O Guia Lepide para Gerenciamento e Monitoramento de Controle de Acesso

A capacidade de determinar quem deve ou não ter acesso a quais dados é parte integrante de qualquer estratégia de segurança de dados, ou pelo menos deveria ser. Infelizmente, muitas organizações ainda não têm o controle necessário para manter seus dados seguros.

Muitos não têm um inventário completo dos dados que armazenam, muito menos uma compreensão clara de como esses dados estão sendo acessados. De acordo com um estudo recente, quase 20% das organizações têm mais de 1.000 pastas confidenciais abertas a todos, e aproximadamente a mesma quantidade tem mais de 1.000 pastas com permissões inconsistentes.

As organizações estão armazenando dados cada vez mais confidenciais na nuvem, o que não surpreende, dado que as soluções em nuvem são acessíveis, escaláveis e convenientes. No entanto, se não forem configurados corretamente, eles podem deixar seus arquivos confidenciais expostos na Internet. Por exemplo, recentemente temos visto um grande número de violações de dados causadas por buckets do Amazon S3 mal configurados ou “vazados”. De acordo com estatísticas recentes, 7% de todos os buckets S3 têm acesso público irrestrito.

Com estatísticas como essas, não é surpreendente que as violações de dados continuem a ser manchetes. Dados confidenciais são o que a maioria dos cibercriminosos procura e, sem os controles de acesso apropriados, estamos apenas entregando-os a eles de uma só vez.

O que são permissões de acesso?

As permissões de acesso são descritas por uma lista de controle de acesso (ACL), onde cada item da lista especifica como um determinado sujeito pode interagir com um determinado objeto. Ou, em termos menos abstratos, quais operações um determinado usuário, programa ou processo pode realizar em um determinado arquivo ou pasta.

Quais são os diferentes tipos de controle de acesso?

Existem várias técnicas para controlar o acesso a dados confidenciais, embora o Controle de acesso baseado em papéis (RBAC) e o Controle de acesso baseado em atributos (ABAC) sejam as mais comuns. O RBAC é onde o acesso é concedido com base na função do sujeito, que pode incluir tipo de usuário, cargo, departamento, localização física ou tempo gasto na empresa. O ABAC, por outro lado, usa instruções “IF, THEN” para permitir controle de acesso refinado.

Por exemplo, SE user_type=admin E departamento=TI, ENTÃO conceda acesso de leitura/gravação à pasta “backups”. O ABAC fornecerá o nível de controle mais preciso; no entanto, a camada adicional de complexidade poderá resultar em pontos cegos. Como tal, o RBAC é provavelmente a abordagem mais adequada, embora uma combinação de RBAC e ABAC possa ser utilizada, se necessário.

Permissões mais perigosas definidas incorretamente

Freqüentemente, as permissões individuais não apresentam grandes problemas; as maiores e mais perigosas permissões definidas incorretamente são frequentemente definidas por meio de problemas de herança e participação em grupo. Geralmente, existem dois tipos principais de permissões que podem ser prejudiciais para uma organização:

1. Todos têm o direito de acessar e modificar arquivos e pastas, criando vários usuários com permissões excessivas e aumentando a superfície de ataque potencial para uma ameaça interna ou violação de dados.
2. Permissões de banco de dados definidas incorretamente também podem levar ao vazamento de dados.

Freqüentemente, descobrimos que configurações incorretas são uma das maiores causas de permissões perigosas. A Sunshine Behavioral Health LLC, por exemplo, relatou recentemente o vazamento de dados de mais de 93.000 arquivos de pacientes devido a buckets do Amazon S3 configurados incorretamente.

Por que você deve revisar regularmente as permissões de controle de acesso

À medida que as empresas crescem e evoluem, as permissões de controle de acesso podem rapidamente sair do controle. Os usuários mudam de função o tempo todo ou saem da empresa, e seu controle de acesso precisa ser alterado para refletir isso. Sem revisões regulares de suas permissões de controle de acesso, você não seria capaz de identificar esses casos de uso e sua superfície de ataque potencial poderia crescer exponencialmente. Suas permissões de controle de acesso devem ser revisadas regularmente como parte de um processo maior de avaliação de riscos. Algumas das coisas a procurar incluem:

• Quais dos seus usuários têm acesso aos seus dados mais confidenciais?
• Desses usuários, quantos deles exigem esse acesso como parte dos requisitos de sua função?
• Quantas alterações de permissão estão ocorrendo e essas alterações estão criando permissões excessivas?
• Quais dos seus usuários estão criando e modificando dados confidenciais?

Idealmente, você deve restringir as permissões tanto quanto possível para reduzir o risco de violações de dados.

Como gerenciar permissões de controle de acesso

Gerenciar suas permissões de controle de acesso de forma contínua e proativa pode ajudá-lo a evitar permissões excessivas e a expansão de permissões e a proteger os dados. Há várias coisas que você pode fazer para garantir que as permissões de controle de acesso sejam gerenciadas corretamente.

