Prove que os dados não vazaram da sua empresa

Fernando-Ceolin-scaled.jpg
Fernando Ceolin *
23/02/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Os recentes vazamentos de dados vieram mostrar muito claramente a necessidade de as empresas poderem demonstrar que não estão na origem dos vazamentos divulgados. Para não caírem em uma situação do tipo “sua palavra contra a minha”, e, mais importante, para cumprirem o que estabelece a LGPD quanto à responsabilidade sobre as informações que armazena sobre seus clientes/parceiros/funcionários, as empresas precisam poder provar a qualquer momento que não houve vazamento de dados de seus sistemas.

As empresas deveriam ter a capacidade de extrair evidências do seu ambiente, imprescindíveis durante o processo de investigação do que ocorre dentro dele em um determinado período de tempo, provando, por exemplo, que não houve qualquer tipo de alteração no comportamento padrão do fluxo de dados entre os componentes internos das aplicações e que, por consequência, não seria possível o vazamento, uma vez que não houve desvio.

Falando assim até parece fácil, mas existem alguns problemas aí. Poucas empresas efetivamente conhecem como as aplicações e seus componentes se intercomunicam, e sem esta informação, como detectar desvios? Depois, como fazer isso ao longo do tempo, de forma abrangente, com as aplicações cada vez mais pulverizadas em diversos ambientes (leia-se multi-cloud)?

Durante muito tempo, dada a complexidade dos ambientes, a regra de segurança era, “trust but verify” – o que está se provando ineficiente dado o volume de incidentes que aparecem na mídia, em todos os segmentos de mercado. Resumindo as técnicas de proteções empregadas não conseguem conter a dinâmica dos ataques no cenário atual.

Uma nova abordagem precisa ser tomada. Justamente aí entra o “Zero Trust”, um conceito que prevê que todo e qualquer componente não conhecido seja automaticamente isolado do ambiente, sem qualquer tipo de acesso até que esteja devidamente autorizado. O primeiro passo para se aplicar o “Zero Trust” é precisamente o conhecimento do ambiente e do funcionamento das aplicações, que é, normalmente, um mistério para as empresas.

A solução para esta equação é a visibilidade. Ou seja, o entendimento, no detalhe, do funcionamento das aplicações para identificar e documentar o comportamento das aplicações e, em seguida, aplicar as regras de controle, se possível no nível mais baixo possível, controlando qual o processo da aplicação e usuário que podem realizar determinados acessos ao ambiente. Quanto mais especificas as políticas, mais controlado o ambiente. Outro ponto importante é a retenção dos logs de comunicação do ambiente como evidência para futura investigação, pois, na eventualidade de um ataque, é possível entender e rastrear como e por onde o atacante conseguiu chegar ao ambiente.

Um recurso também importante neste processo é o uso de tecnologias de “deception”, que podem enganar o atacante, dando a impressão de que o ataque foi realizado com sucesso, quando, na verdade, as operações de ataque foram realizadas em um ambiente apartado.

A LGPD determina que as empresas contem com as melhores políticas de controle de acesso e de monitoramento do seu ambiente (Art. 46) – o que exige, em primeiro lugar, visibilidade do que está acontecendo na rede, em cada segmento de rede e na comunicação entre servidores. Sem visibilidade e compreensão do ambiente interno não há como criar estratégias de contenção de ataques. Neste cenário, vale a analogia com a construção de navios, que normalmente são construídos em segmentos: o comprometimento de uma parte do navio não faz com que o navio afunde ou outras áreas sejam impactadas. Da mesma forma, no conceito de “Zero Trust” o objetivo é segmentar o datacenter em zonas muito pequenas para que qualquer “vazamento” seja visível facilmente e não impacte a empresa como um todo.

A legítima preocupação com invasões à rede muitas vezes leva a uma atitude primordialmente reativa aos testes de intrusão, os famosos pentests, sem a devida atenção ao que se passa nos ambientes internos das empresas, onde a ameaça eventualmente se instala e circula livremente, acessando dados críticos.

Para a segurança, o risco é calculado como vulnerabilidade x exposição x impacto. O impacto normalmente é conhecido das empresas: todos sabem qual o transtorno, seja operacional ou de imagem, causado por um ataque. A gestão de vulnerabilidades é muito importante, mas o problema é que nem todas as vulnerabilidades são conhecidas, e, especialmente quando se fala de aplicações desenvolvidas internamente, ataques que exploram vulnerabilidades zero-day normalmente são letais.

Por último temos a exposição, que, com a visibilidade apropriada, pode ser medida e controlada; em alguns casos, o controle pode ser feito em nível tão específico a ponto de permitir uma exposição zero, ou seja, “Zero Trust”. No cálculo vulnerabilidade x exposição x impacto, o único vetor que efetivamente pode ser controlado é a exposição. Visto que alguns sistemas legados não possuem mais mecanismos de correção como patches ou atualizações, o exemplo mais forte de ação de pânico a um ataque é desconectar o ambiente para efetivamente zerar a exposição.

Atacantes/criminosos normalmente sabem que os sistemas de monitoramento têm foco excessivo no controle de acesso de perímetro, e que uma vez dentro das empresas é quase impossível serem detectados. O período que um ataque leva para ser detectado é de aproximadamente 280 dias (https://www.ibm.com/security/data-breach), e, assim, mais uma vez fica claro que as empresas, de modo geral, não possuem visibilidade e/ou controle do que acontece dentro dos seus ambientes.

Neste cenário os atacantes têm tanto tempo para coletar as informações que até podem compilar um conjunto de informações de diversos ataques para vender um pacote de informações. E isso causa outro problema. Com informações de um número gigantesco de pessoas agrupadas de forma indiscriminada, como identificar a origem do vazamento se não há um padrão?

Exemplo: em um vazamento recente foram disponibilizadas informações de 223 milhões de registros, ou seja, de todos os brasileiros. E como os principais dados – nome, CPF e endereço – não mudam e estão disponíveis em muitas bases de dados, como defender sua empresa de uma acusação de vazamento? Você tem visibilidade do que acontece no seu ambiente para provar que os dados não vazaram da sua empresa?

* Fernando Ceolin é diretor-regional da Guardicore para o Brasil e região Sul da América Latina

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório