Repensando a segurança do banco de dados para a era da IA e da nuvem

Quando uma grande invasão é noticiada, seja um prestador de serviços hipotecários expondo milhões de registros ou um banco mundial enfrentando um ataque de ransomware, meu telefone começa a tocar.

Comecei minha carreira na Imperva como engenheiro de pré-vendas e trabalhei até chegar a CTO nas duas décadas seguintes. Durante esse período, estive envolvido em milhares de projetos de segurança de banco de dados, ajudando clientes dos setores financeiro, de saúde e de outras indústrias regulamentadas a proteger os dados mais importantes.

Portanto, quando recebo essas ligações, colegas e clientes de todos os setores querem saber: "Como podemos garantir que isso não aconteça conosco?"

O primeiro passo é sempre o mesmo. Você precisa ser capaz de responder a perguntas como:

1. Quais dados são sensíveis?
2. Quem pode acessá-lo?
3. Quem o acessou e o que fez?

Se você não consegue responder a essas perguntas com confiança, está perdendo a base da segurança de dados. Nos últimos 10 anos, aproximadamente, ficou muito mais difícil definir essa base, pois as organizações passaram de ambientes de banco de dados no local de um único fornecedor para pilhas de tecnologia complexas que consistem em serviços gerenciados, híbridos e de várias nuvens.

A IA aumenta o risco de exposure ao criar exponencialmente mais caminhos de acesso e ao fornecer aos invasores (e insiders) as ferramentas para automatizar o reconhecimento e a engenharia social. As regulamentações tornam as exposures mais caras com requisitos de divulgação mais rigorosos, penalidades mais altas e responsabilização por controles fracos.

Os manuais que já superamos

Durante anos, as organizações escolhiam uma das três opções a seguir para tentar proteger seus bancos de dados:

1. Uma solução DAM legada baseada em agentes para monitoramento de consultas, detecção de anomalias e rastreamento de usuários privilegiados.
2. Logs nativos (às vezes conectados a um SIEM) para integrar trilhas de auditoria, correlacionar alertas e aplicar políticas de retenção.
3. Controles ad hoc que dependem de DBAs que gerenciem controles de acesso, realizem avaliações de segurança manualmente e acessem revisões (geralmente apenas quando um auditor solicita).

Nenhuma dessas abordagens funciona para ambientes de banco de dados e cenários de ameaças modernos.

O DAM legado baseado em agentes não funciona com bancos de dados em nuvem e gerenciados, e exige agentes em cada servidor de banco de dados on-premises, resultando em longos ciclos de implantação e exigindo atualizações e soluções de problemas constantes.

Os logs nativos (mesmo com um SIEM) são atrasados e inconsistentes entre os fornecedores. Esses atrasos e a qualidade inconsistente dos logs eliminam qualquer capacidade de prevenção de ataques em tempo real. Além disso, os logs nativos podem introduzir impactos no desempenho de muitos bancos de dados, especialmente on-premises. Os logs nativos só funcionam bem em bancos de dados menos críticos, onde o objetivo é a geração de relatórios de conformidade regulamentar e não as práticas recomendadas de segurança.

Três pilares da segurança moderna de bancos de dados

Proteger dados no ambiente atual requer uma mudança de mentalidade. Não se trata de mais ferramentas ou mais logs. Trata-se de clareza e controle.

1) Saiba quais dados são sensíveis

Não é possível proteger o que você não sabe que existe. A primeira etapa é descobrir e classificar dados confidenciais de todo o seu patrimônio. Isso não pode ser um projeto trimestral. Precisa ser um esforço contínuo e, de preferência, automatizado, que se torne a base para todo o resto: revisões de acesso, aplicação de políticas, análises e resposta a incidentes.

Aqui estão algumas etapas práticas para entender seus dados confidenciais:

• Trate a classificação como parte do ciclo de vida dos dados, não como um exercício de auditoria.
• Classifique seus dados estruturados e não estruturados.
• Acompanhe os fluxos de dados para entender e controlar como os dados confidenciais são transferidos dos sistemas transacionais para arquivos, espaços de colaboração e plataformas de análise.
• Certifique-se de que os resultados da classificação sejam acionáveis, alimentando revisões de direitos, monitoramento e remediação. Classificação sem ação é documentação, não defesa.

