É por isso que as empresas precisam estar um passo à frente quando o assunto é segurança, o que praticamente obriga a investimentos constantes nessa área. Só com a implementação de uma estratégia de segurança multicamada e de atualização constante é possível proteger, não apenas as redes e aplicações, mas também a própria base de dados, que nem sempre é olhada de uma forma mais cuidadosa.
Um equívoco bastante comum entre as empresas é achar que se a rede e as aplicações estão protegidas, então a base de dados também está. Se o objetivo de um atacante está exatamente em acessar os dados usados pelas empresas, é claro que o mais provável é que suas ações se dirijam às informações armazenadas em bancos de dados. Mas nem todos atentam para o fato de que tais dados armazenados necessitam de proteção específica.
Analisando anualmente milhares de violações ocorridas em redes empresariais e de governos, equipes de especialistas em segurança da Trustwave identificaram as principais técnicas de ataques utilizadas pelos criminosos em busca de acesso a informações de valor.
Essas metodologias incluem, por exemplo, lançamentos de ataque via phishing e exploração de falhas na segurança para a infiltração de ameaças do tipo zero-day. Outros artifícios muito usados são a extração de senhas diretamente dos colaboradores e o velho truque de injeção de ameaças SQL standby. Uma vez que um atacante consegue obter acesso a um único ponto de entrada da rede, todas as defesas ao longo do perímetro são fragorosamente derrotadas.
Portanto, somente a existência de controles internos de segurança pode garantir a continuidade da defesa contra estes invasores. Então, se o seu banco de dados não estiver guarnecido de uma proteção específica, basta que o atacante encontre uma pequena brecha de perímetro para que o jogo esteja totalmente perdido para a empresa atacada.
Durante a execução de nossos testes de invasão em redes e aplicações, o que mais temos encontrado, em empresas de todos os tamanhos, são bancos de dados totalmente expostos, atrás de redes e aplicações muitas vezes bem protegidas mas, claro, nunca infalíveis.
Estes testes de penetração, aliás, são úteis justamente por ajudar as empresas a identificar e corrigir os pontos fracos na segurança de seus ativos antes que seja tarde demais. E é através deles que pudemos constatar que a maioria das empresas deixa ao menos uma porta aberta em direção ao seu banco de dados. Elas confiam tanto na segurança da rede que nunca aprenderam como proteger a base de informações propriamente dita e, com isto, presenteiam os criminosos com acesso fácil e silencioso a informações privadas de alto valor para o crime.
Para atingir níveis de segurança compatíveis, as empresas precisam pensar como pensa um criminoso. E, a partir daí, desenvolver defesas em torno de todos os aspectos de sua infraestrutura que envolvam dados valiosos; em especial os bancos de dados. Só com uma abordagem especificamente focada em bancos de dados e em segurança de aplicações, em complemento à segurança direcionada ao perímetro da rede, pode-se criar uma postura de defesa adequada às várias camadas do ambiente informacional. Nessa abordagem, quanto mais perto um atacante chegar do alvo, mais difícil se tornará para ele atingir os pontos mais estratégicos e mais difícil ainda permanecer no ambiente sem ser detectado.
A seguir, listamos as cinco principais medidas de segurança que as empresas devem adotar para ajudar a proteger seu banco de dados.
1. Comece descrevendo um plano de segurança claro e objetivo para seu banco de dados. Nele devem estar detalhadas todas as providências e aparatos que serão usados para proteger as bases de dados. Atribua responsabilidades a todas as partes interessadas e faça isto constar em seu plano.
2. Realize uma avaliação de risco para localizar as bases de dados que contêm informações sensíveis e identificar vulnerabilidades ou políticas de segurança mal configuradas.
3. Implante proteções para aplicações web que impeçam o acesso também ao banco de dados. Lance mão de aplicações de firewall para Web e de práticas seguras de codificação.
4. Instale tecnologias que limitem privilégios de acesso à rede, aplicações e banco de dados, apenas àquelas pessoas que realmente necessitam acessá-las.
5. Finalmente, bancos de dados precisam ser constantemente monitorados contra ataques, abusos e uso inadequado. E se um problema ocorrer, um plano de resposta a incidentes deve estar pronto para ser colocado em ação imediatamente.
As empresas podem até avaliar que não dispõe, dentro de casa, da mão de obra ou do conjunto de competências necessárias para efetivamente gerir esse tipo de plano de segurança. Se for esse o caso, elas devem cogitar aumentar o seu pessoal disponível. Isto pode ser feito por meio de parceria com uma equipe de especialistas terceirizada, cuja única responsabilidade é ajudar a garantir que as ferramentas de segurança mais eficazes estejam instaladas e funcionando corretamente, a fim de evitar o comprometimento dos dados.
Tomar essas precauções pode significar a diferença entre um ataque frustrado e ser a próxima vítima de uma grande violação de dados.
Joshua Shaul é diretor de serviços gerenciados da Trustwave*
Leia mais:
Gateway de pagamento evita prejuízo ao lojista
A nova lei anticorrupção e seus impactos nos códigos de conduta das empresas
Loja Marisa reduz custos, diminui inadimplencia e previne fraudes com tecnologia
