Segurança de dados

menu icon

Segurança de dados

Saiba mais sobre as complexidades da segurança do banco de dados e algumas das práticas, políticas e tecnologias que protegerão a confidencialidade, integridade e disponibilidade de seus dados.

O que é segurança do banco de dados

A segurança do banco de dados se refere à gama de ferramentas, controles e medidas projetadas para estabelecer e preservar a confidencialidade, integridade e disponibilidade do banco de dados. Este artigo se concentrará principalmente na confidencialidade, uma vez que é o elemento que fica comprometido na maioria das violações de dados.

A segurança do banco de dados deve abordar e proteger o seguinte:

  • Os dados no banco de dados
  • O sistema de gerenciamento de banco de dados (DBMS)
  • Qualquer aplicativo associado
  • O servidor de banco de dados físico e/ou o servidor de banco de dados virtual e o hardware subjacente
  • A infraestrutura de computação e/ou rede usada para acessar o banco de dados

A segurança de banco de dados é um empreendimento complexo e desafiador que envolve todos os aspectos das tecnologias e práticas de segurança da informação. Também está naturalmente em desacordo com a usabilidade do banco de dados. Quanto mais acessível e utilizável for o banco de dados, mais vulnerável ele será a ameaças à segurança; quanto mais invulnerável for o banco de dados a ameaças, mais difícil será o acesso e o uso. (Este paradoxo é às vezes referido como Anderson’s Rule (link externo à IBM).

Por que é importante

Por definição, uma violação de dados é uma falha na manutenção da confidencialidade dos dados em um banco de dados. Quanto dano uma violação de dados inflige em sua empresa depende de uma série de consequências ou fatores:

  • Propriedade intelectual comprometida: sua propriedade intelectual, segredos comerciais, invenções, práticas proprietárias, pode ser crítica para sua capacidade de manter uma vantagem competitiva em seu mercado. Se essa propriedade intelectual for roubada ou exposta, sua vantagem competitiva pode ser difícil ou impossível de manter ou recuperar.
  • Danos à reputação da marca: os clientes ou parceiros podem não querer comprar seus produtos ou serviços (ou fazer negócios com sua empresa) se não sentirem que podem confiar em você para proteger seus dados ou os deles.
  • Continuidade de negócios (ou a falta dela):alguns negócios não podem continuar operando até que uma violação seja resolvida.
  • Multas ou penalidades por não conformidade:o impacto financeiro pela não conformidade com as regulamentações globais, como Sarbannes-Oxley Act (SAO) ou Payment Card Industry Data Security Standard (PCI DSS), regulamentações de privacidade de dados específicas da indústria, como HIPAA, ou regulamentações regionais de privacidade de dados, como General Data Protection Regulation (GDPR) da Europa pode ser devastador, com multas nos piores casos excedendo vários milhões de dólares por violação.
  • Custos de reparação de violações e notificação de clientes: além do custo de comunicar uma violação ao cliente, uma organização violada deve pagar por atividades forenses e investigativas, gerenciamento de crise, triagem, reparo dos sistemas afetados e muito mais.

Ameaças e desafios comuns

Muitas configurações incorretas de software, vulnerabilidades ou padrões de descuido ou uso indevido podem resultar em violações. Os seguintes estão entre os tipos ou causas mais comuns de ataques de segurança de banco de dados e suas causas.

Ameaças internas

Uma ameaça interna é uma ameaça à segurança de qualquer uma das três fontes com acesso privilegiado ao banco de dados:

  • Um interno malicioso que pretende causar danos
  • Um interno negligente que comete erros que tornam o banco de dados vulnerável a ataques
  • Um invasor, um estranho que de alguma forma obtém credenciais por meio de um esquema como phishing ou obtendo acesso ao próprio banco de dados de credenciais

Ameaças internas estão entre as causas mais comuns de violações de segurança de banco de dados e geralmente são o resultado de permitir que muitos funcionários possuam credenciais de acesso de usuário com privilégios.

Erro humano

Acidentes, senhas fracas, compartilhamento de senhas e outros comportamentos de usuários imprudentes ou desinformados continuam sendo a causa de quase metade (49%) de todas as violações de dados relatadas (link externo à IBM).

Exploração de vulnerabilidades de software de banco de dados

Os hackers ganham a vida encontrando e atacando vulnerabilidades em todos os tipos de software, incluindo software de gerenciamento de banco de dados. Todos os principais fornecedores de software de banco de dados comercial e plataformas de gerenciamento de banco de dados open source emitem patches de segurança regulares para lidar com essas vulnerabilidades, mas a falha em aplicar esses patches em tempo hábil pode aumentar sua exposição.

Ataques de injeção SQL/NoSQL

Uma ameaça específica ao banco de dados, envolve a inserção de sequências de ataque SQL ou não SQL arbitrárias em consultas de banco de dados servidas por aplicativos da web ou cabeçalhos HTTP. As organizações que não seguem práticas seguras de codificação de aplicativos da web e não realizam testes de vulnerabilidade regulares estão abertas a esses ataques.

