Como proteger Bancos de Dados?

Views: 55
0 0
Read Time:8 Minute, 15 Second

Para as empresas, um sistema de gerenciamento de bando de dados eficaz é vital para as operações. De fato, todas as informações importantes de uma organização estão armazenadas e organizadas no Banco de Dados. Por isso, além de um componente estratégico dentro da tecnologia da informação, é também um dos ativos mais visados pelos criminosos cibernéticos.

Existem basicamente duas formas de se obter as informações que estão armazenadas no banco de dados. A primeira é o arquivo de dados que contêm dados e objetos como tabelas, índices, procedimentos armazenados e exibições. Esse arquivo está armazenado em uma pasta do sistema operacional onde o banco de dados foi instalado. A segunda forma é realizar pesquisas de informações acessando diretamente o Banco de Dados (usuários de tecnologia) ou através de uma aplicação (usuário regular).

Interface gráfica do usuário

Descrição gerada automaticamente

Portanto, é preciso proteger o banco de dados em todas as suas dimensões, seja o arquivo de dados ou os registros que estão dentro das tabelas.

Segurança

A segurança em banco de dados abrange a proteção dos dados contra roubo, destruição mal-intencionada, atualização não autorizada, entre outros. Portanto, torna-se significativa para a empresa, uma vez que a situação pode ser drasticamente afetada por qualquer vulnerabilidade na segurança de um banco de dados. No que se refere a segurança de banco de dados, algumas medidas para controle de acesso e ataques aos bancos de dados são necessárias. 

Para proteger o banco de dados contra ameaças, medidas devem garantir a inviolabilidade dos atributos de segurança da informação que são integridade, disponibilidade e confidencialidade. A esses devem ser adicionados o próprio controle de acesso em si e a criptografia de dados. 

Vulnerabilidade de Aplicações

As aplicações são a forma mais comum de acessar as informações contidas no Banco de Dados. Portanto, uma aplicação vulnerável fornecerá ao atacante um meio fácil de obter acesso às informações contidas no Banco de Dados.

As vulnerabilidades de uma aplicação podem estar relacionadas à infraestrutura (sistema operacional, servidor web, SGBD, etc.) e ao código da própria aplicação. Novas vulnerabilidades são encontradas todos os dias, mas é difícil para qualquer organização manter tudo atualizado e corrigir o código das aplicações nessa frequência.

Para endereçar especificamente essa situação é necessário empregar algumas soluções:

  • Varreduras periódicas – visam apresentar de forma estruturada as vulnerabilidades encontradas e as medidas necessárias para a correção;
  • Firewall de Aplicação Web (WAF) – essa tecnologia é responsável por receber as conexões de usuários antes de chegar na aplicação, e assim, pode identificar e bloquear tentativas de explorar vulnerabilidades.

Controle de Acesso

O controle de acesso é uma das principais medidas para manter a segurança de um banco de dados e fica sob a responsabilidade de um DBA (Database Administrator). Impedir que pessoas não autorizadas tenham acesso aos sistemas tornou-se um desafio a ser superado pelas empresas.

O acesso ao banco ocorre através de credenciais (nome de usuário e senha) configuradas no SGBD que podem estar associadas a pessoas e aplicações. Para cada uma dessas credenciais é definido um determinado privilégio e, portanto, a correta definição de privilégio e monitoramento é fundamental.

Para a maioria das organizações é complexo gerenciar as credenciais, pois as mesmas devem possuir a maior complexidade (maiúsculas, minúsculas, números e símbolos) suportada além de troca periódica (quanto mais crítico o banco de dados, maior a frequência de troca de senhas). Finalmente, é também necessário atribuir responsabilidade pelo uso de tais credenciais uma vez que credenciais privilegiadas criadas por padrão são impessoais (root, admin, sa, etc.).

A solução para gerenciar de forma eficaz as credenciais de acesso à um banco de dados é o Cofre de Senhas, também conhecido no mercado como PAM – Privilege Access Management). Essa tecnologia endereça de forma eficaz todas as questões relativas ao gerenciamento de credenciais para usuários e aplicações.

Protegendo o Arquivo de Dados de Ataques de Ransomware

A proteção da pasta onde reside o arquivo de dados é atualmente uma das maiores preocupações, pois o criminoso utiliza vulnerabilidades do sistema operacional, erros de configuração e credenciais comprometidas para acessar esse arquivo, criptografar e posteriormente exigir resgate – processo conhecido como ataque de Ransomware.

A proteção mais eficaz é criptografar esse arquivo e garantir que apenas o processo do banco de dados (assinado digitalmente) tenha privilégios para realizar o acesso. Utilizando essa tecnologia, além de restringir o acesso, qualquer tentativa indevida é bloqueada e gera alertas para as equipes de segurança. Um servidor de Banco de Dados equipado com essa tecnologia fica imune a ataques de Ransomware pois mesmo que um código malicioso comprometa o servidor, o acesso ao arquivo de dados é bloqueado e a tentativa gera alertas e contramedidas de segurança. 

Protegendo a Informação dentro do Banco de Dados

Seja através de um acesso direto ao Banco de Dados ou através das aplicações por parte dos usuários, a informação armazenada pode ser exposta e causar desde vazamento de informações sigilosas até fraudes decorrentes da manipulação de informações.

Uma das formas mais comuns de proteger a informação é o mascaramento. Esse processo é nativo na maioria das plataformas, no entanto protege a informação parcialmente. Nesse tipo de técnica a informação original é mantida enquanto é criada uma visão mascarada das informações originais.

