O que é a segurança do banco de dados?

A segurança do banco de dados deve lidar com e proteger o seguinte:

• Os dados no banco de dados.
  
• O sistema de gerenciamento do banco de dados (DBMS).
  
• Quaisquer aplicações associadas.
  
• O servidor do banco de dados físico ou o servidor do banco de dados virtual e o hardware subjacente.
  
• A infraestrutura de computação ou rede usada para acessar o banco de dados.

A segurança do banco de dados é uma tarefa complexa e desafiadora que envolve todos os aspectos das tecnologias e práticas de segurança da informação. Também está naturalmente em desacordo com a usabilidade do banco de dados. Quanto mais acessível e utilizável for o banco de dados, mais vulnerável será a ameaças à segurança; quanto mais invulnerável for o banco de dados a ameaças, mais difícil será de acessar e usar. Este paradoxo às vezes é chamado de Regra de Anderson.

Por definição, uma violação de dados é uma falha em manter a confidencialidade dos dados em um banco de dados. A extensão dos danos que uma violação de dados causa à sua empresa depende de várias consequências ou fatores:

• Propriedade intelectual comprometida: sua propriedade intelectual (segredos comerciais, invenções, práticas proprietárias) pode ser crítica para sua capacidade de manter uma vantagem competitiva em seu mercado. Se essa propriedade intelectual for roubada ou exposta, pode ser difícil ou impossível manter ou recuperar sua vantagem competitiva.
  
  
• Danos à reputação da marca: clientes ou parceiros podem não querer comprar seus produtos ou serviços (ou fazer negócios com sua empresa) se não sentirem que podem confiar em você para proteger seus dados ou os deles.
  
  
• Continuidade de negócios (ou falta dela): algumas empresas não podem continuar a operar até que uma violação seja resolvida.
  
  
• Multas ou penalidades por não conformidade: o impacto financeiro pelo não cumprimento de regulamentações globais, como a Lei Sarbannes-Oxley (SAO) ou a Payment Card Industry Data Security Standard (PCI DSS), regulamentações de privacidade de dados específicos de setores, como HIPAA, ou regulamentações de privacidade de dados regionais, como o General Data Protection Regulation (GDPR) da Europa, pode ser devastador, com multas nos piores casos ultrapassando vários milhões de dólares por violação.
  
  
• Custos de reparação de violações e notificação de clientes: além do custo de comunicação de uma violação ao cliente, uma organização violada deve pagar por atividades forenses e investigativas, gerenciamento de crise, triagem, reparo dos sistemas afetados e muito mais.

Muitas configurações incorretas de software, vulnerabilidades ou padrões de descuido ou uso indevido podem resultados em violações. A seguir encontram-se alguns dos tipos ou causas mais comuns de ataques de segurança do banco de dados.

Uma ameaça interna é uma ameaça à segurança de qualquer uma das três fontes com acesso privilegiado ao banco de dados:

• Um agente interno malicioso que pretende causar dano.
  
• Um agente interno negligente que comete erros que tornam o banco de dados vulnerável a ataques.
  
• Um infiltrado, um estranho que, de alguma forma, obtém credenciais por meio de um esquema, como phishing, ou obtém acesso ao próprio banco de dados de credenciais.

As ameaças internas estão entre as causas mais comuns de violações de segurança do banco de dados e geralmente são o resultado de permitir que funcionários demais tenham credenciais privilegiadas de acesso de usuários.

Acidentes, senhas fracas, compartilhamento de senhas e outros comportamentos imprudentes ou desinformados do usuário continuam sendo a causa de quase metade (49%) de todas as violações de dados relatadas.

Os hackers ganham a vida encontrando e visando vulnerabilidades em todos os tipos de software, incluindo software de gerenciamento do banco de dados. Todos os principais fornecedores de software do banco de dados comerciais e plataformas de gerenciamento do banco de dados de código aberto emitem patches de segurança regulares para lidar com essas vulnerabilidades, mas não aplicar esses patches em tempo hábil pode aumentar sua exposição.

Uma ameaça específica do banco de dados, que envolve a inserção de cadeias de caracteres de ataque arbitrárias SQL ou não SQL em consultas do banco de dados atendidas por aplicações da web ou cabeçalhos HTTP. As organizações que não seguem práticas seguras de programação de aplicações da web e não realizam testes regulares de vulnerabilidade estão abertas a esses ataques.

