Passos para tornar seu banco de dados mais seguro

Frequentemente eles pecam nas questões de desempenho e segurança. Veja como encontrar um equilíbrio na visão de diversos especialistas

Parece que gestão de riscos de TI se resume apenas em identificar dados críticos e fornecer mais proteção a eles. Mas, infelizmente, quando se trata de banco de dados, muitas companhias retrocedem ao utilizarem certas fórmulas.

O problema é que em muitas empresas o desempenho do banco de dados pode ter prioridade sobre a segurança. Embora o ideal seja manter equilíbrio entre os dois, a segurança, em diversas ocasiões, acaba ficando de lado.

“Os DBAs e desenvolvedores de aplicativos simplesmente não têm tempo ou não querem lidar com segurança. Isso aumenta o custo do desenvolvimento de produtos”, avalia Julie Lockner, analista do Enterprise Strategy Group. Eles são pressionados para adicionar mais aplicações e funcionalidades, além de ter que lidar com o aumento do volume de dados, e isso aumenta os ciclos de testes. Para Lockner, “isso é prioridade. Temos que abandonar os recursos? Ou temos que fazer ciclos extras para amarrar e adicionar camadas de segurança em volta dela?”

Invasões maliciosas e hackers podem tirar proveito desta guerra de prioridade dentro dos departamentos de TI. Eles acessam dados que não deveriam, lançando ataques SQL para tirar proveito da vulnerabilidade de links de aplicativos do banco de dados e espalhar o problema para o sistema de gestão e, assim, acessar dados estratégicos.

A única maneira de conseguir proteção é colocar a segurança de dados críticos como primeira preocupação. A começar com estes três princípios de proteção de base de dados.

Conhecer a si mesmo:
Muitas companhias não são capazes de proteger dados de missão crítica, porque, simplesmente, não entendem como as partes móveis do seu ambiente de banco de dados funcionam. Para controlar o trabalho, a TI deve ter o claro entendimento de onde estão as informações mais importantes e como são usadas.

“Você tem armazenamento de dados, mas deve ter muitas aplicações em conjunto. E você pode não saber quem usa os sistemas caso tenha concedido muitos privilégios”, ensina Mel Shakir, CTO da NitroSecurity, companhia de gerenciamento de banco de dados e segurança da informação, recentemente adquirida pela McAfee. “Você pode nem sequer saber onde os dados críticos estão e se foram copiados para fora do sistema ou movidos para testes em outro lugar.”

Etapas valiosas incluem digitalizações não autorizadas de banco de dados que podem ter sidos criados por outros departamentos, documentando esquemas de privilégio e classificando BDs da companhia de acordo com os riscos. Isso pode ajudar a obter o máximo do investimento em segurança do banco de dados.

Uma vez que a TI sabe onde estão os bancos de dados, pode ter certeza que a segurança está configurada e atualizada, além de usar avaliações de vulnerabilidades para decidir o nível de proteção que precisam. Eles podem decidir, por exemplo, se querem supervisão constante por meio de monitoramento de software para rastrear o que os usuários fazem com as informações armazenadas em todos os momentos.

Se as organizações de TI não encontram todos os bancos de dados espalhados por suas infraestruturas, elas podem entrar em choque se outra pessoa encontrá-los. O caso em questão é de um escritório de controladoria do Texas. No início deste ano, a companhia foi publicamente constrangida quando encontraram nomes e endereços, datas de nascimento, números do seguro social e números de licença de motorista de mais de 3,5 milhões de pessoas nos bancos de dados de três agências do estado que haviam sido expostas por quase um ano em um banco público, não criptografado e acessível.

Medo de ocorrências de desempenho é a principal razão pela qual as organizações de TI não usam ferramentas de monitoramento e auditoria. A primeira geração desta ferramenta ganhou reputação entre os DBAs por causar lentidão no banco de dados e falhas de segurança. Fornecedores de segurança tentaram limpar estes problemas, mas o medo persiste.

As aplicações destas bases de suporte de dados são, geralmente, tarefas críticas, tais como atendimento ao cliente, onde o desempenho é altamente visível. “Quando se trata de servir os consumidores, desempenho geralmente ganha, ou a equipe decidi se comprometer”, aponta Noa Bar Yosef, estrategista de segurança da Imperva, empresa de aplicação de firewall. “Mas no final a falha é crucial para a descoberta, responsabilização e recuperação daquilo que está faltando.”

Boa higiene do banco de dados:
Hackers podem se aproveitar quando as empresas não alteram as senhas dos banco de dados, concedem privilégios excessivos para os usuários, deixam dados críticos sem correção ou falham no gerenciamento das configurações de banco de dados.

Muitos DBAs e desenvolvedores deixam a senha padrão inalterada para agilizar a administração e integração com as aplicações. Mas essa atitude também torna a invasão de sistemas e o acesso a dados da empresa mais fáceis.

Todos os bancos de dados vêm com nomes de usuários padrão e senhas que deixam a instalação mais fácil. Um invasor pode usar o Google para compilar uma lista de combinações e usá-las de forma maliciosa como, por exemplo, fazer download ou deletar tabelas de banco de dados. Ao eliminar o padrão, como nomes de usuários e senhas se torna fácil e barato de corrigir e, assim, melhorar a postura de segurança da companhia. Talvez, por ser óbvio, muitos departamentos de TI não se preocupam em verificar isso.

Ao distribuir muitas credenciais também pode criar vulnerabilidades internas. Quando o tempo e recursos estão apertados, companhias não gastam tempo definindo quem e o quê acessar ou qual banco de dados. Eles dão privilégios aos mesmos grupos inteiros, razão pelo qual os mesmo grupos de pessoas executam o mesmo trabalho no banco de dados, disse Bar Yosef, da Imperva. Da mesma forma muitas empresas continuam lutando com atualizações e gerenciamento de vulnerabilidades.

Isso normalmente leva de cinco a nove meses para a companhia atualizar o banco de dados, de acordo com o grupo de usuários independentes da Oracle, deixando aberto a ataques durante este tempo. Mais uma vez, questões de desempenho são barreiras para qualquer atualização, assim como os testes de atualização de TI devem testar o impacto das atualizações.

O risco de desempenho é real. Segundo Rajesh Goel, CTO da Brainlink International, por exemplo, disse que trabalhou com atualização de 20 milhões de banco de dados para uma grande empresa de logística, a qual a atualização da Oracle otimizou o desempenho global para um fator 16.

Mas empresas também não podem se dar o luxo de deixar bases de dados críticas sem correção. Uma vez lançados, informações de correções estão disponíveis para qualquer um, segundo Alex Rothacker, da TeamShatter, assim, os delatores terão que fazer engenharia reversa das correções para criar invasões bem sucedidas contra servidores sem atualizações.

Companhias devem considerar o uso de compensação de controles, como melhor segmentação e configuração de rede, que irá manter os bancos de dados críticos protegidos de algumas forma, assim que examinarem como as atualizações afetam missões críticas.“Se você não pode manter os valiosos servidores com as últimas atualizações do momento, então você deve incluir esses ativos críticos dentro de uma zona para defendê-los”, disse Mike Lloyd, CTO na RedSeal Systems, empresa de software de monitoramento e gerenciamento de risco. Isso significa colocar ativos críticos em servidores altamente seguros com sistemas prontos para serem atualizados, com configurações atualizadas e monitoramento abrangente.

Qualquer um esforço de segurança de base pode não ser uma grande tarefa para enfrentar por si só, mas a escala de viagens de muitas companhias. Isso pode levar um grande tempo para implantar um plano de segurança cuidadoso por meio de centenas ou até mesmo milhares de bancos de dados.

Por meio da segmentação e compartilhamento de banco de dados, os times de TI podem colocar controles ao redor das informações mais importantes. Este modelo de segurança “garoto na bolha” determina um perímetro interno em torno das máquinas mais sensíveis, disse Lloyd.

Nenhum banco de dados é uma ilha:
Por último, o mais importante para assegurar as infraestruturas de bancos de dados é protegê-las tão bem quanto os próprios bancos de dados em si. Invasores frequentemente acessam banco de dados por meio de camadas de aplicações, usando ataques SQL. Isso pode enganar bancos de dados oferecendo mais acesso as informações do que o desenvolvedor pretendia. “Muitas organizações permitem esses ambientes de aplicações para continuarem expostos”, afirmou Scott Crawford, analista e consultor da Management Associates. “Ataques SQL infelizmente permanecem comum.”

As equipes de segurança devem trabalhar em conjunto com DBAs e gerentes de aplicações para não ficarem expostos – da mesma fora que as validações requeridas no banco de dados são usadas para evitar estes tipos de vulnerabilidades. “Dividir direitos e regras levam um longo caminho”, avisa José Nazário, gerente sênior de pesquisa em segurança da Arbor Networks. Ele adicionou que companhias não deveriam permitir que usuários não confiáveis consultassem informações do banco de dados como tabelas, funções, entre outros.

Times de TI precisam considerar todos os ângulos de ataque quando planejarem a segurança do seu banco de dados. Companhias devem usar as entradas dos usuários dentro do banco de dados para prevenir ataques como estouro de buffer e injeção de SQL. “Tudo em torno do banco de dados deve estar seguro: o nível de hospedagem da rede e de aplicação.”

Essa advertência deve ser parte dos alicerces de qualquer boa estratégia de proteção crítica de banco de dados. Os esforços precisam ocorrer em múltiplos níveis: não pare de configurar e monitorar os bancos de dados. TI também deve corrigir e verificar o regulamento das aplicações e colocar os bancos de dados críticos na parte mais segura da rede.

Fonte: Passos para tornar seu banco de dados mais seguro