Pular para o conteúdo principal

Vazamento de Informações e DLP - como abordar este desafio

quinta-feira, 23 de abril de 2009


Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.

O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.

Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.

Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.

Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".

Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.

Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.

O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
  • Se você não sabe nada, 'permit-all' é a única opção;
  • Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
  • Se você sabe tudo, somente aí o 'default-deny' se torna possível.
Alguém sabe tudo? Com relação à prevenção de perda de dados sensíveis, saber tudo inclui:
  • saber quais dados são sensíveis; e
  • conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
  • controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
  • desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
  • também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
  • no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
  • na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
  • na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
  • no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
  • na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
  • na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
  • monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Como você pode perceber, a tarefa é muito difícil, virtualmente impossível se considerarmos e adversários bem preparados e devidamente motivados contra informações que trafegam em uma empresa complexa, com múltiplos fornecedores e clientes e alto grau de conectividade e de compartilhamento de informações.

Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
  • Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
  • Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
  • Data Classification (auxilia a classificação dos dados críticos)
As tecnologias de DLP (também chamadas de Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) e Extrusion Prevention System) utilizam várias técnicas para análise de conteúdo como palavras-chave, dicionários e expressões regulares e geram relatórios ou alertas que podem se integrar a uma solução de correlacionamento de eventos (SIEM).

Para mais informações, seguem alguns links de fornecedores de soluções de DLP:Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.

Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.

Comentários

Postagens mais visitadas deste blog

Top 10 ameaças de segurança para 2011

Top 10 ameaças de segurança para 2011

 Dos dez principais ameaças de segurança para 2011, alguns deles até mesmo fazer o bem informado e técnicos mentes fracas nos joelhos. Já este ano, a ameaça número um foi identificado. Pela primeira vez na história da internet, os hackers podem comprar uma cópia registrada de um kit de Malware sofisticados para 99,00 dólares, mas mais sobre essa ameaça abaixo. Em nenhuma ordem particular, estes são os outros nove principais ameaças à segurança para 2011:
O Malware Toolkit: Este Kit Malware inclui todas as ferramentas necessárias para criar e atualizar o malware, bem como assumir o controle de um computador host, além de atualizações e-mail e suporte do produto. Por que isso é como a ameaça? Porque não são necessárias habilidades de codificação, os usuários simplesmente precisam dominar as opções do programa clicáveis e são apresentadas com uma web baseada em Linux exploit usando a mais recente tecnologia de botnets, pronto para implantar.
hacker…

Saiba como o Egito se desligou da web, e o que é feito para furar bloqueio

Internet foi criada para sobreviver a ataque nuclear, mas pode ser 'fechada'.
País tem rede pequena e provedores cooperaram com governo. Altieres RohrEspecial para o G1 Alguns telefonemas. É o que especialistas apostam ter sido suficiente para derrubar a internet no Egito. O país tem poucas das chamadas redes autônomas (AS, na sigla em inglês), que são as pequenas redes que, quando conectadas entre si, formam a internet. Existem ainda menos provedores internacionais que conectam o país. Desconectar o Egito, portanto, não foi difícil.
O Egito possui cerca de 3500 redes, mas apenas seis provedores internacionais.
Os quatro maiores provedores do Egito foram os primeiros a parar suas atividades após o pedido do governo. Os demais acabaram recebendo o tráfego extra, mas logo se viram sobrecarregados e também sob pressão até que o último provedor, Noor, foi desligado nesta segunda-feira (31). O Noor ligava companhias ocidentais à internet e também a bolsa de valores do país, que agora…

Lançamento da coleção "Investigação Criminal Tecnológica"

O delegado de polícia Higor Vinicius Nogueira Jorge lançou a coleção "Investigação Criminal Tecnológica", dividida em dois volumes.

O volume 1 aborda alguns procedimentos práticos de investigação criminal tecnológica, incluindo aspectos essenciais sobre infiltração virtual de agentes na rede mundial de computadores, informações sobre Uber, WhatsApp, Facebook, Twitter, Netflix, PayPal, Ebay, OLX, bem como ferramentas para investigação em fontes abertas e modelos de requisição, auto de materialização de evidências eletrônicas, representação de afastamento de sigilo eletrônico e relatório de investigação. 
O volume 2 oferece informações sintéticas sobre inteligência de Estado e Segurança Pública, incluindo informações sobre a história da inteligência no Brasil e no mundo, conceitos relacionados com Inteligência, Contrainteligência, Elemento Operacional, Doutrina Nacional de Inteligência de Segurança Pública, Metodologia da Produção do Conhecimento e Análise de Vínculos, técnic…