EUA Curtir 6 Rating 0 (0 votaram) crdito: Thinkphoto Home Segurana Crimes Virtuais cisco | hacker | McAfee | Pesquisa | Verizon Na Pr t ica | 12 de abril de 2012 Como prevenir vazamento de dados em sua organizao Dados encontram brechas aci dentais ou mal iciosas. Aqui esto al gumas dicas para ajudar a manter informaes si gil osas seguras O que preocupa a TI: um hacker que se esconde pelos cantos da internet ou o Bob, que trabalha no financeiro? Os dois. Os funcionrios da empresa so to ameaadores quando cibercriminosos, de acordo com a pesquisa Segurana Estratgica, realizada pela InformationWeek EUA, com profissionais de tecnologia do negcio. De qualquer forma, ameaas internas representam apenas uma frao de todos os ataques apenas 4%, de acordo com o Relatrio 2012 de Investigaes sobre Vazamento de Dados da Verizon. Ento, por que tanto alvoroo? Porque os funcionrios tm acesso a informaes crticas da empresa, e existem dezenas de formas como eles podem roub-las. E esses ataquem tm impacto significativo. No ano passado, um funcionrio do Bank of America enviou informaes de centenas de clientes a ladres de identidade, que usaram essas informaes para roubar dinheiro dessas contas. O roubo totalizou US$ 10 milhes, sem falar sobre as repercusses pblicas aps o incidente. A posio das ameaas internas composta pelo fato de que a TI tende a focar na segurana do permetro da rede contra ataques externos e d pouca ateno s atividades maliciosas que podem acontecer dentro da rede. A crescente mobilidade de dados corporativos e dispositivos torna roubos internos ainda mais fceis. Obviamente, hora das empresas repensarem as estratgias de segurana para cobrir tanto hackers maliciosos quanto o Bob, no cubculo 3B. Ameaas internas podem ser intencionais ou acidentais e, geralmente, um nico conjunto de controles pode ser usado para mitigar ambas. So trs camadas alvo para lidar com ameaas internas: rede, dispositivo host e as pessoas que geram, manipulam e movimentam dados de um lugar para o outro. Na camada da rede, os controles devem ser capazes de analisar trfego da rede para detectar e, quando possvel, prevenir a transmisso de dados sigilosos. Proteo baseada em host inclui anti-malware, criptografia, mudana de gesto Lei a Tambm Pesquisa TI acredita que nuvem ser to i mpactante quanto vi rtuali zao e i nter net Na Pr t ica Comunic aes unifi cadas ter o funes sociai s? Proteo de dados Segur ana da i nfor mao em sade ainda pr ecisa amadur ecer Page 1 of 4 12/04/2012 e outros controles de segurana. O elemento de defesa mais difcil o fator humano implantar polticas e treinamento para educar funcionrios sobre a melhor forma de lidar com dados sigilosos. Aqui esto alguns passos para assegurar essas camadas. Tr anque a rede Os dois caminhos mais comuns de movimentao de dados para fora da empresa so e-mail e a web. Ambos so possibilidades para vazamento de dados malicioso ou acidental e a inteno pode no ser to bvia primeira vista. Funcionrios usando contas de e-mail corporativas podem, acidentalmente, enviar arquivos sigilosos a endereos errados. Enquanto isso, algum que queira roubar informaes sigilosas pode usar uma conta de e-mail web pessoal ou subir informaes em um site de compartilhamento de arquivos. Assim, a segurana de gateways de comunicao de e-mail e web uma importante forma de defesa inicial contra brechas acidentais ou maliciosas. Esses gateways so comumente usados para inspecionar trfego de entrada de spam e malware, mas tambm podem ser usados para monitorar trfego de sada. Uma porta interna de segurana instalada para agir como relay, ou proxy, para trfego de e-mail ou web gerado por funcionrios. Ofertas de gateways de vendedores como Barracuda Networks, Cisco IronPort, McAfee e WebSense tm funes de proteo contra perda de dados. Conforme o trfego passa pelo gateway, o mdulo DLP inspeciona em busca de termos determinados como sigilosos dentro da empresa. Ele tambm busca por padres envolvendo tipos especficos de dados, como nmero de carto de crdito ou identidade, ou rtulos de classificao especficos em arquivos que no devem deixar a rede corporativa. Se esse tipo de dado encontrado deixando a rede, alertas so emitidos. O trfego seria, ento, bloqueado e o usurio, notificado. Alertas sobre possveis violaes de poltica podem ser enviados para uma variedade de destinatrios, incluindo equipe de segurana, recursos humanos e supervisor do usurio. Alm de analisar trfego web e de e-mail, os produtos DLP baseados em rede podem monitorar protocolos e servios, incluindo mensagens instantneas, sites de rede social, compartilhamento de arquivo peer-to-peer e File Transfer Protocol. No entanto, criptografia pode cegar DLP e outros produtos de segurana de gateway. Se os usurios forem expertos o bastante para criptografar os dados antes de envi-los ou se usarem um mtodo de transmisso de rede criptografada, como SSH/SCP ou Tor, o dado passa pelo DLP baseado em rede. Para ajudar a lidar com essa limitao, os produtos DLP geralmente incluem opes para DLP baseado em host ou storage, o que vamos discutir mais pra frente. Outra opo na camada