1. Classifique seus dados e determine quem tem acesso

Qualquer que seja a abordagem usada, é importante dedicar algum tempo pensando em como seus dados devem ser organizados para reduzir a complexidade dos controles de sua configuração. Depois de decidir sobre um esquema de classificação, você precisará examinar seus repositórios existentes com um pente fino e anotar quais dados você possui e como eles devem ser classificados.

Isto pode parecer uma tarefa difícil, já que muitas organizações terão enormes arquivos de dados não estruturados que acumularam ao longo de vários anos. Felizmente, existem ferramentas disponíveis que ajudarão a tornar o processo menos doloroso. Uma ferramenta de classificação de dados examinará automaticamente seus repositórios, descobrirá e classificará uma ampla variedade de tipos de dados, incluindo; números de segurança social, dados biométricos, registros médicos, detalhes de cartão de pagamento e quaisquer outros tipos de dados cobertos pelo GDPR, HIPAA, PCI e assim por diante. Essas soluções também fornecerão um resumo detalhado de arquivos contendo dados confidenciais que possuem permissões excessivas, dando-lhe assim a visibilidade necessária para configurar controles de acesso de maneira rápida e eficiente.

OK, então vamos nos aprofundar um pouco mais nas categorias que devemos configurar e nos tipos de dados que pertencem a cada categoria.

2. Categorizar o controle de acesso

Embora os administradores tenham a liberdade de configurar as categorias que desejarem, as categorias mais comuns incluirão Pública, Privada e Restrita. É improvável que precisem de mais de três categorias, embora existam algumas áreas cinzentas, como ilustrarei abaixo:

Dados públicos podem incluir quaisquer dados disponíveis ao público em geral. No entanto, isso não significa que o público em geral terá acesso de escrita aos dados, apenas que poderá visualizar os documentos sem restrições. Se o público tiver acesso de gravação a um determinado dado, não faz sentido atribuir controles de acesso a ele. Os dados públicos podem incluir ofertas de emprego, listas de produtos, informações de vendas e assim por diante.

Dados privados são dados que não estão disponíveis ao público em geral por padrão, embora o acesso público possa ser concedido sob certas condições. Isso pode incluir informações que estão por trás de um acesso pago ou dados que podem ser apresentados aos clientes mediante solicitação. No entanto, os dados privados também podem incluir informações específicas do negócio, que não podem ser divulgadas ao público, tais como designs de produtos, propriedade intelectual, lucros da empresa ou qualquer informação que possa prejudicar a reputação da empresa ou levar a uma perda de receitas, caso seja a ser divulgado ao público.

Dados restritos são dados que, se fossem divulgados ao público, poderiam resultar em multas, ações judiciais ou em séria perda de negócios. As regulamentações de proteção de dados, como GDPR, HIPAA e PCI-DSS, exigem que sejam implementadas salvaguardas para garantir que os dados confidenciais não sejam expostos ao público, e o não cumprimento dessas regulamentações pode custar caro. Por exemplo, ao abrigo do RGPD, as multas podem ascender a 20 milhões de euros, ou 4% do volume de negócios anual global (o que for mais elevado).

Como você pode ver, diferentes tipos de dados têm diferentes níveis de sensibilidade e pode ser tentador configurar muitas categorias diferentes para atender aos diversos tipos de dados. No entanto, é importante encontrar um equilíbrio, pois demasiada granularidade irá adicionar complexidade, o que pode, por sua vez, tornar mais difícil determinar se um utilizador deve ou não ter acesso a um determinado dado.

3. Implementar o Princípio do Menor Privilégio (PoLP)

O “princípio do menor privilégio” é um princípio muito importante na segurança de dados. Independentemente de estarmos falando de um usuário, um programa ou um processo, eles só devem ter acesso aos dados de que necessitam para desempenhar sua função. Além de evitar que funcionários regulares bisbilhotem dados que não são relevantes para a sua função, a implementação de segurança com privilégios mínimos ajudará a evitar que ataques de malware se espalhem lateralmente pela rede.

Monitorando permissões de acesso

Configurar controles de acesso é uma coisa, mas você ainda precisará de uma maneira de monitorá-los e garantir que os controles configurados não estejam sendo manipulados de alguma forma. Embora seja teoricamente possível examinar manualmente os logs do servidor nativo para procurar alterações de permissão não autorizadas, esta não seria a abordagem recomendada, pois o processo será complicado e ineficiente. Em vez disso, seria melhor instalar uma solução de auditoria de alterações de terceiros, como a Lepide Data Security Platform, que agregará automaticamente logs de eventos de várias fontes e apresentará as informações relevantes por meio de um console intuitivo.

Uma solução de auditoria especializada também ajudará a detectar e gerenciar contas de usuários inativas, que os hackers tentarão explorar para navegar pelo seu sistema sem serem detectados. Ele também fornecerá alertas em tempo real e relatórios predefinidos para fornecer a visibilidade necessária para proteger adequadamente seus dados confidenciais.

Você pode ter as melhores tecnologias de segurança que o dinheiro pode comprar, mas quando se trata de proteger seus dados confidenciais, os controles de acesso são tudo. Em resumo, você precisa saber onde residem seus dados confidenciais, bem como quem atualmente tem e deve ter acesso a eles. Você também precisará saber quando as permissões de acesso foram alteradas e por quem.