário