Segurança do banco de dados

Conheça as complexidades da segurança do banco de dados e algumas das práticas, políticas e tecnologias que protegerão a confidencialidade, a integridade e a disponibilidade de seus dados.

O que é segurança de banco de dados

A segurança do banco de dados refere-se à variedade de ferramentas, controles e medidas projetados para estabelecer e preservar a confidencialidade, a integridade e a disponibilidade do banco de dados. Este artigo se concentrará principalmente na confidencialidade, pois é o elemento comprometido na maioria das violações de dados.

A segurança do banco de dados deve abordar e proteger o seguinte:

  • Os dados no banco de dados
  • O sistema de gerenciamento de banco de dados (DBMS)
  • Quaisquer aplicativos associados
  • O servidor de banco de dados físico e/ou o servidor de banco de dados virtual e o hardware subjacente
  • A infraestrutura de computação e/ou rede usada para acessar o banco de dados

A segurança do banco de dados é um empreendimento complexo e desafiador que envolve todos os aspectos das tecnologias e práticas de segurança da informação. Também está naturalmente em desacordo com a usabilidade do banco de dados. Quanto mais acessível e utilizável for a base de dados, mais vulnerável estará a ameaças à segurança; quanto mais invulnerável o banco de dados estiver a ameaças, mais difícil será acessá-lo e usá-lo. (Este paradoxo é por vezes referido como aRegra de Anderson. (link reside fora da IBM)

Por que é importante

Por definição, uma violação de dados é uma falha em manter a confidencialidade dos dados em um banco de dados. Quanto dano uma violação de dados inflige à sua empresa depende de uma série de consequências ou fatores:

  • Propriedade intelectual comprometida: Sua propriedade intelectual – segredos comerciais, invenções, práticas proprietárias – pode ser fundamental para sua capacidade de manter uma vantagem competitiva em seu mercado. Se essa propriedade intelectual for roubada ou exposta, sua vantagem competitiva pode ser difícil ou impossível de manter ou recuperar.
  • Danos à reputação da marca: Os clientes ou parceiros podem não estar dispostos a comprar seus produtos ou serviços (ou fazer negócios com sua empresa) se não sentirem que podem confiar em você para proteger seus dados ou os deles.
  • Continuidade de negócios (ou falta dela): Algumas empresas não podem continuar a operar até que uma violação seja resolvida.
  • Coimas ou sanções por incumprimento: O impacto financeiro por não cumprir os regulamentos globais, como a Lei Sarbannes-Oxley (SAO) ou o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), regulamentos de privacidade de dados específicos do setor, como a HIPAA, ou regulamentos regionais de privacidade de dados, como o Regulamento Geral de Proteção de Dados da Europa (GDPR), pode ser devastador, com multas nos piores casos excedendo vários milhões de dólares_por violação_.
  • Custos de reparação de violações e notificação de clientes: Além do custo de comunicar uma violação ao cliente, uma organização violada deve pagar por atividades forenses e investigativas, gerenciamento de crises, triagem, reparo dos sistemas afetados e muito mais.

Ameaças e desafios comuns

Muitas configurações incorretas de software, vulnerabilidades ou padrões de descuido ou uso indevido podem resultar em violações. A seguir estão entre os tipos ou causas mais comuns de ataques de segurança de banco de dados e suas causas.

Ameaças internas

Uma ameaça interna é uma ameaça à segurança de qualquer uma das três fontes com acesso privilegiado ao banco de dados:

  • Um insider mal-intencionado que pretende causar danos
  • Um insider negligente que comete erros que tornam o banco de dados vulnerável a ataques
  • Um infiltrado – um estranho que, de alguma forma, obtém credenciais por meio de um esquema, como phishing ou obtendo acesso ao próprio banco de dados de credenciais

As ameaças internas estão entre as causas mais comuns de violações de segurança de banco de dados e geralmente são o resultado de permitir que muitos funcionários possuam credenciais de acesso de usuário privilegiado.

Erro humano

Acidentes, senhas fracas, compartilhamento de senhas e outros comportamentos imprudentes ou desinformados do usuário continuam a ser a causa dequase metade (49%) de todas as violações de dados relatadas.

Exploração de vulnerabilidades de software de banco de dados

Os hackers ganham a vida encontrando e visando vulnerabilidades em todos os tipos de software, incluindo software de gerenciamento de banco de dados. Todos os principais fornecedores de software de banco de dados comercial e plataformas de gerenciamento de banco de dados de código aberto emitem patches de segurança regulares para resolver essas vulnerabilidades, mas a não aplicação desses patches em tempo hábil pode aumentar sua exposição.

Ataques de injeção SQL/NoSQL

Uma ameaça específica do banco de dados, elas envolvem a inserção de cadeias de caracteres de ataque SQL ounão-SQLarbitrárias em consultas de banco de dados atendidas por aplicativos Web ou cabeçalhos HTTP. As organizações que não seguem práticas seguras de codificação de aplicativos da Web e realizam testes regulares de vulnerabilidade estão abertas a esses ataques.