Exploradores de estouro de buffer

O estouro de buffer ocorre quando um processo tenta gravar mais dados em um bloco de memória de comprimento fixo do que é permitido manter. Os invasores podem usar os dados em excesso, armazenados em endereços de memória adjacentes, como uma base para lançar ataques.

Ataques de negação de serviço (DoS/DDoS)

Em um ataque de negação de serviço (DoS), o invasor inunda o servidor de destino, neste caso, o servidor de banco de dados, com tantas solicitações que o servidor não pode mais atender a solicitações legítimas de usuários reais e, em muitos casos, o servidor se torna instável ou falha.

Em um ataque distribuído de negação de serviço (DDoS), o dilúvio vem de vários servidores, tornando mais difícil interromper o ataque. Veja nosso vídeo “O que é um ataque DDoS” (3:51) para obter informações adicionais:

Malware

Malware é um software escrito especificamente para explorar vulnerabilidades ou de outra forma causar danos ao banco de dados. O malware pode chegar por meio de qualquer dispositivo de terminal conectado à rede do banco de dados.

Ataques em backups

As organizações que não protegem os dados de backup com os mesmos controles rigorosos usados para proteger o próprio banco de dados podem ficar vulneráveis a ataques aos backups.

Essas ameaças são exacerbadas pelo seguinte:

  • Crescentes volumes de dados: a captura, o armazenamento e o processamento de dados continuam crescendo exponencialmente em quase todas as organizações. Todas as ferramentas ou práticas de segurança de dados precisam ser altamente escalonáveis para atender às necessidades futuras próximas e distantes.
  • Expansão de infraestrutura: Os ambientes de rede estão se tornando cada vez mais complexos, especialmente à medida que as empresas mudam as cargas de trabalho para arquiteturas multicloud ou de cloud híbrida, tornando a escolha, a implementação e o gerenciamento de soluções de segurança cada vez mais desafiadores.
  • Requisitos regulatórios cada vez mais rigorosos: o cenário de conformidade regulatória mundial continua crescendo em complexidade, tornando mais difícil o cumprimento de todas as exigências.
  • Escassez de habilidades de segurança cibernética: os especialistas preveem que pode haver até oito milhões de cargos de segurança cibernética não preenchidas até 2022.

Melhores práticas

Como os bancos de dados são quase sempre acessíveis pela rede, qualquer ameaça à segurança de qualquer componente dentro ou parte da infraestrutura de rede também é uma ameaça ao banco de dados, e qualquer ataque que afete o dispositivo ou estação de trabalho de um usuário pode ameaçar o banco de dados. Portanto, a segurança do banco de dados deve se estender muito além dos limites do banco de dados sozinho.

Ao avaliar a segurança do banco de dados em seu ambiente para decidir sobre as principais prioridades de sua equipe, considere cada uma das seguintes áreas:

  • Segurança física: seja seu servidor de banco de dados on-premise ou um data center em cloud, ele deve estar localizado em um ambiente seguro e climatizado (se o seu servidor de banco de dados estiver em um data center em cloud, seu provedor de cloud cuidará disso para você).
  • Controles administrativos e de acesso à rede: o número mínimo prático de usuários deve ter acesso ao banco de dados e suas permissões devem ser restritas aos níveis mínimos necessários para que façam seu trabalho. Da mesma forma, o acesso à rede deve ser limitado ao nível mínimo de permissões necessárias.
  • Conta do usuário final/segurança do dispositivo: esteja sempre ciente de quem está acessando o banco de dados e quando e como os dados estão sendo usados. As soluções de monitoramento de dados podem alertar você se as atividades de dados forem incomuns ou parecerem arriscadas. Todos os dispositivos de usuário conectados à rede que hospeda o banco de dados devem estar fisicamente seguros (apenas nas mãos do usuário certo) e sujeitos a controles de segurança em todos os momentos.
  • Criptografia: TODOS os dados, incluindo dados no banco de dados e dados de credenciais, devem ser protegidos com a melhor criptografia da classe em repouso e em trânsito. Todas as chaves de criptografia devem ser tratadas de acordo com as diretrizes de melhores práticas.
  • Segurança do software de banco de dados : sempre use a versão mais recente do seu software de gerenciamento de banco de dados e aplique todas as correções assim que forem emitidas.
  • Segurança de aplicativo/servidor da web: qualquer aplicativo ou servidor da web que interaja com o banco de dados pode ser um canal de ataque e deve estar sujeito a testes de segurança contínuos e gerenciamento de melhores práticas.
  • Segurança de backup: todos os backups, cópias ou imagens do banco de dados devem estar sujeitos aos mesmos (ou igualmente rigorosos) controles de segurança que o próprio banco de dados.
  • Auditoria: registre todos os logins no servidor de banco de dados e no sistema operacional e registre todas as operações realizadas em dados confidenciais. As auditorias do padrão de segurança do banco de dados devem ser realizadas regularmente.