de rede sistema de deteco de anomalia comportamental, de empresas como a Lancope e a Riverbed Technologies. Esses produtos criam uma base de referncia das atividades normais da rede e enviam alertas quando as atividades se desviam desse parmetro. Por exemplo, digamos que um computador na rede, geralmente, toca outros 12 computadores e servidores e transfere cerca de 100 ou 200 MB por dia. Se um dia esse computador tocar 20 ou mais sistemas e transferir 500 MB de um servidor de dados ou banco de dados, o sistema de anomalia comportamental alerta um administrador. O Centro de Ameaas Internas CERT, da Universidade Carnegie Mellon, identificou diversos comportamentos de ataques internos, um deles mostra que os ataques internos normalmente acontecem 30 dias antes de o funcionrio deixar a empresa. Eles baixam dados de um servidor da empresa para sua estao de trabalho, enviam por e-mail ou copiam em CD ou disco removvel. Seria no momento do download de tais dados que o sistema de deteco de anomalias na rede detectaria e alertaria sobre as atividades do usurio. Porm, sistemas de deteco de anomalia comportamental tm seus defeitos. Por exemplo, eles no podem enviar um alerta dizendo Parece que o Bob tentou roubar alguns registros. Em vez disso, a TI recebe relatrios sobre comportamento estranho de aplicativos e rede, e cabe a equipe de segurana investigar. O que significa fuar em logs, revisar atividade de rede e conversar com pessoas. As investigaes podem descobrir apenas atividade fora do normal, porm inofensiva. As equipes de TI e segurana devem estar preparadas para investir tempo e esforos para lidar com o sistema de deteco de anomalia, analisando relatrios e investigando alertas para valorizar tal sistema. Page 2 of 4 12/04/2012 A TI tambm pode usar ferramentas criadas para vigiar anomalias em bancos de dados. Eles so o principal alvo de ataques internos porque contm importantes informaes corporativas. Produtos de monitoramento de atividade de bando de dados de fornecedores como a Imperva e IBM podem oferecer viso sobre as atividades entre usurios e servidores de banco de dados. Produtos DAM operando na camada de rede ou de host podem detectar comportamento fora do normal como um usurio acessando 1.000 registros quando aquela pessoa geralmente acessa apenas 30 ou 40 por dia. Pr otej a o Host Sistemas host, como o laptop e o tablet do usurio, tambm precisam ser protegidos contra brechas intencionais ou acidentais. Criptografia uma forma eficiente de faz-lo; 64% dos entrevistados pela pesquisa Segurana Estratgica classificaram a criptografia como muito eficiente na proteo de empresas contra ameaas de segurana. Criptografar laptops, mdias removveis e dispositivos mveis pode prevenir grande parte das brechas causadas pela perda ou roubo de computadores ou dispositivos mveis. Polticas devem ser configuradas e controles, instalados para reforar a criptografia, junto com polticas de senhas fortes e a habilidade de apagar remotamente dados de dispositivos perdidos. A criptografia tambm pode ser aplicada com base no contedo do arquivo sendo copiado para um disco removvel, smartphone e e-mail. Produtos como o Mobile Guardian, da Credant e o Total Protection for Data, da McAfee, podem criptografar dados de forma proativa conforme so transferidos para dispositivos mveis ou mdias removveis. Como bnus, a lei de alguns estados (Americanos) sobre brechas de dados, isenta empresas da obrigao de notificar usurios caso os dados estivessem criptografados quando roubados ou perdidos. Empresas com forte necessidade de segurana podem bloquear absolutamente o uso de mdias removveis, como pendrives. Muitas sutes de proteo de endpoint, como Symantec Endpoint Protection e McAfee DLP, podem bloquear todos os discos removveis USB ou permitir que apenas certos dispositivos sejam usados. Colocar controles de acesso apropriados e verificao em fontes de dados sigilosos, como servidores de arquivos, tambm pode afastar intrusos. Uma opo habilitar verificao bsica de pastas e arquivos, o que vai rastrear todas as tentativas de elevao de privilgio de acesso e instalao de software. Isso parece fcil, mas o desafio que muitas empresas no compreendem completamente onde os dados sigilosos so guardados. Sem saber disso, verificao de pastas de arquivos tem valor limitado. O primeiro passo identificar exatamente onde os dados sigilosos so armazenados. Produtos DLP tm capacidades de enumerao de dados para ajudar a TI a identificar onde contedo como nmero de identidade, registros mdicos e dados de carto de crdito so armazenados. Uma vez que os dados so identificados, consolidados e assegurados com as permisses apropriadas de usurio, ento a verificao de pastas e arquivos pode ser habilitada e registrada por meio de uma ferramenta central de logs ou SIEM (Security Information and Event Management). possvel configurar alertas para quando ocorrem falhas de acesso e para quando um usurio de fora do grupo privilegiado consegue acessar um servidor que armazena dados sigilosos. Monitorar alteraes em configurao de estaes de trabalho e servidores e enviar