As violações de dados na nuvem estão em alta

As violações de dados na nuvem estão em alta. Quais são as características comuns? A proteção contra violações de dados requer uma análise detalhada de ataques recentes para correção e prevenção.

Os dados continuam a impulsionar as necessidades e os processos de negócios da empresa, estimulando a necessidade de um número cada vez maior de armazenamentos de dados para abrigar tudo. O valor e o impacto inerentes dos dados nas operações de negócios os tornaram um dos principais alvos dos cibercriminosos. Isso levou a um aumento acentuado nas violações de dados que interromperam a continuidade dos negócios e comprometeram a postura de segurança e conformidade das empresas em todo o mundo. Nessas violações, os invasores geralmente exploram pontos cegos e configurações incorretas.

A proteção contra violações de dados requer uma análise detalhada de ataques recentes para planejar etapas de correção e medidas preventivas. Os problemas comuns às recentes violações de dados na nuvem incluem:
 

1. Vazamento de dados através de limites de conformidade

Uma dura lição da última década é que não há como voltar atrás quando os dados saem do plano de controle organizacional e muitas vezes vão para repositórios públicos. Por esse motivo, os proprietários de segurança são responsáveis ​​por manter o controle sobre qualquer possibilidade de exposição, avaliar as consequências quando a exposição ocorrer e agir de acordo.

O vazamento de dados é mais comum do que se imagina e não se limita a empresas com orçamentos de segurança menores. Por exemplo,  os dados confidenciais da Nestlé foram brevemente expostos ao mundo a partir de sua rede interna antes de aparecer alguns meses depois em um suposto ataque cibernético do Anonymous.

 

2. Bulk de Dados expostos publicamente

Os dados são um ativo e devem ser protegidos como tal, seja um backup, registro de auditoria ou arquivo arbitrário. O acesso deve ser baseado no princípio do privilégio mínimo, e qualquer desvio deve ser identificado, monitorado e alertado.

Esse não foi o caso de algumas organizações que usam armazenamentos de dados de nuvem pública, como buckets do Amazon S3 e Microsoft Azure Blobs. Quatro aeroportos na Colômbia e no Peru , por exemplo, tinham um bucket S3 – contendo 3 TB de dados sobre funcionários – que era acessível ao público e não exigia autenticação.  

Enquanto isso, a companhia aérea turca Pegasus tinha um S3 Bucket sem proteção por senha, expondo cerca de 6,5 TB de dados que incluíam informações de identificação pessoal da tripulação, gráficos de voo e segredos do sistema EFB (Electronic Flight Bag) da companhia aérea.

Doctors Me, um site de consultas médicas japonesas online, experimentou algo semelhante. O serviço armazenava imagens de pacientes, enviadas por clientes, em um bucket S3 sem autorização de acesso adequada e controles de autenticação, expondo os dados confidenciais de quase 12.000 pessoas.

 

3. Configurações incorretas do banco de dados

Em sua função mais básica, os bancos de dados são componentes internos protegidos que guardam diversos registros ou documentos. Eles geralmente são encapsulados por trás de um aplicativo ou serviço que facilita o acesso aos dados de acordo com a lógica de negócios predeterminada. Como tal, os bancos de dados têm o potencial de impor controles de acesso rigorosos e limitar o acesso à rede, garantindo que apenas contas de serviço ou pessoal autorizado possam alcançá-los diretamente.

Bancos de dados expostos à Internet, especialmente com autenticação fraca, são frutos fáceis para agentes mal-intencionados que estão constantemente verificando serviços expostos. Esse foi o caso de um popular aplicativo de bate-papo iraniano chamado Raychat , onde um bot simples detectou uma instância mal configurada do banco de dados MongoDB do serviço. Tudo o que os invasores precisavam fazer era clonar o conteúdo do banco de dados, limpar o banco de dados e deixar uma nota pedindo um resgate pesado.

 

4. Criptografia ausente

A criptografia é uma das três principais práticas recomendadas do setor para proteção de dados, mas não pode ser considerada um conjunto de segurança completo, pois a proteção de dados é construída em camadas. Quando uma camada é rompida, cabe à próxima manter a linha. Vemos isso refletido em avaliações de risco e apontamentos de auditoria, onde cada componente, especialmente a camada fundamental ausente, como criptografia, altera a pontuação de risco de muitos outros componentes que compõem todo o ambiente. Com problemas comuns como relatórios falsos e criptografia ausente, como os proprietários de segurança podem qualificar e testar com segurança a totalidade de seu ambiente conhecido e desconhecido com suposições e informações semiconfiáveis?

O Departamento de Educação da cidade de Nova York lutou com essa questão quando um sistema de classificação e frequência on-line foi violado. Cerca de 820.000 registros biográficos de alunos atuais e ex-alunos de escolas públicas foram armazenados sem criptografia adequada, permitindo que o adversário os comprometa e extraia facilmente.

 

Como as organizações podem evitar esses erros?

1. Assuma a propriedade de seus dados: 

  • Identifique ativos confidenciais e que “precisam ser protegidos” com verificações periódicas de seu ambiente para descobrir quaisquer incógnitas e surpresas, como novos armazenamentos de dados e políticas de rede. 
  • Classifique e avalie qualquer solução dentro da pilha que você possui ou consome. 

2. Melhore sua postura de segurança de dados: 

  • Avalie os armazenamentos de dados em relação às práticas recomendadas do setor e aos padrões de conformidade. 
  • Incorpore a segurança de dados em seu DNA organizacional criando proprietários dedicados, alocando recursos para projetos de longo prazo e estabelecendo procedimentos de tratamento de incidentes. 

3. Controle seus dados: 

  • Faça o escopo e aprove periodicamente o público-alvo, garantindo que somente eles possam acessá-lo por meio de políticas de rede e RBAC. 
  • Implemente uma metodologia de “segundo conjunto de olhos” (“second set of eyes“) quando se trata de replicação, exportação, criação ou exclusão de dados. 

4. Observar e fazer a triagem de atividades anômalas: 

  • Monitore as atividades em relação a dados confidenciais e alterações de configuração em armazenamentos de dados classificados. 
  • Crie um mecanismo de alerta e triagem para cenários de negócios anormais.

Fonte: Dark Reading por Gad Rosenthal – Gerente de Produto, Segurança e Privacidade, Eureka Security

Veja também:

Sobre mindsecblog 1873 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!