2) Minimize o raio de exposição

Para minimizar o raio de exposição, as permissões devem corresponder às necessidades comerciais e ser dimensionadas corretamente, limitadas no tempo e conscientes da identidade. A maioria das organizações permite que usuários e aplicativos tenham acesso a muito mais dados do que necessitam. As pessoas acumulam contas e permissões, e muitas equipes ainda utilizam credenciais compartilhadas. Até que você possa vincular cada credencial a uma identidade corporativa, continuará a subestimar os riscos e a reagir exageradamente aos ruídos.

As etapas práticas para minimizar o raio de exposição incluem:

• Resolva cada conjunto de credenciais de login para uma única identidade corporativa.
• Acompanhe o uso de permissões para promover o privilégio mínimo e revogue regularmente o acesso que não está sendo utilizado, principalmente em conjuntos de dados confidenciais.
• Privilégios de alto risco com limite de tempo e introdução de elevação just-in-time para tarefas raras.
• Tenha critérios em relação às contas compartilhadas. Remova tudo o que puder e, para os que permanecerem, adicione controles de compensação e atribuição robusta para que você ainda tenha visibilidade de quem faz o quê (rastreie endereços IP, endereços MAC etc).

3) Monitore com contexto e automatize a resposta

Atividade sem contexto é ruído. O monitoramento eficaz correlaciona quem (a identidade), o que (a sensibilidade e o local dos dados) e como (o comportamento) quase em tempo real. A abordagem de monitoramento deve ser consistente on-premises e na nuvem, incluindo bancos de dados gerenciados.

Etapas práticas para o monitoramento com contexto:

• Implemente uma solução de segurança que ofereça telemetria de alta fidelidade e baixo atrito, consistente em todos os seus ambientes de dados.
• Implemente uma UEBA centrada em dados que detecte comportamentos anômalos por meio de automações modernas, ML, IA e serviços de detecção e resposta, em vez de políticas estáticas legadas.
• Implementar ferramentas e processos de triagem e escalonamento para separar o risco significativo do ruído.
• Automatize a remediação de riscos com mascaramento dinâmico de dados, aplicação de políticas e acesso just-in-time.

A arquitetura é importante

Os programas de segurança ficam estagnados quando as equipes gastam energia gerenciando as ferramentas em vez de reduzir os riscos. As soluções DAM legadas e baseadas em agentes exigem muitos agentes, gateways/coletores, gerentes e componentes analíticos, cada um com pares de HA e ciclos de atualização complexos. Quando você escala isso para centenas ou milhares de bancos de dados, a complexidade se torna padrão.

Você precisa de uma abordagem moderna que inverta a proporção:

• Solução SaaS para que as atualizações e a análise não sejam mais um fardo.
• Coleta privada e leve em seu ambiente para criar o mapa de dados confidenciais e o quadro de direitos sem mover dados brutos.
• Interceptação sem agente e sem estado para monitoramento de atividades para que você tenha uma telemetria consistente e enriquecida em bancos de dados locais e gerenciados sem ter que tocar nos hosts do banco de dados.
• Detecção e resposta gerenciada de dados para fazer a triagem de alertas e escalar o que importa, de modo que nem todo SOC precise ser um especialista em segurança de banco de dados.

Não se trata dos recursos de um fornecedor. Trata-se de alinhar seu modelo operacional com a maneira como seus dados e sua infraestrutura funcionam hoje. Quando a arquitetura de segurança é mais simples, o programa pode finalmente se concentrar nos resultados.

O futuro da segurança do banco de dados

Na Varonis, passamos anos aperfeiçoando a segurança de dados com classificação unificada, contexto de identidade, análises, monitoramento de atividades, detecção de ameaças e remediação automatizada para ajudar as organizações a entender quais dados são confidenciais, quem pode acessá-los, o que está acontecendo com eles e minimizar de forma contínua e automática o raio de exposição e responder às ameaças.

Começamos com dados não estruturados e agora estamos trazendo a mesma clareza e controle aos bancos de dados com o Varonis Next Generation DAM. Ele não tem agente, está pronto para a nuvem e oferece telemetria de alta fidelidade sem o arrasto operacional.

Nossa plataforma completa de segurança de dados simplifica a arquitetura, unifica a visibilidade e automatiza a resposta em ambientes on-premises, na nuvem e de serviços gerenciados.

Se você tem curiosidade para saber como a Varonis pode funcionar no seu ambiente, ficaremos felizes em ajudar a testar sua configuração atual com um relatório de risco de dados gratuito.

Nota - Este artigo foi traduzido com a ajuda de IA e revisado por um tradutor humano.