Varonis | Segurança de dentro para fora

Dados confidenciais: Como identificar e proteger dados

Escrito por Emilia Bertolli | Nov 23, 2022 6:45:00 PM

Todos nós já vimos acontecer. Um desenvolvedor acidentalmente armazena dados confidenciais, credenciais de texto simples, em um arquivo de código-fonte acessível a todos os funcionários. Algumas semanas depois, um invasor entra na rede, encontra o segredo vazado e começa a usar as credenciais para acessar a conta da empresa na AWS – acumulando contas de infraestrutura e exfiltrando dados críticos. Somente em 2021, para cada 400 desenvolvedores em uma organização, aproximadamente 1050 senhas, chaves de API e outros segredos vazaram. 

Dados confidenciais, como senhas e tokens, são as chaves para seus aplicativos e infraestrutura mais importantes. Eles mantêm a propriedade intelectual, o código-fonte e a infraestrutura do seu negócio seguros. Mas, nas mãos erradas, essa informação pode causar muitos danos. 

A Varonis tem o prazer de anunciar que está expandindo os recursos de classificação de dados para incluir a descoberta dessas informações. Esse novo recurso ajuda a fortalecer a defesa de seus recursos organizacionais e quaisquer informações confidenciais armazenadas, como código-fonte, propriedade intelectual, dados PII etc. 

Podemos verificar continuamente seus armazenamentos de dados em busca de arquivos e códigos que contenham segredos armazenados incorretamente. Este recurso já está disponível. 

A Varonis pode ajudá-lo a proteger os segredos expostos: 

  • Classificando dados confidenciais com um alto nível de precisão

    Vamos além das RegExes com correspondência de proximidade, palavras-chave negativas e verificação algorítmica para gerar resultados de alta fidelidade. Nossa varredura precisa classifica e apresenta uma enorme variedade de tipos de segredo e correlaciona esse dado com o acesso para fornecer uma visão completa de sua exposição
  • Detectando uma ampla gama de segredos populares

    Com regras que identificam segredos para centenas de aplicativos/bancos de dados/serviços comuns com os quais você pode trabalhar e identificadores contextuais para melhorar a precisão, oferecemos uma defesa abrangente e ampla dos dados confidenciais que protegem seus componentes e infraestrutura de aplicativos críticos
  • Monitorando arquivos de código-fonte e outros tipos de documentos para segredos

    Dados podem acabar em qualquer lugar! A Varonis procura segredos em armazenamentos de dados no local e na nuvem com suporte. Encontramos informações armazenadas em documentos de texto simples e em arquivos de código-fonte, scripts e arquivos de configuração
  • Reduzindo o risco de exposição de dados ou ataques aos dados

    Ao verificar constantemente dados confidenciais que estão superexpostos dentro de sua organização – ou pior, expostos publicamente – a Varonis pode reduzir o risco de exposição de dados e ajudar a defender seus aplicativos e infraestrutura. 

Apresentando a descoberta de dados confidenciais

Com nossos novos conjuntos de regras de classificação, a Varonis pode ajudá-lo a verificar seus ambientes em busca de segredos desonestos. Essas regras verificam dados expostos em arquivos e códigos armazenados no local e na nuvem. Com a complexidade cada vez maior dos ambientes modernos, sabemos como a descoberta dessas informações pode se tornar esmagadora quando você usa a infraestrutura em nuvem. 

Que tipos de dados podemos encontrar?

Os módulos de classificação de dados da Varonis podem descobrir centenas de padrões secretos exclusivos que você provavelmente está usando em sua própria base de código. Usamos padrões e correspondência de proximidade para verificar seu ambiente em busca de centenas de tipos populares, para aplicativos e serviços com os quais você provavelmente já está desenvolvendo e usando em seu ambiente, como Google 0Auth2, Twitter, Atlassian, LinkedIn, chaves criptográficas de curva elíptica, ou credenciais de bancos de dados em nuvem. 

Algumas das categorias de segredos que detectamos incluem: 

  • Senhas 
  • Credenciais de bancos de dados 
  • Cadeias de conexão 
  • Chaves privadas 
  • Certificados de criptografia 
  • Chaves de APIs 
  • Tokens de autenticação 
  • Chaves de criptografia 

Os usuários do DatAdvantage Cloud podem selecionar quais tipos de dados confidenciais expostos devem ser descobertos em seus armazenamentos de dados na nuvem. 

O que são segredos?

A explosão de aplicativos modernos e computação em nuvem significa que as organizações estão gerenciando uma infraestrutura que se torna mais complexa a cada dia. Desenvolver aplicativos modernos e migrar para a nuvem significa mais partes móveis – mais infraestrutura de nuvem (talvez até mesmo vários provedores de nuvem), mais bancos de dados, mais APIs, microsserviços independentes etc. – que precisam se comunicar com segurança. Cada um desses componentes usa um segredo para se autenticar em outros componentes. 