O estouro de buffer ocorre quando um processo tenta escrever mais dados em um bloco de memória de comprimento fixo do que ele tem permissão de reter. Os invasores podem usar o excesso de dados, que é armazenado em endereços de memória adjacentes, como base para iniciar ataques.

Malware é um software escrito especificamente para aproveitar vulnerabilidades ou causar danos de outra forma ao banco de dados. O malware pode chegar por meio de qualquer dispositivo de endpoint conectado à rede do banco de dados.

Organizações que não protegem os dados de backup com os mesmos controles rigorosos usados para proteger o próprio banco de dados podem ficar vulneráveis a ataques a backups.

Essas ameaças são exacerbadas pelo seguinte:

• Volumes de dados crescentes: a captura, o armazenamento e o processamento de dados continuam crescendo exponencialmente em quase todas as organizações. Todas as ferramentas ou práticas de segurança de dados precisam ser altamente escaláveis para atender às necessidades futuras próximas e distantes.
  
  
• Expansão da infraestrutura: os ambientes de rede estão se tornando cada vez mais complexos, principalmente à medida que as empresas migram cargas de trabalho para arquiteturas multinuvem ou de nuvem híbrida , tornando a escolha, a implementação e o gerenciamento de soluções de segurança cada vez mais desafiadores.
  
  
• Requisitos regulatórios cada vez mais rigorosos: o cenário mundial de conformidade regulatória continua crescendo em complexidade, dificultando o cumprimento de todas as exigências.
  
  
• Escassez de habilidades em cibersegurança: especialistas preveem que pode haver até oito milhões de cargos de cibersegurança vagos até 2022.

Em um ataque de denial-of-service (DoS), o invasor sobrecarrega o servidor de destino (nesse caso, o servidor do banco de dados) com tantas solicitações que o servidor não consegue mais atender às solicitações legítimas dos usuários reais e, muitas vezes, o servidor se torna instável ou trava.

Em um ataque de distributed denial-of-service (DDoS), a sobrecarga vem de vários servidores, tornando mais difícil interromper o ataque.

Como os bancos de dados são acessíveis pela rede, qualquer ameaça à segurança de qualquer componente dentro ou parte da infraestrutura de rede também é uma ameaça ao banco de dados, e qualquer ataque que afete o dispositivo ou a estação de trabalho de um usuário pode ameaçar o banco de dados. Portanto, a segurança do banco de dados deve se estender muito além dos limites do banco de dados isoladamente.

Ao avaliar a segurança do banco de dados em seu ambiente para decidir sobre as principais prioridades da sua equipe, considere cada uma das seguintes áreas:

• Segurança física: quer seu servidor do banco de dados esteja no local ou em um data center na nuvem, ele deve estar localizado em um ambiente seguro e climatizado. Se seu servidor do banco de dados estiver em um data center na nuvem, seu provedor de nuvem cuidará disso para você.
  
  
• Controles de acesso administrativo e à rede: o número mínimo prático de usuários deve ter acesso ao banco de dados, e suas permissões devem ser restritas aos níveis mínimos necessários para que realizem seus trabalhos. Da mesma forma, o acesso à rede deve ser limitado ao nível mínimo de permissões necessárias.
  
  
• Segurança de contas e dispositivos de usuários: esteja sempre ciente de quem está acessando o banco de dados e quando e como os dados estão sendo usados. As soluções de monitoramento de dados podem alertar você se as atividades de dados forem incomuns ou parecerem arriscadas. Todos os dispositivos de usuários que se conectam à rede que hospeda o banco de dados devem estar fisicamente seguros (nas mãos somente do usuário certo) e sujeitos a controles de segurança em todos os momentos.
  
  
• Criptografia: todos os dados, inclusive os dados no banco de dados e os dados das credenciais, devem ser protegidos com a melhor criptografia da categoria enquanto estão em repouso e em trânsito. Todas as chaves de criptografia devem ser tratadas de acordo com as diretrizes de melhores práticas.
  
