por

John H. Sawyer | Inf ormat ionWeek

EUA
Curtir
6
Rating 0 (0 votaram)
crdito: Thinkphoto
Home Segurana Crimes Virtuais cisco | hacker | McAfee | Pesquisa | Verizon
Na Pr t ica | 12 de abril de 2012
Como prevenir vazamento de dados
em sua organizao
Dados encontram brechas aci dentais ou mal iciosas.
Aqui esto al gumas dicas para ajudar a manter informaes si gil osas seguras
O que preocupa a TI: um hacker que se esconde pelos cantos da internet ou
o Bob, que trabalha no financeiro? Os dois. Os funcionrios da empresa so
to ameaadores quando cibercriminosos, de acordo com a pesquisa
Segurana Estratgica, realizada pela InformationWeek EUA, com
profissionais de tecnologia do negcio.
De qualquer forma, ameaas internas representam apenas uma frao de
todos os ataques apenas 4%, de acordo com o Relatrio 2012 de
Investigaes sobre Vazamento de Dados da Verizon. Ento, por que tanto
alvoroo? Porque os funcionrios tm acesso a informaes crticas da
empresa, e existem dezenas de formas como eles podem roub-las. E esses ataquem tm impacto significativo. No ano
passado, um funcionrio do Bank of America enviou informaes de centenas de clientes a ladres de identidade, que
usaram essas informaes para roubar dinheiro dessas contas. O roubo totalizou US$ 10 milhes, sem falar sobre as
repercusses pblicas aps o incidente.
A posio das ameaas internas composta pelo fato de que a TI tende a focar na segurana do permetro da rede contra
ataques externos e d pouca ateno s atividades maliciosas que podem acontecer dentro da rede. A crescente
mobilidade de dados corporativos e dispositivos torna roubos internos ainda mais fceis. Obviamente, hora das
empresas repensarem as estratgias de segurana para cobrir tanto hackers maliciosos quanto o Bob, no cubculo 3B.
Ameaas internas podem ser intencionais ou acidentais e, geralmente, um nico conjunto de controles pode ser usado
para mitigar ambas. So trs camadas alvo para lidar com ameaas internas: rede, dispositivo host e as pessoas que
geram, manipulam e movimentam dados de um lugar para o outro.
Na camada da rede, os controles devem ser capazes de analisar trfego da rede para detectar e, quando possvel,
prevenir a transmisso de dados sigilosos. Proteo baseada em host inclui anti-malware, criptografia, mudana de gesto
Lei a Tambm
Pesquisa
TI acredita que
nuvem ser to
i mpactante quanto
vi rtuali zao e
i nter net
Na Pr t ica
Comunic aes
unifi cadas ter o
funes sociai s?
Proteo de dados
Segur ana da
i nfor mao em
sade ainda pr ecisa
amadur ecer
Page 1 of 4
12/04/2012
e outros controles de segurana. O elemento de defesa mais difcil o fator humano implantar polticas e treinamento
para educar funcionrios sobre a melhor forma de lidar com dados sigilosos. Aqui esto alguns passos para assegurar
essas camadas.
Tr anque a rede
Os dois caminhos mais comuns de movimentao de dados para fora da empresa so e-mail e a web. Ambos so
possibilidades para vazamento de dados malicioso ou acidental e a inteno pode no ser to bvia primeira vista.
Funcionrios usando contas de e-mail corporativas podem, acidentalmente, enviar arquivos sigilosos a endereos errados.
Enquanto isso, algum que queira roubar informaes sigilosas pode usar uma conta de e-mail web pessoal ou subir
informaes em um site de compartilhamento de arquivos.
Assim, a segurana de gateways de comunicao de e-mail e web uma importante forma de defesa inicial contra brechas
acidentais ou maliciosas. Esses gateways so comumente usados para inspecionar trfego de entrada de spam e
malware, mas tambm podem ser usados para monitorar trfego de sada. Uma porta interna de segurana instalada para
agir como relay, ou proxy, para trfego de e-mail ou web gerado por funcionrios.
