BLOG


Contas privilegiadas, supersenhas e as novas abordagens de segurança de dados

Confidencialidade de informações sensíveis; integridade de sistemas on premise ou em nuvem; e controle de ameças internas exigem avanços na gestão de credenciais e monitoramento de administradores de sistemas, altos executivos e até mesmo de interfaces automatizadas

“Quem demite o cara do RH e quem baixa o limite do cartão do analista de crédito”? A piada deve ser lugar comum de stand up em evento corporativo de final de ano. Quando se trata de acesso a configurações, transações e dados nos sistemas de informação, os paradoxos não têm tanta graça. Incidentes de diferentes proporções – do vazamento de fotos íntimas de atriz à divulgação de conspirações de Estado – justificam a preocupação de não expor mais do que o necessário para que cada um realize suas funções.

O acesso privilegiado de administradores de sistemas, de bancos de dados (DBAs) e outros usuários root, evidentemente, é imprescindível para consertar falhas e operar o ambiente. Nos níveis gerencial e estratégico, gestores e executivos têm também alçadas especiais para consultar e alterar dados críticos. Não bastasse a complexidade de ter tanto os dados quanto os acessos dispersos (residentes na nuvem e acessados por app móvel, por exemplo), em tempos de APIs, microsserviços e outras interconexões entre sistemas, algumas aplicações passam a exigir atributos especiais e passam a ser mais um portador de credenciais de root.

A prevenção de riscos associados a usuários privilegiados, talvez a parte mais difícil do programa de prevenção a ameaças internas, passa pelo reforço da proteção de credenciais, assim como de mecanismos de rastreabilidade, inclusive para eventuais auditorias ou investigação forense. Além dos riscos operacionais, outros mecanismos devem ser aplicados para garantia de privacidade, integridade e compliance dos dados em si, para que os riscos de falhas de segurança na TI não representem necessariamente risco de ruína para o o negócio.

Gerenciamento e segmentação de funções

Administradores de sistemas, web masters, DBAs ou desenvolvedores realmente precisam de direitos especiais, mas completamente diferente um dos outros. Portanto, o pior cenário é quando essas profissionais compartilham a mesma conta.

Hoje há ferramentas que permitem definir o que cada usuário pode fazer, mesmo em um acesso como administrador (por exemplo, pode incluir usuários, mas não mover diretórios).

O advento dos contratos de SaaS (software como serviço) e a descentralização da TI agravam alguns riscos. Em serviços como o Office 365 ou Salesforce, por exemplo, os provedores oferecem robustos mecanismos de DLP (prevenção a vazamento de dados). Mas isso funciona dentro do domínio do provedor e nada resiste a um roubo de credenciais.

Um medida a ser considerada é implementar processos em que se obrigue à troca de senha logo após a realização de um acesso para operações críticas.

O recurso de monitoramento e a gravação de sessões com acesso privilegiado ganha eficácia quando se agregam mecanismos de análise e automação de contramedidas.

Data security, criminosos roubam mas não levam

Os métodos de identificação e autenticação, de fato, vão ficando cada vez mais robustos. Às vezes evoluem para responder a ideias dos criminosos, mas em vários casos para cobrir lacunas comportamentais dos próprios usuários. Por exemplo, em uma organização financeira do Brasil, foi necessário associar o Certificado Digital à assinatura biométrica para impedir que os executivos dessem a senha às secretárias. Em paralelo ao duelo entre impostores/invasores e vigias, é fundamental proteger o objeto dessa disputa, a informação em si.

Os bancos de dados contêm os ativos mais importantes das organizações e, consequentemente, são alvo da maioria dos ataques direcionados. A dificuldade é que cada pedaço da informação é sujeito a regras de confidencialidade, integridade e governança específicas (por exemplo, o médico pode ver informações dos pacientes mas o secretário de Saúde só vê dados estatísticos e anônimos). Com as novas arquiteturas de multicloud e serviços interconectados, se acrescentam dois complicadores: os dados são distribuídos e precisam estar disponíveis a outros sistemas, como aplicações de front end ou de big data.

Entre as soluções de data security, o database firewall é uma abordagem de defesa tanto de ameaças externas, de hackers que exploram vulnerabilidades das plataformas, quanto de insiders. Além de recursos de criptografia e gerenciamento de chaves integrado, o database firewall segmenta o gerenciamento e o acesso à informação – apenas os devidos usuários e aplicações de negócio conseguem ver o conteúdo, enquanto o DBA enxerga apenas blocos criptografados.

A condição para uma estratégia de controle e governança de dados críticos é saber onde está a informação sujeita a regras de confidencialidade e compliance. As ferramenta e métodos de database assessment permitem um mapeamento dinâmico e simplificam a classificação de riscos em todo o ciclo. Uma solução de Dabase Activity Monitor pode também atuar como última linha de defesa, por identificar comportamentos anormais nas tentativas de acesso.

O microcosmo da segurança de dados

Espionagem industrial, cibercrime financeiro e hackers patrocinados não são as únicas ameaças colocadas aos profissionais de segurança da informação. Duas pesquisas do Instituto Ponemon revelam problemas mais próximos. No estudo “Insegurança de Usuários Privilegiados”, entre 600 líderes de organizações privadas globais, 66% acreditam que os usuários privilegiados olham dados sensíveis só por curiosidade e 58% consideram que o nível de acesso vai além de sua alçada. Já a pesquisa Tendências da Criptografia no Brasil, feita em outro contexto, revelou que a aplicação mais comum de criptografia nas organizações pesquisadas é para proteção das informações de RH, usada em 63% dos casos.


Por Vanderlei Campos - Jornalista