Embora seja uma prática recomendada armazenar dados confidenciais com segurança em um gerenciador de segredos, por exemplo, fatores como erro humano às vezes fazem com que as informações acabem sendo armazenados em locais que não deveriam. Talvez um desenvolvedor tenha codificado uma chave de API para testar um programa em sua máquina local e, em seguida, acidentalmente tenha confirmado essas alterações em seu repositório de código. 

Não importa como a exposição aconteceu, se as informações forem roubadas ou vazadas, os invasores podem acessar ou roubar seus dados confidenciais, criptografar seus dados e exigir um resgate, fazer alterações em seu código de produção, usar seus recursos de nuvem para seus próprios fins ou até mesmo usar sua cota de chamadas de API. As opções para os invasores, infelizmente, seriam infinitas. 

Onde podemos encontrar dados confidenciais?

A Varonis rastreia seus arquivos de código-fonte e outros locais onde são armazenados dados para classificar e identificar segredos automaticamente. Descobrimos informações que são superexpostas em arquivos simples, como documentos do Word, planilhas do Excel e Google Docs, e localizamos muitos outros lugares onde um segredo pode ser armazenado incorretamente em texto simples. E ao verificar seus arquivos de código – como os armazenados em buckets do AWS S3 -, a Varonis pode detectar problemas de segurança, como chaves ou credenciais privadas codificadas ou dados confidenciais armazenados incorretamente, como em um arquivo de log. 

Seja sua preocupação com dados superexpostos no local ou na nuvem, a Varonis pode ajudar. Confira os armazenamentos de dados que você pode monitorar e proteger com a Varonis Data Security Platform e DatAdvantage Cloud. 

Neste exemplo, o DatAdvantage Cloud apresentou chaves do Google em texto simples armazenadas em um bucket do AWS S3. 

Como fazemos isso?

Embora seja possível pesquisar suas bases de código e outros armazenamentos de dados em busca de dados expostos com uma simples pesquisa de RegEx, em nossa experiência, aprendemos que essa abordagem gera muitos falsos positivos – aproximadamente uma taxa de 60% a 70%. E percorrer cada resultado para verificar um segredo potencialmente exposto não é um uso de tempo eficiente de um profissional de segurança. As pesquisas RegEx também podem perder alguns dados confidenciais expostos ou armazenados incorretamente. E isso obviamente também não é o ideal. 

Esses dados podem ser expostos a qualquer momento – é por isso que adotamos a abordagem de verificar automaticamente as informações quando são feitas alterações. Por exemplo, suponha que um desenvolvedor crie uma planilha do Excel listando as chaves privadas em texto simples que estão sendo usadas no seu código. Pior ainda, a planilha é armazenada no SharePoint e aberta por toda a organização. Nesse caso, a Varonis descobrirá a informação exposta e notificará sobre o risco de segurança. Como verificamos dados confidenciais automaticamente sempre que um arquivo é modificado, você pode descobrir e bloquear essas informações expostas em um período de tempo muito menor. 

Também correlacionados dados confidenciais descobertos com atividades de acesso e serviços de diretório para ajudá-lo a determinar sua exposição. Por exemplo, as equipes de desenvolvedores precisam de acesso a dados confidenciais armazenados adequadamente para desenvolver e depurar seu software. Os dados armazenados adequadamente e acessíveis apenas aos desenvolvedores que precisam desse acesso não representam um risco significativo para sua organização. 

Entretanto, se um dado estiver comprometido com seu código de produção ou for mantido no Google Docs que todos em sua organização possam acessar? Correlacionamos a localização do segredo com dados sobre quem tem acesso a esse local para fornecer informações significativas sobre a exposição de dados. 

Em colaboração com outras soluções da Varonis, você pode corrigir dados confidenciais superexpostos, movendo-os manualmente ou automaticamente para um local seguro quando estiver superexposto. 

Proteja dados confidenciais com a Varonis

Desenvolver aplicativos modernos e implantar seus aplicativos na nuvem resulta em sistemas exponencialmente mais complexos. Com a descoberta de dados confidenciais, você pode fortalecer sua postura geral de segurança na nuvem protegendo as informações necessárias para que cada componente de interação se autentique com segurança entre si. A classificação e descoberta de dados confidenciais da Varonis está aqui para ajudá-lo a se proteger contra roubo ou exposição de dados e reduzir o risco de um aplicativo ou infraestrutura ser comprometido. 

Interessado em ver a descoberta de dados confidenciais em ação? Agende uma demonstração hoje.