Ofertas de gateways de vendedores como Barracuda Networks, Cisco IronPort, McAfee e WebSense tm funes de
proteo contra perda de dados. Conforme o trfego passa pelo gateway, o mdulo DLP inspeciona em busca de termos
determinados como sigilosos dentro da empresa. Ele tambm busca por padres envolvendo tipos especficos de dados,
como nmero de carto de crdito ou identidade, ou rtulos de classificao especficos em arquivos que no devem
deixar a rede corporativa. Se esse tipo de dado encontrado deixando a rede, alertas so emitidos. O trfego seria, ento,
bloqueado e o usurio, notificado. Alertas sobre possveis violaes de poltica podem ser enviados para uma variedade de
destinatrios, incluindo equipe de segurana, recursos humanos e supervisor do usurio.
Alm de analisar trfego web e de e-mail, os produtos DLP baseados em rede podem monitorar protocolos e servios,
incluindo mensagens instantneas, sites de rede social, compartilhamento de arquivo peer-to-peer e File Transfer Protocol.
No entanto, criptografia pode cegar DLP e outros produtos de segurana de gateway. Se os usurios forem expertos o
bastante para criptografar os dados antes de envi-los ou se usarem um mtodo de transmisso de rede criptografada,
como SSH/SCP ou Tor, o dado passa pelo DLP baseado em rede. Para ajudar a lidar com essa limitao, os produtos DLP
geralmente incluem opes para DLP baseado em host ou storage, o que vamos discutir mais pra frente.
Outra opo na camada de rede sistema de deteco de anomalia comportamental, de empresas como a Lancope e a
Riverbed Technologies. Esses produtos criam uma base de referncia das atividades normais da rede e enviam alertas
quando as atividades se desviam desse parmetro. Por exemplo, digamos que um computador na rede, geralmente, toca
outros 12 computadores e servidores e transfere cerca de 100 ou 200 MB por dia. Se um dia esse computador tocar 20 ou
mais sistemas e transferir 500 MB de um servidor de dados ou banco de dados, o sistema de anomalia comportamental
alerta um administrador.
O Centro de Ameaas Internas CERT, da Universidade Carnegie Mellon, identificou diversos comportamentos de ataques
internos, um deles mostra que os ataques internos normalmente acontecem 30 dias antes de o funcionrio deixar a
empresa. Eles baixam dados de um servidor da empresa para sua estao de trabalho, enviam por e-mail ou copiam em
CD ou disco removvel. Seria no momento do download de tais dados que o sistema de deteco de anomalias na rede
detectaria e alertaria sobre as atividades do usurio.
Porm, sistemas de deteco de anomalia comportamental tm seus defeitos. Por exemplo, eles no podem enviar um
alerta dizendo Parece que o Bob tentou roubar alguns registros. Em vez disso, a TI recebe relatrios sobre
comportamento estranho de aplicativos e rede, e cabe a equipe de segurana investigar. O que significa fuar em logs,
revisar atividade de rede e conversar com pessoas. As investigaes podem descobrir apenas atividade fora do normal,
porm inofensiva. As equipes de TI e segurana devem estar preparadas para investir tempo e esforos para lidar com o
sistema de deteco de anomalia, analisando relatrios e investigando alertas para valorizar tal sistema.
Page 2 of 4
12/04/2012
A TI tambm pode usar ferramentas criadas para vigiar anomalias em bancos de dados. Eles so o principal alvo de
ataques internos porque contm importantes informaes corporativas. Produtos de monitoramento de atividade de bando
de dados de fornecedores como a Imperva e IBM podem oferecer viso sobre as atividades entre usurios e servidores de
banco de dados. Produtos DAM operando na camada de rede ou de host podem detectar comportamento fora do normal
como um usurio acessando 1.000 registros quando aquela pessoa geralmente acessa apenas 30 ou 40 por dia.
