Pular para o conteúdo principal

Vazamento de Informações e DLP - como abordar este desafio

quinta-feira, 23 de abril de 2009


Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.

O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.

Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.

Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.

Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".

Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.

Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.

O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:
  • Se você não sabe nada, 'permit-all' é a única opção;
  • Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
  • Se você sabe tudo, somente aí o 'default-deny' se torna possível.
Alguém sabe tudo? Com relação à prevenção de perda de dados sensíveis, saber tudo inclui:
  • saber quais dados são sensíveis; e
  • conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
  • controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
  • desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
  • também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
  • no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
  • na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
  • na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
  • no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
  • na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
  • na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
  • monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.
Como você pode perceber, a tarefa é muito difícil, virtualmente impossível se considerarmos e adversários bem preparados e devidamente motivados contra informações que trafegam em uma empresa complexa, com múltiplos fornecedores e clientes e alto grau de conectividade e de compartilhamento de informações.

Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):
  • Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
  • Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
  • Data Classification (auxilia a classificação dos dados críticos)
As tecnologias de DLP (também chamadas de Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) e Extrusion Prevention System) utilizam várias técnicas para análise de conteúdo como palavras-chave, dicionários e expressões regulares e geram relatórios ou alertas que podem se integrar a uma solução de correlacionamento de eventos (SIEM).

Para mais informações, seguem alguns links de fornecedores de soluções de DLP:Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.

Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.

Comentários

Postagens mais visitadas deste blog

Primeiro episódio da "Conversa com Autores" com o delegado Wagner Carrasco

  Nesta segunda-feira teve início uma série de lives denominada "Conversa com Autores". O primeiro coautor a participar foi delegado Wagner Martins Carrasco de Oliveira @delegadowagnercarrasco que abordou os mesmos temas apresentados no capítulo que escreveu para o Tratado de Investigação Criminal Tecnológica, especialmente abordou os crimes de pirataria e a operação 404. Wagner Martins Carrasco de Oliveira é Delegado da Polícia Civil do Estado de São Paulo, em exercício na 1ª Delegacia da Divisão de Investigações Gerais (DIG) do Departamento de Investigações Criminais (DEIC). Graduado em Direito. Especialista Ciências Penais. Mestre em Adolescentes em Conflito com a Lei.

Número de golpes aplicados pela internet aumenta em um ano em Rio Preto ...

Número de golpes aplicados pela internet aumenta em um ano em Rio Preto O número de golpes aplicados pela internet aumentou em um ano, em São José do Rio Preto (SP). A polícia atribui parte da alta à pandemia, já que mais pessoas usam a internet. O delegado Higor Vinicius Nogueira Jorge apresentou as principais recomendações de segurança para que as pessoas não sejam vítimas desse tipo de delito. Matéria oriunda da TV Tem de São José do Rio Preto, afiliada da TV Globo. Mais informações sobre investigação criminal tecnológica acesse: www.higorjorge.com.br.⠀

Top 10 ameaças de segurança para 2011

Top 10 ameaças de segurança para 2011  Dos dez principais ameaças de segurança para 2011, alguns deles até mesmo fazer o bem informado e técnicos mentes fracas nos joelhos. Já este ano, a ameaça número um foi identificado. Pela primeira vez na história da internet, os hackers podem comprar uma cópia registrada de um kit de Malware sofisticados para 99,00 dólares, mas mais sobre essa ameaça abaixo. Em nenhuma ordem particular, estes são os outros nove principais ameaças à segurança para 2011: O Malware Toolkit: Este Kit Malware inclui todas as ferramentas necessárias para criar e atualizar o malware, bem como assumir o controle de um computador host, além de atualizações e-mail e suporte do produto. Por que isso é como a ameaça? Porque não são necessárias habilidades de codificação, os usuários simplesmente precisam dominar as opções do programa clicáveis e são apresentadas com uma web baseada em Linux exploit usando a mais recente tecnologia de botnets, pronto para implantar. hacke