  
• Segurança do software do banco de dados: sempre use a versão mais recente do seu software de gerenciamento do banco de dados e aplique todos os patches quando forem emitidos.
  
  
• Segurança de aplicações e servidores da web: qualquer aplicação ou servidor da web que interaja com o banco de dados pode ser um canal para ataque e deve estar sujeito a testes de segurança e gerenciamento de melhores práticas contínuos.
  
  
• Segurança de backups: todos os backups, cópias ou imagens do banco de dados devem estar sujeitos aos mesmos controles de segurança (ou igualmente rigorosos) que o próprio banco de dados.
  
  
• Auditoria: registre todos os logins no servidor do banco de dados e no sistema operacional, e registre também todas as operações realizadas com dados confidenciais. Auditorias de normas de segurança do banco de dados devem ser realizadas regularmente.

Além de implementar controles de segurança em camadas em todo o ambiente de rede, a segurança do banco de dados exige que você estabeleça os controles e as políticas corretos para acesso ao próprio banco de dados. Isso inclui:

• Controles administrativos para governar o gerenciamento da instalação, mudança e configuração do banco de dados.
  
  
• Controles preventivos para governar o acesso, a criptografia, a tokenização e o mascaramento.
  
  
• Controles investigativos para monitorar a atividade do banco de dados e as ferramentas de prevenção de perda de dados. Essas soluções permitem identificar e alertar sobre atividades anômalas ou suspeitas.

As políticas de segurança do banco de dados devem ser integradas e apoiar suas metas gerais de negócios, como a proteção de propriedade intelectual crítica e suas políticas de cibersegurança e políticas de segurança na nuvem. Certifique-se de ter designado a responsabilidade de manter e auditar os controles de segurança em sua organização e que suas políticas complementem as de seu provedor de nuvem em contratos de responsabilidade compartilhada. Controles de segurança, programas de treinamento e educação em conscientização de segurança, e estratégias de testes de penetração e avaliação de vulnerabilidades devem ser estabelecidos em apoio às suas políticas formais de segurança.

Atualmente, uma ampla gama de fornecedores oferece ferramentas e plataformas de proteção de dados. Uma solução completa deve incluir todos os seguintes recursos:

• Descoberta: procure uma ferramenta que possa verificar e classificar vulnerabilidades em todos os seus bancos de dados (quer sejam hospedados na nuvem ou no local) e oferecer recomendações para remediar quaisquer vulnerabilidades identificadas. Os recursos de descoberta frequentemente são necessários para estar em conformidade com os requisitos de conformidade regulatória.
  
  
• Monitoramento da atividade de dados: a solução deve ser capaz de monitorar e auditar todas as atividades de dados em todos os bancos de dados, independentemente de sua implementação ser no local, na nuvem ou em um contêiner. Ela deve alertar você sobre atividades suspeitas em tempo real, para que você possa responder às ameaças mais rapidamente. Você também vai querer uma solução que possa impor regras, políticas e separação de funções e que ofereça visibilidade sobre o status de seus dados por meio de uma interface de usuário abrangente e unificada. Certifique-se de que qualquer solução escolhida possa gerar os relatórios necessários para atender aos requisitos de conformidade.
  
  
• Recursos de criptografia e tokenização: após uma violação, a criptografia oferece uma linha final de defesa contra o comprometimento. Qualquer ferramenta que você escolher deve incluir recursos de criptografia flexíveis que possam proteger os dados em ambientes no local, na nuvem, híbridos ou multinuvem. Procure uma ferramenta com recursos de criptografia de arquivos, volumes e aplicações que esteja em conformidade com os requisitos de conformidade de seu setor, o que pode exigir tokenização (mascaramento de dados) ou recursos avançados de gerenciamento de chaves de segurança.
  
  
• Otimização da segurança de dados e análise de riscos: uma ferramenta que pode gerar insights contextuais ao combinar informações de segurança de dados com análise de dados avançada permitirá que você realize a otimização, análise de riscos e geração de relatórios com facilidade. Escolha uma solução que possa reter e sintetizar grandes quantidades de dados históricos e recentes sobre o status e a segurança de seus bancos de dados e procure uma que ofereça recursos de exploração de dados, auditoria e geração de relatórios por meio de um dashboard de autoatendimento abrangente mas fácil de usar.