Pr otej a o Host
Sistemas host, como o laptop e o tablet do usurio, tambm precisam ser protegidos contra brechas intencionais ou
acidentais. Criptografia uma forma eficiente de faz-lo; 64% dos entrevistados pela pesquisa Segurana Estratgica
classificaram a criptografia como muito eficiente na proteo de empresas contra ameaas de segurana. Criptografar
laptops, mdias removveis e dispositivos mveis pode prevenir grande parte das brechas causadas pela perda ou roubo de
computadores ou dispositivos mveis. Polticas devem ser configuradas e controles, instalados para reforar a criptografia,
junto com polticas de senhas fortes e a habilidade de apagar remotamente dados de dispositivos perdidos.
A criptografia tambm pode ser aplicada com base no contedo do arquivo sendo copiado para um disco removvel,
smartphone e e-mail. Produtos como o Mobile Guardian, da Credant e o Total Protection for Data, da McAfee, podem
criptografar dados de forma proativa conforme so transferidos para dispositivos mveis ou mdias removveis. Como
bnus, a lei de alguns estados (Americanos) sobre brechas de dados, isenta empresas da obrigao de notificar usurios
caso os dados estivessem criptografados quando roubados ou perdidos.
Empresas com forte necessidade de segurana podem bloquear absolutamente o uso de mdias removveis, como
pendrives. Muitas sutes de proteo de endpoint, como Symantec Endpoint Protection e McAfee DLP, podem bloquear
todos os discos removveis USB ou permitir que apenas certos dispositivos sejam usados.
Colocar controles de acesso apropriados e verificao em fontes de dados sigilosos, como servidores de arquivos, tambm
pode afastar intrusos. Uma opo habilitar verificao bsica de pastas e arquivos, o que vai rastrear todas as tentativas
de elevao de privilgio de acesso e instalao de software. Isso parece fcil, mas o desafio que muitas empresas no
compreendem completamente onde os dados sigilosos so guardados. Sem saber disso, verificao de pastas de arquivos
tem valor limitado.
O primeiro passo identificar exatamente onde os dados sigilosos so armazenados. Produtos DLP tm capacidades de
enumerao de dados para ajudar a TI a identificar onde contedo como nmero de identidade, registros mdicos e dados
de carto de crdito so armazenados. Uma vez que os dados so identificados, consolidados e assegurados com as
permisses apropriadas de usurio, ento a verificao de pastas e arquivos pode ser habilitada e registrada por meio de
uma ferramenta central de logs ou SIEM (Security Information and Event Management). possvel configurar alertas para
quando ocorrem falhas de acesso e para quando um usurio de fora do grupo privilegiado consegue acessar um servidor
que armazena dados sigilosos.
Monitorar alteraes em configurao de estaes de trabalho e servidores e enviar alertas sobre eles tambm um passo
importante. Essas mudanas podem indicar que funcionrios maliciosos esto agindo ou que esto preparando um ataque
ao elevar os privilgios de suas estaes de trabalho para nvel de administrador, adicionando hardware para copiar dados
ou tentando cobrir os rastros ao apagar e desabilitar logs.
Entre ferramentas SIEM e software de gerenciamento especializado em alteraes, que podem enviar alertas conforme as
mudanas ocorrem, esto Tripwire Policy Manager e NetIQ Secure Configuration Manager. Um benefcio a mais resultante
da utilizao de uma ferramenta de gerenciamento de configurao e alterao que eles geralmente incluem
gerenciamento de carga de trabalho para direcionar, aprovar e remediar alteraes realizadas.
Por fim, a TI deve se lembrar de registrar informaes de segurana, revisar os logs e agir sobre os dados descobertos ali.
Considere essa concluso sobre o Relatrio 2011 de Investigaes sobre Vazamento de Dados da Verizon:
Frequentemente, evidncias de eventos que levavam a brechas estavam disponveis para a vtima, mas tal informao
no foi notada ou levada ao. No Relatrio 2012 da Verizon, a tendncia continua: 84% das vtimas no estudo
possuam evidncias de uma brecha em seus logs. Tal estatstica reflete a falha na monitorao apropriada e na ao
Page 3 of 4
12/04/2012
sobre logs existentes que poderiam ter detectado ataques internos, e por isso que uma das principais recomendaes da
Verizon esse ano para grandes empresas : monitore e analise logs de eventos.
