LPDD: Oito camadas para uma efetiva proteção de dados
4 minutos de leitura
Este texto tem o objetivo de apresentar algumas camadas de proteção que podem auxiliar na jornada de proteção de dados.
No primeiro artigo, expus algumas proteções que podem ser aplicadas no Endpoint. Se quiser conferir, clique aqui.
Neste artigo, vou expor algumas proteções que podem ser implementadas na camada de servidores:
> AV / EDR: são soluções que protegem os servidores de malwares, que tem como objetivo realizar algumas ações, como: corromper arquivos, criptografar os dados, sequestrar dados, entre outros. Dessa forma, é possível abrir portas para acessos remotos (callback) onde o atacante poderá realizar evasão de informações dos servidores, sejam elas pessoais, sensíveis ou corporativas.
> Acesso à internet de forma restrita: muitas vezes servidores têm a necessidade de se comunicar com a internet para realizar algumas atualizações ou conexões diversas. Mas, o grande erro que encontremos, são liberações “any” no Firewall, devido a alteração constante de IPs do destino. Sendo assim, uma sugestão é utilizar uma solução que possa fazer um papel de “proxy de serviço” para liberar apenas o servidor para a URL no destino necessário.
> Virtual Patch: outro ponto muito importante é a velocidade que os times técnicos têm para realizar a aplicação de Patches no ambiente corporativo. Muitas vezes, devido a possíveis impactos que podem gerar no ambiente, Patches de segurança ficam dias e até meses para serem implantados. Desta forma, soluções de HIPS (Host Intrusion Prevention System) auxiliam na proteção de vulnerabilidades provocadas pela ausência dos patches, dando assim um tempo maior para aplicação dos Patches pendentes. Vale lembrar que a solução é apenas temporária.
> Monitoração dos servidores: quando pensando no tripé de Segurança, um dos pontos relevantes é a disponibilidade, que somente pode ser aferida com soluções que monitoram a disponibilidade e o tempo de resposta da aplicação. Este tipo de solução é importante pois pode ser utilizada para monitorar desvios de comportamentos em ataques do tipo DDoS (Distributed Denial of Service), ou até mesmo quando os servidores estiverem sendo utilizados para minerar bitcoins.
> File Integrity Monitor (FIN): Esta solução, que normalmente é exigida para quem tem a certificação PCI, permite a monitoração da integridade de arquivos críticos dentro dos servidores.
> Microssegmentação: Várias empresas possuem problemas de legados – as redes são muito complexas e a possibilidade de segmentar por VLANs pode ser um caos, gerando inúmeros incidentes em produção. Assim, a solução de microssegmentação possibilita que o servidor agregue as redes de forma lógica, indo além da segregação, uma vez que algumas soluções permitem a segregação a nível de serviço, possibilitando assim a Nano-segmentação.
> Proteção em Banco de Dados: para estes servidores em questão existem um conjunto específicos de proteções, como:
• DAM (Data Activity Monitor): com esta solução, é possível realizar o monitoramento inline, detectar e proteger os acessos e as consultas aos bancos de dados. É possível fazer esta monitoração com recursos nativos do próprio Banco de Dados. Contudo, a habilitação destes recursos pode gerar reclamações dos times de infraestrutura sobre possíveis impactos de performance nos serviços.
• Pseudomização / criptografia dos dados: Para realizar a criptografia dos dados salvos é possível habilitar a função nativa dos bancos de dados, chamada de TDE (Transparent Data Encryption). Porém, esbarramos com os mesmos problemas do caso anterior. Sendo assim, existe soluções instaladas no mesmo modelo inline que proporcionam este tipo de proteção – os dados são armazenados de forma criptografada nas instâncias selecionadas para a devida proteção.
Vejam que para uma efetiva proteção de dados na camada de servidores, não basta ter uma única solução. Somente com um conjunto de ferramentas há possibilidade de prover a proteção de dados necessária, de forma que cada uma faça o seu papel.
Espero que este artigo possa ajudar na longa jornada do LDPD, além de oferecer argumentações suficientes para mostrar ao BACEN (Bancos e Instituições financeiras) através da 4.658 e ao Ministério Público, que as ações estão sendo realizadas no caminho correto.
Afinal, não existe segurança 100%, mas sim diversos esforços para aumentar a proteção de sua empresa.