Interface gráfica do usuário

Descrição gerada automaticamente

Apesar de mascarar as informações para os usuários e fornecer uma certa proteção, a informação permanece em seu formato original e assim pode ser acessada de outras formas. Esse tipo de mascaramento pode ser estático, onde uma cópia é gerada com informações mascaradas, ou dinâmico onde os dados são mascarados sob demanda. Mas, independente do método, a informação original em texto aberto sempre estará disponível.

A técnica recomendada é criptografar a informação que está contida nas tabelas e reverter esse processo sob demanda aplicando o mascaramento dinâmico e seletivo.  Dessa forma, a informação sempre estará criptografada não havendo outra cópia, visão (view), ou outro método de apresentação da informação independente se é um usuário privilegiado ou um usuário interagindo com a aplicação.

Interface gráfica do usuário

Descrição gerada automaticamente com confiança média

Gestão de Chaves Criptográficas

A maioria das empresas possui diversos sistemas de Bancos de Dados e cada um possui sua própria forma de configuração, algoritmos e facilidades. Esse ambiente recebe a denominação de silos, ou seja, cada silo (ambiente) possui suas próprias características e peculiaridades. A gestão de criptografia de ambientes em silos costuma ser complexa, com investimentos maiores e maiores desafios de capacitação que pode acarretar enganos e consequente vulnerabilidade.

Contudo, as características adversas não são o ponto mais grave. Talvez a questão primordial seja a “segregação de funções” onde cada personagem possui responsabilidades distintas e assim evitando riscos desnecessários. 

Por exemplo, quando a criptografia é habilitada utilizando a solução nativa, quem deve realizar toda configuração é o administrador ou algum usuário com privilégios para tal. É fácil perceber a fragilidade e vulnerabilidade dessa abordagem, pois quem tem acesso às chaves criptográficas possui acesso à informação e assim, caso a credencial seja comprometida, o criminoso terá acesso às chaves e às informações.

É fundamental que a gestão de chaves criptográficas seja realizada fora dos ambientes garantido que qualquer usuário, mesmo o mais privilegiado, nunca tenha acesso às chaves criptográficas. Outros pontos de atenção devem ser destacados como características de um sistema centralizado de gestão de chaves criptográficas:

  • Compatibilidade com diversas plataformas;
  • Capacidade de rotacionar chaves criptográficas de forma dinâmica sem a necessidade de interrupção ou degradação;
  • Suportar funcionamento nas instalações da organização (Data Center) e Nuvem;
  • Baixo impacto computacional – processamento, memória e armazenamento;
  • Possuir certificações e casos de uso robustos.

Conclusão

A informação é atualmente um dos bens mais preciosos de uma organização. Há quem diga, inclusive, que a informação é o novo petróleo!

Sendo as informações armazenadas em Bancos de Dados que por sua vez possuem seus arquivos armazenados em um servidor, e que são acessadas através de aplicações e credenciais, não há alternativa senão investir na segurança desse bem tão precioso.

A tabela abaixo resume as ameaças e soluções possíveis:

AmeaçaRiscoSoluçãoBenefícios
Vulnerabilidades na infraestrutura e aplicaçãoAtacante pode explorar as vulnerabilidades e ganhar acesso (muitas vezes privilegiado) ao Banco de dados-Varredura em busca de vulnerabilidade

-Firewall de aplicação web (WAF)
-Oferece visibilidade das vulnerabilidades expostas e como mitigá-las

-Bloqueia ataques à infraestrutura e aplicações
Credenciais comprometidasDe posse das credenciais, o atacante obtém acesso privilegiado ao Banco de DadosGerenciar as credenciais utilizadas pelo time de tecnologia e aplicações-Senhas complexas-Troca automática de senhas

-Trilhas de auditoria do uso de credenciais

-Evidências dos eventos durante o uso das credenciais

-Monitoramento do uso das credenciais
Ataque de RansomwareO atacante criptografa o arquivo de dados do Banco de Dados e exige um resgate pela chave criptográficaCriptografar e controlar o acesso ao arquivo de dados-Mesmo que o servidor seja infectado com um código malicioso, o atacante não obterá acesso ao arquivo de dados

-Apenas o processo (aplicação) do Banco de Dados assinado digitalmente possui acesso ao arquivo de dados

-Monitoramento contínuo do acesso ao arquivo de dados

-Gerenciamento centralizado de chaves criptográficas impedem que as mesmas possam ser acessadas
Acesso aos registros contidos no Banco de Dados por acesso direto e aplicações-Qualquer usuário que possua uma credencial pode acessar diretamente o Banco de Dados e obter as informações lá contidas

-Credenciais de usuários comuns interagindo com as aplicações podem obter e compartilhar as informações 
-Criptografar os registros contidos no Banco de Dados

-Controlar o acesso à informação contida dentro do Banco de Dados
-As colunas das tabelas que possuem registros sensíveis são criptografadas, não há outra cópia disponível em texto aberto

-Usuários, independente de sua credencial, visualizam apenas o conteúdo mínimo para a execução de seu trabalho através do mascaramento dinâmico e seletivo (regra do mínimo privilégio)

Agora que você já sabe de tudo isso, qual seu plano para não ser mais uma vítima e deixar sua organização em evidência de uma forma extremamente negativa ainda sujeito à penalidades da lei (LGPD), perda de reputação e prejuízos financeiros decorrentes da interrupção das transações?

Autor: José Ricardo Maia Moraes – Business Development Executive da Neotel Seguranca Digital

Previous post Seguro Cyber protege contra ataques hackers
Next post Empresas no Brasil têm alto risco de sofrer ataques cibernéticos

Deixe um comentário