Vazamento de Informações e DLP - como abordar este desafio

quinta-feira, 23 de abril de 2009

Várias áreas dentro de uma empresa (pública ou privada) se preocupam - ou deveriam se preocupar - direta ou indiretamente com os efeitos de vazamentos de informações: Segurança de Informações, Auditoria, Anti-Fraude, Risco, Recursos Humanos, Governança e Compliance - para citar algumas.

O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. Alcançar um controle sobre este processo, porém, é uma tarefa muito difícil.

Se fosse fácil, não veríamos tão frequentemente notícias como a publicadas nesta semana pelo Washington Post: dados sensíveis do projeto do mais moderno jato da força aérea americana de 300 bilhões de dólares - o F-35 Lightning II fighter - foram obtidos por atacantes ainda não identificados (mais aqui e aqui). Segundo os repórteres do Washington Post e Wired, as informações vazadas possibilitam a um adversário se defender melhor do jato e estudar as suas vulnerabilidades.

Virtualmente todas as normas regulatórias de compliance como Sarbanes Oxley, PCI, HIPAA, Basiléia e GLBA exigem que as empresas tenham controle sobre suas informações sensíveis.

Estar compliance com estas regulações é apenas o começo, e obviamente não garante que você esteja imune a problemas de vazamento de informações - conforme a HeartLand aprendeu. O maior vazamento de números de cartões de crédito da história aconteceu em uma empresa que era "PCI Compliant".

Um vazamento de informações no âmbito corporativo pode ser igualmente temível, seja porque informações estratégicas irão voar para as mãos de um competidor, ou informações financeiras de clientes podem estar sendo obtidas por fraudadores - como no caso da HeartLand.

Há um ano atrás, escrevemos sobre o desafio em implementar com sucesso soluções de "Prevenção"/Proteção de Vazamento de Informações (DLP) em ambientes complexos.

O primeiro difícil passo continua sendo a de classificação adequada de informações. [ Em um levantamento feito pelo TCU em 2007, foi identificado que 80% dos órgãos do executivo analisados não fazem nenhuma classificação da informação ]. O cenário infelizmente não é muito diferente nas empresas privadas brasileiras.
Para conseguir iniciar um processo de classificação de informações é necessário conhecer/ classificar e controlar profundamente o estado e as alterações em suas aplicações e dados críticos. O visionário Dan Geer coloca sabiamente [tradução livre]:

• Se você não sabe nada, 'permit-all' é a única opção;
• Se você sabe algo, 'default-permit' é o que você pode/deve fazer;
• Se você sabe tudo, somente aí o 'default-deny' se torna possível.

Alguém sabe tudo? Com relação à prevenção de perda de dados sensíveis, saber tudo inclui:

• saber quais dados são sensíveis; e
• conhecer profundamente o ciclo de vida de todas suas informações sensíveis; e
• controlar e monitorar o acesso, leitura e escrita destas informações durante todo o seu processamento dentro da empresa; e
• desde a geração da informação, considerando todos sistemas que geram input para formar estas informações; e
• também no processamento da informação em todos os sistemas internos e externos, além de workstations clientes envolvidas daí em diante; e
• no momento de descarte desta informação, seja em forma de papel jogado fora (triture!) ou em máquinas antigas (faça wipe!) que estão sendo doadas; e
• na guarda autorizada desta informação em todas os possíveis lugares por onde ela trafega (servidores, banco de dados, intranet, workstations, notebooks, rede, etc..); e
• na maneira com que os colaboradores tratam estas informações (reunião com fornecedores via MSN?, Que tal disponibilizar um arquivo grande via P2P); e
• no momento do desligamento de um colaborador, que informações críticas ele leva junto?;
• na detectção da presença não autorizada desta informação em workstations, pen-drives, impressoras, sites externos, etc (DLP - data at rest) ; e
• na detecção do tráfego não autorizado destas informações em redes não autorizadas ou para a internet (DLP - data in motion); e
• monitorar toda a internet por possíveis informações da sua empresa que possam estar indevidamente disponíveis.

Como você pode perceber, a tarefa é muito difícil, virtualmente impossível se considerarmos e adversários bem preparados e devidamente motivados contra informações que trafegam em uma empresa complexa, com múltiplos fornecedores e clientes e alto grau de conectividade e de compartilhamento de informações.

Para abordar este desafio, além da tradicional abordagem de segurança em profundidade, existem três tipos de tecnologia de DLP (Data Loss Prevention/Protection):

• Data at Rest (para identificação das informações de dados gravados - ou apagados - em HDs)
• Data in Motion (para identificação das informações em trânsito internamente e saindo da empresa)
• Data Classification (auxilia a classificação dos dados críticos)

As tecnologias de DLP (também chamadas de Data Leak Prevention, Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) e Extrusion Prevention System) utilizam várias técnicas para análise de conteúdo como palavras-chave, dicionários e expressões regulares e geram relatórios ou alertas que podem se integrar a uma solução de correlacionamento de eventos (SIEM).

Para mais informações, seguem alguns links de fornecedores de soluções de DLP:

• Verdasys
• Symantec/ex-Vontu
• TrendMicro/ex-Provil
• IronPort
• NetWitness

Outra referência é um livro muito interessante que fala sobre sobre o assunto: Network Extrusion Detection do Richard Bejtlich.

Para uma referência de casos de vazamento de informações, um site muito interessante que mantém um histórico é o datalossdb.org.