O Fator Humano
A pesquisa mostrou que a grande maioria dos ataques maliciosos internos causada por funcionrios insatisfeitos e
funcionrios que planejam deixar a empresa devido a cortes esperados ou por ter um novo emprego. Mas, mesmo que no
haja qualquer tipo de insatisfao ou rancor, usurios caem em ataques de phishing e clicam em links maliciosos em redes
sociais, o que leva a brechas. O elemento humano o mais difcil de assegurar.
O primeiro passo quando se trata de assegurar pessoal estabelecer polticas bem definidas e de fcil compreenso.
Infelizmente, com base em minha experincia com diversas arquiteturas de segurana e reviso de polticas, muitas
empresas falham nesse ponto. Polticas tendem a serem longas, complicadas e difceis para o funcionrio mediado ler e
entender. O resultado que os funcionrios leem a poltica, mas no a obedecem porque no a compreendem, ou nem
sequer leem.
No crie polticas apenas para ticar um item em uma lista de auditoria ou compliance. Em vez disso, d a seus funcionrios
direes sobre requerimentos e comportamento esperado e defina, de forma explcita, atividades proibidas. Tenha certeza
de que sua poltica cobre prticas de contratao, como levantamento de histrico; classificao e manuseio de dados; uso
aceitvel dos recursos da empresa; conscincia sobre segurana; e treinamento.
Estabelea polticas de classificao de dados e prticas que definam quais sistemas tm permisso para armazenar tipos
particulares de dados, como os dados podem ser transmitidos pela rede, qualquer requerimento para criptografia e se eles
podem ser armazenados em dispositivos mveis e discos removveis. Funcionrios que lidam diretamente com dados
sigilosos e sistemas que armazenam esses dados devem ser atualizados, frequentemente, sobre as polticas de
classificao de dados.
Treinamento essencial se quiser que seus funcionrios adotem as polticas. Recursos disponveis para ajudar empresas
a criar programas de treinamento incluem o Programa Securing The Human, do Instituto SANS, e o Corporate Security
Awareness Training, da equipe Offensive Security. E o relatrio da InformationWeek EUA, Security: Get Users To Care
traz dicas prticas sobre como fazer com que funcionrios adotem as polticas de segurana da empresa.
A segurana fsica geralmente ignorada quando se pensa em prevenir ataques internos, mas roubo um crime de
oportunidade. Se quiser monitorar locais sigilosos e limitar o acesso de funcionrios, reduza as oportunidades.
Feche a PortaPrevenir ameaas internas exige observar possveis exploraes tecnolgicas e monitorar, constantemente,
o comportamento humano. uma combinao difcil, especialmente quando os internos tm acesso a dados sigilosos. O
ponto chave est em compreender os ataques, as possveis motivaes e as principais reas em que o controle pode ser
mais eficiente. Comece identificando e priorizando a informao que precisa proteger e, ento, adicione ou expanda os
controles tecnolgicos onde for mais apropriado, em sua rede ou em sistemas host.
E no se esquea do fator humano. Crie polticas que as pessoas compreendam e possam seguir. Treine funcionrios em
ambientes seguros. E seja vigilante no monitoramento das atividades dos usurios.
Uma abordagem em camadas, usando controles de segurana em rede, host e funcionrios podem ajudar muito a reduzir
as ameaas internas. Como diz o relatrio 2012 da Verizon pelo terceiro ano consecutivo, quase todas as brechas internas
so resultados de aes maliciosas e deliberadas. Para fechar a porta da ameaa interna de uma vez por todas, seus
esforos de segurana devem ser to deliberados quanto.
Page 4 of 4
12/04/2012