Explorações de estouro de buffer

O estouro de buffer ocorre quando um processo tenta gravar mais dados em um bloco de memória de comprimento fixo do que é permitido conter. Os invasores podem usar o excesso de dados, armazenados em endereços de memória adjacentes, como uma base a partir da qual lançar ataques.

Ataques de negação de serviço (DoS/DDoS)

Em um ataque de negação de serviço (DoS), o invasor inunda o servidor de destino — neste caso, o servidor de banco de dados — com tantas solicitações que o servidor não pode mais atender a solicitações legítimas de usuários reais e, em muitos casos, o servidor se torna instável ou falha.

Em um ataque distribuído de negação de serviço (DDoS), o dilúvio vem de vários servidores, tornando mais difícil parar o ataque. Veja nosso vídeo “O que é um ataque DDoS”(3:51) para obter mais informações:

Malware (em inglês)

Malware é um software escrito especificamente para explorar vulnerabilidades ou causar danos ao banco de dados. O malware pode chegar através de qualquer dispositivo de ponto de extremidade que se conecte à rede do banco de dados.

Ataques a backups

As organizações que não conseguem proteger os dados de backup com os mesmos controles rigorosos usados para proteger o próprio banco de dados podem estar vulneráveis a ataques a backups.

Essas ameaças são exacerbadas pelo seguinte:

  • Volumes de dados crescentes: A captura, o armazenamento e o processamento de dados continuam a crescer exponencialmente em quase todas as organizações. Quaisquer ferramentas ou práticas de segurança de dados precisam ser altamente escaláveis para atender às necessidades futuras próximas e distantes.
  • Expansão da infraestrutura: Os ambientes de redeestão se tornando cada vez mais complexos, particularmente à medida que as empresas movem cargas de trabalho para arquiteturas denuvem híbridaoumulticloud, tornando a escolha, a implantação e o gerenciamento de soluções de segurança cada vez mais desafiadores.
  • Requisitos regulamentares cada vez mais rigorosos: O cenário mundial de conformidade regulatória continua a crescer em complexidade, tornando a adesão a todos os mandatos mais difícil.
  • Escassez de competências em cibersegurança: Especialistas preveem que pode haver até8 milhões de posições de segurança cibernética não preenchidas até 2022.

Práticas recomendadas

Como os bancos de dados são quase sempre acessíveis à rede, qualquer ameaça à segurança de qualquer componente dentro ou parte da infraestrutura de rede também é uma ameaça ao banco de dados, e qualquer ataque que afete o dispositivo ou a estação de trabalho de um usuário pode ameaçar o banco de dados. Assim, a segurança do banco de dados deve se estender muito além dos limites do banco de dados sozinho.

Ao avaliar a segurança do banco de dados em seu ambiente para decidir sobre as principais prioridades de sua equipe, considere cada uma das seguintes áreas:

  • Segurança física: Se o seu servidor de banco de dados está no local ou em um data center na nuvem, ele deve estar localizado em um ambiente seguro e climatizado. (Se o seu servidor de banco de dados estiver em um data center em nuvem, seu provedor de nuvem cuidará disso para você.)
  • Controles de acesso administrativo e de rede: O número mínimo prático de usuários deve ter acesso ao banco de dados e suas permissões devem ser restritas aos níveis mínimos necessários para que eles realizem seu trabalho. Da mesma forma, o acesso à rede deve ser limitado ao nível mínimo de permissões necessárias.
  • Segurança da conta de usuário final/dispositivo: Esteja sempre ciente de quem está acessando o banco de dados e quando e como os dados estão sendo usados. As soluções de monitoramento de dados podem alertá-lo se as atividades de dados forem incomuns ou parecerem arriscadas. Todos os dispositivos de usuário que se conectam à rede que abriga o banco de dados devem estar fisicamente seguros (apenas nas mãos do usuário certo) e sujeitos a controles de segurança em todos os momentos.
  • Encriptação: TODOS os dados, incluindo dados no banco de dados e dados de credenciais, devem ser protegidos com a melhor criptografia da categoria, em repouso e em trânsito. Todas as chaves de criptografia devem ser manipuladas de acordo com as diretrizes de práticas recomendadas.
  • Segurança de software de banco de dados: Sempre use a versão mais recente do seu software de gerenciamento de banco de dados e aplique todos os patches assim que eles forem emitidos.
  • Segurança do aplicativo/servidor web: Qualquer aplicativo ou servidor da Web que interaja com o banco de dados pode ser um canal para ataques e deve estar sujeito a testes de segurança contínuos e gerenciamento de práticas recomendadas.
  • Segurança de backup: Todos os backups, cópias ou imagens do banco de dados devem estar sujeitos aos mesmos controles de segurança (ou igualmente rigorosos) que o próprio banco de dados.
  • Auditoria: Registre todos os logons no servidor de banco de dados e no sistema operacional e registre todas as operações executadas em dados confidenciais também. As auditorias de padrões de segurança do banco de dados devem ser realizadas regularmente.

Controles e políticas

Além de implementar controles de segurança em camadas em todo o ambiente de rede, a segurança do banco de dados exige que você estabeleça os controles e as políticas corretas para acesso ao próprio banco de dados. Estes incluem:

  • Controles administrativospara controlar a instalação, a alteração e o gerenciamento de configuração do banco de dados.
  • Controles preventivospara controlar o acesso, a criptografia, a tokenização e o mascaramento.
  • Controles de detecçãopara monitorar o monitoramento da atividade do banco de dados e ferramentas de prevenção de perda de dados. Essas soluções permitem identificar e alertar sobre atividades anômalas ou suspeitas.

As políticas de segurança de banco de dados devem ser integradas e apoiar suas metas gerais de negócios, como a proteção da propriedade intelectual crítica e suas políticas de segurançacibernética e políticasde segurança na nuvem. Certifique-se de ter a responsabilidade designada para manter e auditar controles de segurança dentro de sua organização e que suas políticas complementem as do seu provedor de nuvem em contratos de responsabilidade compartilhada. Controles de segurança, programas de treinamento e educação de conscientização de segurança e estratégias de teste de penetração e avaliação de vulnerabilidades devem ser estabelecidos em apoio às suas políticas formais de segurança.

Ferramentas e plataformas de proteção de dados

Hoje, uma ampla gama de fornecedores oferece ferramentas e plataformas de proteção de dados. Uma solução em grande escala deve incluir todos os seguintes recursos:

  • Descobrimento: Procure uma ferramenta que possa procurar e classificar vulnerabilidades em todos os seus bancos de dados, estejam eles hospedados na nuvem ou no local, e ofereça recomendações para corrigir quaisquer vulnerabilidades identificadas. Os recursos de detecção geralmente são necessários para estar em conformidade com os mandatos de conformidade normativa.
  • Monitoramento da atividade de dados: A solução deve ser capaz de monitorar e auditar todas as atividades de dados em todos os bancos de dados, independentemente de sua implantação ser local, na nuvem ou em umcontêiner. Ele deve alertá-lo sobre atividades suspeitas em tempo real para que você possa responder a ameaças mais rapidamente. Você também desejará uma solução que possa impor regras, políticas e separação de funções e que ofereça visibilidade do status de seus dados por meio de uma interface de usuário abrangente e unificada. Certifique-se de que qualquer solução escolhida possa gerar os relatórios necessários para atender aos requisitos de conformidade.
  • Recursos de criptografia e tokenização: Em caso de violação, a criptografia oferece uma linha final de defesa contra o comprometimento. Qualquer ferramenta que você escolher deve incluir recursos de criptografia flexíveis que possam proteger os dados em ambientes locais, de nuvem, híbridos ou multicloud. Procure uma ferramenta com recursos de criptografia de arquivos, volumes e aplicativos que estejam em conformidade com os requisitos de conformidade do seu setor, o que pode exigir tokenização (mascaramento de dados) ou recursos avançados de gerenciamento de chaves de segurança.
  • Otimização de segurança de dados e análise de risco: Uma ferramenta que pode gerar insights contextuais combinando informações de segurança de dados com análises avançadas permitirá que você realize otimização, análise de risco e relatórios com facilidade. Escolha uma solução que possa reter e sintetizar grandes quantidades de dados históricos e recentes sobre o status e a segurança de seus bancos de dados e procure uma que ofereça recursos de exploração, auditoria e emissão de relatórios de dados por meio de um painel de autoatendimento abrangente, mas fácil de usar.

Segurança de banco de dados e IBM Cloud

Os bancos de dados em nuvem gerenciados pela IBM apresentam recursos de segurança nativos alimentados peloIBM Cloud Security, incluindo recursos integrados de gerenciamento de identidade e acesso, visibilidade, inteligência e proteção de dados. Com um banco de dadosem nuvem gerenciado pela IBM, você pode ficar tranquilo sabendo que seu banco de dados está hospedado em um ambiente inerentemente seguro e sua carga administrativa será muito menor.

A IBM também oferece a plataforma de proteção de dados mais inteligenteIBM Security Guardium, que incorpora descoberta de dados, monitoramento, criptografia e tokenização, além de recursos de otimização de segurança e análise de risco para todos os seus bancos de dados, data warehouses, compartilhamentos de arquivos e plataformas de big data, estejam eles hospedados no local, na nuvem ou em ambientes híbridos.

Além disso, a IBM ofereceo Data Security Services for Cloud gerenciado, que inclui descoberta e classificação de dados, monitoramento de atividades de dados e recursos de criptografia e gerenciamento de chaves para proteger seus dados contra ameaças internas e externas por meio de uma abordagem simplificada de mitigação de riscos.

Você pode começar inscrevendo-se em umaconta do IBM Cloud hojemesmo.

Artigo Original