Controles e políticas

Além de implementar controles de segurança em camadas em todo o ambiente de rede, a segurança do banco de dados exige o estabelecimento dos controles e políticas corretos para acessar o próprio banco de dados. Estão incluídos:

  • Controles administrativos para controlar o gerenciamento de instalação, mudança e configuração do banco de dados.
  • Controles preventivos para governar o acesso, a criptografia, a tokenização e o mascaramento.
  • Controles de detetive para acompanhar o monitoramento de atividades do banco de dados e ferramentas de prevenção de perda. Estas soluções tornam possível identificar e alertar sobre atividades anômalas ou suspeitas.

As políticas de segurança de banco de dados devem ser integradas e apoiar seus objetivos gerais de negócios, como proteção de propriedade intelectual crítica e suas políticas de segurança cibernética e de segurança em cloud. Certifique-se de ter designado a responsabilidade de manter e auditar os controles de segurança dentro de sua organização e que suas políticas complementem as de seu provedor de cloud em acordos de responsabilidade compartilhada. Controles de segurança, programas de treinamento e educação de conscientização sobre segurança e estratégias de teste de penetração e avaliação de vulnerabilidade devem ser estabelecidos para dar suporte às suas políticas de segurança formais.

Ferramentas e plataformas de proteção de dados

Hoje, uma ampla matriz de fornecedores oferece ferramentas de proteção de dados e plataformas. Uma solução em larga escala deve incluir todas as capacidades a seguir:

  • Descoberta: procure uma ferramenta que possa verificar e classificar vulnerabilidades em todos os seus bancos de dados, estejam eles hospedados na cloud ou no local, e oferecer recomendações para remediar quaisquer vulnerabilidades identificadas. Os recursos de descoberta geralmente são necessários para cumprir as exigências de conformidade regulamentar.
  • Monitoramento de atividade de dados: a solução deve ser capaz de monitorar e auditar todas as atividades de dados em todos os bancos de dados, independentemente de sua implementação ser local, na cloud ou em um contêiner. Ele deve alertar sobre atividades suspeitas em tempo real para que você possa responder às ameaças mais rapidamente. Você também vai querer uma solução que possa aplicar regras, políticas e separação de tarefas e que ofereça visibilidade sobre o status de seus dados por meio de uma interface com o usuário abrangente e unificada. Certifique-se de que qualquer solução que você escolher possa gerar os relatórios de que você precisa para atender aos requisitos de conformidade.
  • Recursos de criptografia e tokenização: em caso de violação, a criptografia oferece uma linha final de defesa contra o comprometimento. Qualquer ferramenta que você escolher deverá incluir recursos de criptografia flexíveis que possam proteger os dados em ambientes locais, em cloud, híbridos ou multicloud. Procure uma ferramenta com recursos de criptografia de arquivos, volumes e aplicativos que estejam em conformidade com os requisitos de conformidade do seu setor, que podem exigir tokenização (mascaramento de dados) ou recursos avançados de gerenciamento de chaves de segurança.
  • Otimização de segurança de dados e análise de risco:uma ferramenta que pode gerar insights contextuais combinando informações de segurança de dados com análises avançadas permitirá que você realize otimização, análise de risco e relatórios com facilidade. Escolha uma solução que possa reter e sintetizar grandes quantidades de dados históricos e recentes sobre o status e a segurança de seus bancos de dados e procure uma que ofereça exploração de dados, auditoria e recursos de relatório por meio de um dashboard de autoatendimento abrangente, mas de fácil manipulação.

Segurança do banco de dados e IBM Cloud

Os bancos de dados em cloud gerenciados pela IBM apresentam recursos de segurança nativos fornecidos pelo IBM Cloud Security, incluindo identidade integrada e gerenciamento de acesso, visibilidade, inteligência e recursos de proteção de dados. Com um banco de dados de cloud gerenciado pela IBM, você pode ficar tranquilo sabendo que seu banco de dados está hospedado em um ambiente inerentemente seguro e que sua carga administrativa será muito menor.

A IBM também oferece a plataforma de proteção de dados mais inteligente IBM Security Guardium, que incorpora descoberta de dados, monitoramento, criptografia e tokenização e otimização de segurança e recursos de análise de risco para todos os seus bancos de dados, data warehouses, compartilhamentos de arquivos e plataformas de big data, estejam eles hospedados no local, na cloud ou em ambientes híbridos.

Além disso, a IBM oferece Data Security Services for Cloud gerenciado, que inclui descoberta e classificação de dados, monitoramento de atividade de dados e criptografia e recursos de gerenciamento de chaves para proteger seus dados contra ameaças internas e externas por meio de uma abordagem simplificada de mitigação de risco.

Você pode começar inscrevendo-se em uma conta da IBM Cloud hoje mesmo.