Uma nova arma na guerra para proteger seus dados

Uma nova arma na guerra para proteger seus dados
Data: 17/05/2018

Por: Vipin Samar | Vice-presidente sênior de segurança de banco de dados da Oracle

 

Os dados são um tesouro. E nos meus últimos 20 anos trabalhando em segurança, descobri que os hackers entenderam isso melhor do que muitas das organizações que possuem e processam os dados.

Os invasores são implacáveis ​​na busca de dados, mas muitas organizações ignoram a segurança do banco de dados, concentrando-se apenas na segurança da rede e do terminal. Quando peço aos líderes responsáveis ​​por proteger seus dados porque isso acontece, as respostas mais frequentes que ouço são:

  • Nossos bancos de dados são protegidos por vários firewalls e, portanto, devem ser seguros.
  • Nossos bancos de dados não tiveram violações óbvias até agora, portanto, o que quer que tenhamos feito deve estar funcionando.
  • Nossos bancos de dados não têm nada sensível, então não há necessidade de protegê-los.

E, no entanto, quando eles vêem os resultados de nossa avaliação de segurança orientada por campo, as mesmas organizações recuam. Eles admitem que seus bancos de dados têm, de fato, dados confidenciais e, embora possam existir firewalls, existem medidas de segurança muito limitadas para proteger diretamente os bancos de dados. Eles não têm certeza de quão seguros são seus bancos de dados ou se já foram hackeados. Dado o alto volume de violações, eles percebem que precisam se preparar para enfrentar ataques, mas não sabem por onde começar.

A avaliação da segurança do banco de dados é um bom primeiro passo, mas pode ser uma tarefa bastante árdua. Ele envolve encontrar falhas sob vários ângulos, incluindo diferentes pontos de entrada, analisando os dados encontrados e priorizando os próximos passos. Com os DBAs concentrados na disponibilidade e no desempenho do banco de dados, gastar tempo para executar avaliações de segurança ou desenvolver expertise em segurança de banco de dados geralmente não é uma prioridade.

Hackers, por outro lado, são motivados a atacar e encontrar o caminho mais rápido para entrar, e depois o caminho mais rápido para sair. Eles mapeiam os bancos de dados de destino, procurando vulnerabilidades na configuração do banco de dados e usuários com privilégios excessivos, executam ferramentas automatizadas para penetrar rapidamente nos sistemas e, em seguida, extraem dados confidenciais sem deixar rastros.  

Se isso fosse uma guerra entre organizações e hackers, seria uma guerra assimétrica. Em tais situações, avaliar suas próprias fraquezas e determinar pontos vulneráveis ​​de ataque torna-se muito crítico.

Avaliar primeiro

Tenho o prazer de anunciar a disponibilidade da Ferramenta de Avaliação de Segurança do Oracle Database (DBSAT). O DBSAT ajuda as organizações a avaliar a configuração de segurança de seus bancos de dados, identificar dados confidenciais e avaliar usuários do banco de dados quanto à exposição ao risco. Os hackers tomam medidas semelhantes durante o reconhecimento, mas agora as organizações podem fazer o mesmo - e fazer isso primeiro.

O DBSAT é uma ferramenta simples, leve e gratuita que ajuda os clientes da Oracle a avaliar rapidamente seus bancos de dados. Projetado para ser usado por todos os clientes do Oracle Database em pequenas ou grandes organizações, o DBSAT não depende de outras ferramentas ou infraestrutura e não precisa de especialização. Os DBAs podem baixar o DBSAT e obter relatórios acionáveis ​​em apenas 10 minutos.

O que você pode esperar que o DBSAT encontre? Com base em décadas de experiência de campo da Oracle na proteção de bancos de dados contra ameaças comuns, o DBSAT examina vários parâmetros de configuração, identifica lacunas, descobre correções de segurança ausentes e sugere correção. Ele verifica se medidas de segurança, como criptografia, auditoria e controle de acesso, são implementadas e como elas se comparam às melhores práticas. Ele avalia contas de usuários, funções e políticas de segurança associadas, determinando quem pode acessar o banco de dados, se eles têm privilégios altamente confidenciais e como esses usuários devem ser protegidos.

Finalmente, o DBSAT pesquisa os metadados do seu banco de dados para mais de 50 tipos de dados confidenciais, incluindo informações de identificação pessoal, dados do trabalho, dados de saúde, dados financeiros e dados da tecnologia da informação. Você também pode personalizar os padrões de pesquisa para procurar dados confidenciais específicos da sua organização ou setor. O DBSAT ajuda a descobrir não apenas quantos dados confidenciais você possui, mas também quais esquemas e tabelas os possuem.

Com tabelas de resumo fáceis de entender e descobertas detalhadas, as organizações podem avaliar rapidamente sua exposição ao risco e planejar etapas de mitigação. E tudo isso pode ser feito em poucos minutos, sem sobrecarregar os valiosos DBAs ou exigir que eles realizem um treinamento especial.

Revisar seu relatório de avaliação do DBSAT pode ser surpreendente e, em alguns casos, chocante, mas as etapas de correção sugeridas podem melhorar drasticamente sua segurança. 

Regulamentos de privacidade e conformidade

O DBSAT também ajuda a fornecer recomendações para ajudá-lo com a conformidade regulatória. Isso inclui o Regulamento Geral de Proteção de Dados da União Européia (EU GDPR) que exige avaliações de impacto e outras proteções de privacidade aprimoradas. Além disso, o DBSAT destaca as conclusões que são aplicáveis ​​ao GDPR da UE e ao benchmark Center for Internet Security (CIS).

A Oracle é líder  em controles preventivos e de detecção para bancos de dados e, agora, com a introdução do  DBSAT , a avaliação de segurança está disponível para todos os clientes do Oracle Database. Eu recomendo que você  baixe e experimente o DBSAT - afinal, é melhor que você avalie a segurança do seu banco de dados antes que os hackers façam isso por você!