Como proteger a base de dados

Empresas estão mais propensas a apenas proteger a porta da rede e aplicações que estão em contato com as bases de dados

Com as recentes informações sobre roubos de alto perfil (ataques a bancos de dados AKA) à TJ Maxx, rede de varejo americana que recentemente sofreu vazamento de informações, mais companhias estão percebendo que não é o bastante trancar a porta da frente de sua rede. E isso não é apenas prevenir violações externas. Somado a isso, regulações recentes de PCI-DSS (Payment Card Industry - Data Security Standard, norma criada para ajudar as organizações a impedir as fraudes com cartões de crédito) têm sido atualizadas, requerendo das empresas medidas rígidas para proteger o crédito ao consumidor e informações pessoais. Como resultado, a maior ênfase de necessidades deve ser colocada na segurança da base de dados para o cumprimento regulamentar, forçando companhias a incorporar informações de medidas de segurança como parte de sua estratégia global de segurança de rede.

Além disso, para organizações com aplicações web-facing afetadas por PCI, uma combinação de segurança de dados e de aplicação de firewall pode proporcionar a mais completa proteção de dados estratégicos para cumprir a atual demanda por ambientes seguros. Firewalls são concebidos para proteger e acelerar aplicações web, bases de dados e as informações trocadas entre eles.

Tradicionalmente, as companhias não dão alta prioridade à segurança de suas bases de dados apesar dos valores que elas guardam. Bases de dados geralmente não são acessadas por usuários finais, mas particularmente por pessoas de confiança, como administradores e auditores. Usuários finais acessam tipicamente informações de bases de dados através de aplicações, como em sites de bancos ou transações de varejo. Então, as empresas estão mais propensas a apenas proteger a porta da rede e as aplicações que estão em contato com as bases de dados, e adormecidas com o falso senso de que os dados estão seguros. A ideia de que as estão protegidas com a zona de confiança de suas redes é improvável no caso de intenções maliciosas que podem estar escondidas com a rede e, certamente, sem ela. Os dados que são alvo de ataques continuarão a crescer, assim como a informação armazenada neles - propriedade intelectual corporativa sensível e informações pessoais de consumidores têm um valor monetário real no mercado digital negro. De acordo com a Organização dos Direitos de Privacidade (Privacy Rights Organization), o número de registros que contêm informações pessoais envolvidos em violações de segurança nos Estados Unidos, desde janeiro de 2005, excede mais de 261 milhões. A Forrester Research estima que o custo por registro de violação seja de 305 dólares. Então, é evidente que o custo de não ter uma solução de segurança de dados no local pode ser muito significativo.

Se o firewall pode ser pensado como o bloqueio para a porta da rede, a segurança do banco de dados pode ser considerada o detector de movimento que percebe todas as entradas e saídas para os dados. Um aplicativo firewall é o tráfego policial que verifica para assegurar que a informação tenha cumprido com a política pré-aprovada. Por causa das necessidades de informação de dados para ser acessados por usuários dentro ou fora das redes, isto não pode ser colocado a sete chaves. Mas pode ser monitorado por atividades suspeitas ou raras e para identificar e consertar as suaves manchas antes que elas possam ser violadas.

A melhor forma de proteger dados corporativos é empregar uma solução combinada de dados de segurança e aplicação web de firewall. Desenvolver esses dispositivos em paralelo dá múltiplas camadas de segurança para prevenir inúmeros tipos de ameaças. Além disso, o cumprimento de diversas partes de PCI-DSS é mais facilmente alcançado com a combinação desses dois produtos. A base de dados deverá ter uma solução de segurança abrangente, com vulnerabilidade na avaliação e remediação, atividade de inspeção dos dados, e auditoria de base de dados para o cumprimento regular.

A vulnerabilidade da avaliação provê um processo de autodescoberta para ajudar a identificar em que base residem, depois provê controles de política mecanizados para proteger os dados detectando fraquezas nas senhas, acessos privilegiados e configurações; administradores de sistemas de alerta de ameaças em potencial, e consultoria de reparos. A inspeção de dados implementa controles que previnem erros ou uso impróprio de dados para captar todos os tipos de atividades. A auditoria de base de dados registra atividades para auditorias completas e precisas com armazenamento de auditorias independentes para fornecer camadas de segurança adicional.

Estas características podem fazer o trabalho se destacar individual e manualmente; contudo, é um processo dispendioso, incômodo e intensivo para encontrar o erro humano. Uma base de dados de segurança automatizada pode reduzir significativamente a complexidade da rede e alcançar o cumprimento de segurança mais rápido. Aplicações web são, essencialmente, uma interface pública para o armazenamento de informações sensíveis de bases de dados, por isso a necessidade de proteger esta interface é tão crítica quanto proteger as bases de dados. Enquanto muitas aplicações web têm incorporado protocolos de segurança, escrever códigos seguros de aplicações web é difícil, e não é a prioridade. Além disso, há inúmeros desafios: novas vulnerabilidades, calendários, revisões de códigos, identificação de vulnerabilidades e prazos de implantação. O ideal seria separar a segurança da aplicação web a partir da própria aplicação para reforçar medidas uniformes de segurança, independentemente do nível de segurança incorporado, e dar um guarda-chuva de proteção segura em uma série de aplicações.

Dados são e continuarão a ser uma ameaça real e iminente para corporações, e requerem soluções, com amplitude e profundidade, a fim de garantir a integridade dos dados. As soluções de segurança de dados devem ser parte de uma abrangente estratégia de segurança, que inclui uma forte proteção para o perímetro de rede, aplicações e bases de dados, e isso é como colocar um cão de guarda para proteger as joias da coroa.