alertas sobre eles tambm um passo importante. Essas mudanas podem indicar que funcionrios maliciosos esto agindo ou que esto preparando um ataque ao elevar os privilgios de suas estaes de trabalho para nvel de administrador, adicionando hardware para copiar dados ou tentando cobrir os rastros ao apagar e desabilitar logs. Entre ferramentas SIEM e software de gerenciamento especializado em alteraes, que podem enviar alertas conforme as mudanas ocorrem, esto Tripwire Policy Manager e NetIQ Secure Configuration Manager. Um benefcio a mais resultante da utilizao de uma ferramenta de gerenciamento de configurao e alterao que eles geralmente incluem gerenciamento de carga de trabalho para direcionar, aprovar e remediar alteraes realizadas. Por fim, a TI deve se lembrar de registrar informaes de segurana, revisar os logs e agir sobre os dados descobertos ali. Considere essa concluso sobre o Relatrio 2011 de Investigaes sobre Vazamento de Dados da Verizon: Frequentemente, evidncias de eventos que levavam a brechas estavam disponveis para a vtima, mas tal informao no foi notada ou levada ao. No Relatrio 2012 da Verizon, a tendncia continua: 84% das vtimas no estudo possuam evidncias de uma brecha em seus logs. Tal estatstica reflete a falha na monitorao apropriada e na ao Page 3 of 4 12/04/2012 sobre logs existentes que poderiam ter detectado ataques internos, e por isso que uma das principais recomendaes da Verizon esse ano para grandes empresas : monitore e analise logs de eventos. O Fator Humano A pesquisa mostrou que a grande maioria dos ataques maliciosos internos causada por funcionrios insatisfeitos e funcionrios que planejam deixar a empresa devido a cortes esperados ou por ter um novo emprego. Mas, mesmo que no haja qualquer tipo de insatisfao ou rancor, usurios caem em ataques de phishing e clicam em links maliciosos em redes sociais, o que leva a brechas. O elemento humano o mais difcil de assegurar. O primeiro passo quando se trata de assegurar pessoal estabelecer polticas bem definidas e de fcil compreenso. Infelizmente, com base em minha experincia com diversas arquiteturas de segurana e reviso de polticas, muitas empresas falham nesse ponto. Polticas tendem a serem longas, complicadas e difceis para o funcionrio mediado ler e entender. O resultado que os funcionrios leem a poltica, mas no a obedecem porque no a compreendem, ou nem sequer leem. No crie polticas apenas para ticar um item em uma lista de auditoria ou compliance. Em vez disso, d a seus funcionrios direes sobre requerimentos e comportamento esperado e defina, de forma explcita, atividades proibidas. Tenha certeza de que sua poltica cobre prticas de contratao, como levantamento de histrico; classificao e manuseio de dados; uso aceitvel dos recursos da empresa; conscincia sobre segurana; e treinamento. Estabelea polticas de classificao de dados e prticas que definam quais sistemas tm permisso para armazenar tipos particulares de dados, como os dados podem ser transmitidos pela rede, qualquer requerimento para criptografia e se eles podem ser armazenados em dispositivos mveis e discos removveis. Funcionrios que lidam diretamente com dados sigilosos e sistemas que armazenam esses dados devem ser atualizados, frequentemente, sobre as polticas de classificao de dados. Treinamento essencial se quiser que seus funcionrios adotem as polticas. Recursos disponveis para ajudar empresas a criar programas de treinamento incluem o Programa Securing The Human, do Instituto SANS, e o Corporate Security Awareness Training, da equipe Offensive Security. E o relatrio da InformationWeek EUA, Security: Get Users To Care traz dicas prticas sobre como fazer com que funcionrios adotem as polticas de segurana da empresa. A segurana fsica geralmente ignorada quando se pensa em prevenir ataques internos, mas roubo um crime de oportunidade. Se quiser monitorar locais sigilosos e limitar o acesso de funcionrios, reduza as oportunidades. Feche a PortaPrevenir ameaas internas exige observar possveis exploraes tecnolgicas e monitorar, constantemente, o comportamento humano. uma combinao difcil, especialmente quando os internos tm acesso a dados sigilosos. O ponto chave est em compreender os ataques, as possveis motivaes e as principais reas em que o controle pode ser mais eficiente. Comece identificando e priorizando a informao que precisa proteger e, ento, adicione ou expanda os controles tecnolgicos onde for mais apropriado, em sua rede ou em sistemas host. E no se esquea do fator humano. Crie polticas que as pessoas compreendam e possam seguir. Treine funcionrios em ambientes seguros. E seja vigilante no monitoramento das atividades dos usurios. Uma abordagem em camadas, usando controles de segurana em rede, host e funcionrios podem ajudar muito a reduzir as ameaas internas. Como diz o relatrio 2012 da Verizon pelo terceiro ano consecutivo, quase todas as brechas internas so resultados de aes maliciosas e deliberadas. Para fechar a porta da ameaa interna de uma vez por todas, seus esforos de segurana devem ser to deliberados quanto. Page 4 of 4 12/04/2012