Imagine fragmentar os dados de sua empresa em pedaços tão pequenos, que mesmo havendo um ataque bem sucedido os dados não seriam legíveis. É isso que a tecnologia de microsharding oferece.
Para falar de microsharding vale a pena falar primeiramente em data sharding.
A tecnologia de fragmentação de dados (data sharding) vêm sendo aplicada em grandes bancos de dados e possui vantagens e desvantagens. De forma simples trata-se da divisão de grandes conjuntos de dados em pedaços menores a serem armazenados e/ou distribuídos em máquinas distintas.
No âmbito das vantagens obtém-se escalabilidade, disponibilidade, redução de tempo de consulta e largura de banda de gravação. Dentre as desvantagens estão o balanceamento de dados, acréscimo nos custos, suporte restrito a alguns tipos de bancos de dados e complexidade elevada para implementação e manutenção.
O microsharding apresenta uma evolução dessa tecnologia, agregando segurança e privacidade aos dados por meio da fragmentação em pedaços significativamente pequenos, por exemplo arquivos de 5 bytes, e que ainda se beneficiarão das vantagens do data sharding e de performance.
Essa micro fragmentação oferece de forma direta uma significativa redução da superfície de ataque e agrega proteção e privacidade aos dados, uma vez que estarão fragmentados de tal forma que mesmo sendo subtraído e/ou comprometido algum dos micro fragmentos, a informação não estaria completa, nem mesmo um nome estaria completo, por exemplo.
A considerar que o armazenamento de informações em nuvem pública é uma realidade e que as legislações acerca da privacidade como GDPR ou LGPD preveem multas significativas, mesmo que o banco de dados seja hackeado, as informações de maior criticidade estarão em pedaços tão pequenos e distribuídos, que não seria possível remontá-las e tirar proveito. O ataque não resultaria em vazamento. Um número de CPF estaria distribuído em vários locais e em partes pequenas o bastante para que não fosse possível decifrar o número inteiro.
Naturalmente outras soluções de segurança como a criptografia ainda estarão presentes, mas nos casos em que essas sejam vencidas, a fragmentação dos dados em repouso torna ilegíveis os dados sensíveis.
A distribuição dos fragmentos da informação também incrementa a proteção, uma vez que os dados podem ser distribuídos de forma incompleta pelos diversos containers e repositórios. Portanto, o comprometimento de um container ou local não permite a obtenção de uma informação completa.
Para complicar ainda mais a vida de um atacante, existe a possibilidade da inserção de fragmentos “envenenados” e caso exista algum acesso não autorizado e cópia dos arquivos, esses fragmentos aumentam a complexidade do conjunto e tornam quase impossível sua reorganização. Algo como montar um quebra cabeça sem saber se todas as peças de fato fazem parte do todo e sem poder ver o que cada peça é.
Fazendo uma comparação entre a proteção “tradicional” e a proteção com o advento da tecnologia microsharding seria de se esperar que, para que um vazamento de dados em repouso fragmentados em partes mínimas obtenha sucesso, as seguintes ações teriam que ocorrer:
- Múltiplos ataques – com a distribuição e containers de informações o ataque deverá lograr êxito para cada conjunto de dados fragmentados.
- Mesmo conseguindo ter sucesso no acesso aos conjuntos, ainda seria necessário identificar a correlação entre microshards distribuídos nos containers, alinhá-los na ordem certa, sendo capaz de identificar os fragmentos “falsos” e retirá-los para depois descomprimir os fragmentos com algoritmo correto.
Vale lembrar que esse processo deverá ser repetido para cada conjunto de dados. Uma tarefa árdua para qualquer um.
Da mesma forma que é implementada proteção para as chaves criptográficas e credenciais de acesso, o mesmo deverá ser aplicado para o sistema de micro fragmentação. Mas em vista do risco de vazamento e sanções de órgãos reguladores, essa proteção apresenta uma resposta efetiva. Por que ser multado por órgão de controle se os dados vazados não podem ser compreendidos e expostos?
Na ótica da privacidade a micro fragmentação acelera também a adequação aos preceitos Zero Value e Zero Trust, uma vez que reduz a superfície de ataque e de sensibilidade dos dados.
Sim, a aplicação dessa tecnologia traz mais custos e acréscimo de complexidade na manutenção e gestão dos sistemas. Mas se você estivesse no lugar de uma empresa que teve seus dados vazados e que sofreu os impactos financeiros desse ataque, você iria querer ter uma “última” defesa que torna-se os dados ilegíveis? Eu iria.
* Pablo Galvez é auditor sênior de segurança cibernética, de segurança da informação e de TI
