Identifique os dados mais sensíveis da sua empresa

O que hackers querem? Se você respondeu dinheiro – sempre uma aposta segura – então você está certo. De acordo com os dados do Relatório de Investigações Verizon (DBIR), o ganho financeiro ainda é a motivação para mais de 75% dos incidentes tinha investigados.

A melhor resposta para a pergunta acima é que hackers querem dados – para monetizar conteúdos sensíveis – que estão espalhados por grandes sistemas de arquivos corporativos. Estes são os arquivos não criptografados gerados pelo usuário (documentos internos, apresentações, planilhas) que fazem parte do ambiente de trabalho. Ou se não for criado diretamente por usuários, estes arquivos podem ser exportados a partir de bancos de dados estruturados contendo contas de clientes, dados financeiros, projeções de vendas e muito mais.

Nossa demanda para esses dados tem crescido enormemente e por isso temos nossos ativos de armazenamento de dados. Quase 90% dos dados do mundo foi criado sozinho ao longo dos últimos 2 anos, e em 2020 os dados aumentarão em 4.300%.

Desafios da Segurança de Dados
Infelizmente, as ferramentas básicas que os administradores de TI usam para gerenciar conteúdo empresarial – muitas vezes aqueles que são empacotados com os sistemas operacionais – não estão à altura da tarefa de encontrar e proteger os dados.

Enquanto você vai precisar de fornecedores externos para ajudar a proteger seus ativos de dados, não significa necessariamente que houve um acordo sobre a melhor maneira de fazer isso. Claro que você pode tentar bloquear as portas virtuais através de firewalls e sistemas de intrusões – simplesmente impedindo qualquer pessoa de entrar.

Ou você pode ter uma abordagem mais realista e assumir que os hackers vão entrar.

Segurança de dentro para fora
O que aprendemos ao longo dos últimos anos após uma série de ataques bem-sucedidos contra bem defendidas empresas é que é impossível construir uma parede à prova de intrusão em torno de seus dados.

Por quê?
Hackers estão sendo convidados pelos próprios funcionários a entrarem pela porta da frente. A arma de escolha é e-mail phish: o atacante, fingindo representar uma marca bem conhecida (Google, Microsoft ou bancos), envia um e-mail para um empregado com um arquivo em anexo que parece ser um documento de negócios, uma promoção e etc.

Quando os funcionários clicam, eles lançam a carga malware, que está incorporado no anexo.

O DBIR da Verizon vem acompanhando no mundo todo, técnicas reais de ataque de hackers durante anos. A engenharia social, que inclui phishing, bem como outros métodos Pretexting, foi explodindo.

 

O que acontece uma vez que o malware está na rede?
A equipe DBIR também aponta que os hackers podem entrar rapidamente (em apenas alguns dias ou menos). Enquanto isso, os departamentos de segurança levam meses para descobrir o ataque e recuperar o que foi tomado.

O segredo dos hackers é tornar a ação de malware totalmente indetectável. Eles podem voar sob o radar dos scanners de vírus durante a coleta das chaves de segurança dos funcionários, sondando o conteúdo dos arquivos, e em seguida, removendo ou filtrando dados.

Ou ainda eles não usam um ataque de phishing para entrar, podem encontrar vulnerabilidades em propriedades da web, voltadas ao público, e explorá-los usando a injeção de SQL e outras técnicas.

E, finalmente, os hackers têm sido muito bons em adivinhar senhas devido às práticas de criação de senha consideradas como fracas – eles podem simplesmente fazer o login como o empregado.

Resumindo: os hackers entram e saem sem disparar os alarmes de segurança da rede.

Uma estratégia que recomendamos para a defesa contra esta nova geração de hackers é se concentrar sobre os dados sensíveis em primeiro lugar e, em seguida, trabalhar fora de suas defesas e atenuações a partir desse ponto – uma abordagem conhecida como “de dentro para fora da segurança”.

Três Passos para “Dentro para fora da Segurança”
Primeiro passo: Fazendo o inventário de sua infraestrutura de TI e Dados
Antes que você possa criar um “dentro para fora” da segurança, um bom primeiro passo é simplesmente fazer um inventário de sua infraestrutura de TI.

É uma exigência encontrada em muitos padrões de dados ou melhores práticas, tais como a ISO 27001, Centro de Controles Internet Security Critical Segurança , Quadro NIST Critical Cybersecurity Infra-estrutura (CIS) , ou PCI DSS .

Muitos padrões têm controles que normalmente vão sob o nome de gestão de ativos ou categorização de ativos. O objetivo é forçá-lo a saber primeiro o que está em seu sistema: você não pode proteger o que não conhece!

Junto com o hardware usual (roteadores, servidores, laptops, servidor de arquivos, etc.), a categorização de ativos também deve explicar os elementos digitais do software – aplicativos, SOs, e, naturalmente, dados ou ativos de informação.

Por exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST) tem a sua infraestrutura crítica Cybersecurity  Framework, que é uma orientação voluntária para protegê-la de usinas de energia, transporte e outros serviços essenciais. Tal como acontece com todos os quadros, CIS fornece uma estrutura geral em que são mapeados vários padrões específicos.

A primeira parte deste quadro tem um componente “Identificado”, que inclui subcategorias de inventário de ativos – ver ID.AM 1 -6 – e o conteúdo categorização-ver ID.RA-1 e ID.RA-2.

 

Ou se você olhar para PCI DSS 3.x, existem controles para identificar hardware de armazenamento e, mais especificamente, os dados dos portadores de cartões sensíveis – ver Requisito 2.4.

 

Segundo passo: Reduzir os riscos com direitos de acesso
Junto com a busca de conteúdo sensível, normas de segurança e melhores práticas use controles adicionais, geralmente sob uma categoria de avaliação de risco, que vai lhe pedir para olhar para os direitos de acesso de dados. O objetivo é saber se esses dados sensíveis podem ser acessados por usuários não autorizados, e depois fazer ajustes para garantir que isso não aconteça.

Novamente referindo-se ao Quadro CIS, há uma função “Proteger”, que tem subcategorias para os controles de acesso – veja PR.AC-1 para PR.AC-4.

Especificamente, há um controle para a implementação de um acesso mínimo de privilégio (AC.4), que é uma maneira de limitar o acesso autorizado pelo concedidos direitos de acesso mínimos baseados em funções de trabalho. É por vezes referido como controles de acesso baseados em funções ou RBAC.

Você pode encontrar os controles de acesso semelhantes em outros padrões também.

O ponto mais importante é que você deve (ou é altamente recomendável) implementar um processo contínuo para verificar os dados, determinando riscos e fazendo ajustes para controles de acesso e tomando outras medidas de segurança. Isto é referido como avaliação de riscos contínua.

Passo 3: Dados Minimização
Além de identificar e limitar o acesso, padrões e melhores práticas conte com controles adicionais para remover dados sensíveis que já não são necessários.

Ideias para minimizar a recolhimento e retenção de dados como uma maneira de reduzir o risco também fazem parte de uma outra melhor prática conhecida como Privacy by Design, que é uma importante diretriz de segurança de TI.

A parte mais difícil: Dados Categorização na Escala
Primeiro passo, encontrar os dados sensíveis relevantes e categorizá-lo, é mais fácil dizer do que fazer.

Tradicionalmente, a categorização de dados não estruturados envolve uma varredura com força bruta das partes relevantes do sistema de arquivos, faz a comparação com padrões conhecidos usando expressões regulares e outros critérios, em seguida, registrando os arquivos que correspondam aos padrões.

Este processo, é claro, em seguida, tem de ser repetido – arquivos novos estão sendo criados o tempo todo e os antigos estão sendo atualizados.

Mas uma abordagem de força bruta iria começar completamente do zero para cada varredura – começando no primeiro arquivo na sua lista e continuando até o último arquivo no servidor atingido.

Em outras palavras, a verificação não aproveita qualquer informação a partir da última vez que se arrastou pelo sistema de arquivos. Portanto, se seu sistema de arquivos tem 10 milhões de arquivos, que permaneceram inalterados, e um novo foi adicionado desde a última verificação, então a próxima varredura teria que analisar 10 milhões, mais um arquivo!

Uma abordagem ligeiramente melhor é verificar os tempos dos arquivos de modificação e só então procurar o conteúdo desses arquivos que foram atualizados desde a última verificação. É a mesma estratégia que um sistema de back-up incremental que você usa – ou seja, verificar os tempos de modificação e outros metadados que estão associados com o arquivo.

Mesmo assim, este é um processo intensivo de recursos – CPU e acessos a disco – e com grandes sistemas de arquivos corporativo nas dezenas e centenas de terabyte, pode não ser muito prático. O sistema ainda tem que olhar para o último acesso a metadados de tempo de cada arquivo.

Uma ideia melhor é usar uma verdadeira varredura periódica. Isso significa que você não marca a data de modificação de cada arquivo para ver se ele mudou.

Em vez disso, esta técnica otimizada funciona a partir de uma lista conhecida de objetos de arquivos alterados fornecidos pelo sistema operacional subjacente. Em outras palavras, se você pode acompanhar todas as mudanças do evento do arquivo ou informação que um kernel do sistema operacional tem acesso, então você pode gerar uma lista apenas com os objetos de arquivo que devem ser verificados.

Esta é uma abordagem muito melhor do que um rastreamento padrão (mas lento) de todo o sistema de arquivos.

Para conseguir isso, você vai precisar de acesso ao núcleo metadados contido no sistema de arquivos – minimamente, carimbos de tempo de modificação do arquivo, mas idealmente outras áreas relacionadas com o acesso do usuário e IDs de grupo.

Soluções e Conclusões
Existe uma maneira de fazer verdadeira análise incremental como parte de um programa de avaliação de risco centrada em dados?
Existe! Bem-vindo ao Varonis IDU (Intelligent Use Dados) Classification Framework!

Veja como ele funciona.
O Quadro de classificação é construído sobre uma tecnologia de núcleo Varonis, a Varonis Metadata Framework. Temos acesso a metadados OS internos e podemos acompanhar todos os arquivos e diretórios dos eventos – criação, atualização, copiar, mover e exclusões. Este não é apenas mais um aplicativo em execução no topo do sistema operacional. É uma estrutura de metadados integrada em um baixo nível com o sistema operacional ao não adicionar qualquer sobrecarga considerável.

Com estes metadados, a estrutura de classificação pode agora realizar análise incremental rápida. O quadro está digitalizando em um pequeno subconjunto de objetos de arquivo – apenas os que foram alterados ou recém-criados assim, permitindo saltar diretamente para esses arquivos em vez de ter que fazer a varredura do sistema completo

A Varonis IDU Classification Framework é, então, capaz de classificar rapidamente o conteúdo do arquivo usando o nosso próprio mecanismo de classificação Varonis ou metadados de classificação de uma fonte de terceiros, tais como RSA.

A IDU Classification Framework funciona com o nosso produto DatAdvantage, que usa metadados do arquivo para determinar quem é o verdadeiro dono do conteúdo sensível.

Em última análise, a solução Varonis permite aos proprietários de dados – os gestores realmente responsáveis pelo conteúdo e mais  bem informados sobre os direitos de acesso apropriados – definir as permissões de arquivo apropriadas que reduzam ou eliminem os riscos de exposição a dados.