Aprenda a proteger dados sensíveis e aplicações web

0

Segundo o Gartner, os gastos globais com segurança da informação chegarão a US$ 71,1 bilhões em 2014, aumento de 7,9% em relação a 2013. Em 2015, esse mercado movimentará US$ 76,9 bilhões, principalmente em serviços que terão o uso crescente de dispositivos móveis, cloud e mídias sociais. Como dá para notar, o segmento será um dos impulsionadores da área de TI no próximo ano e perguntas recorrentes como "Estamos realmente seguros?" "Nossos investimentos foram corretor?" e "Onde mais posso investir?" permearão a vida do profissional de TI.

Antes de mais nada, segurança da informação é um conjunto de dados relacionado ao sentido de preservar o valor que possuem para um indivíduo ou uma instituição. As características primordiais desta modalidade são atributos de confidencialidade, disponibilidade, integridade e autenticidade, abrangendo sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.

É sempre bom ressaltar que as empresas fazem, ou já fizeram, investimentos em soluções como Firewalls, Sistemas de Detecção de Intrusão (IPS), filtro de conteúdo web e de e-mail, porém essas mesmas companhias investidoras negligênciam outras proteções a camada de aplicação. Por exemplo, sitemas ERP, SharePoint, sistemas de RH, sites de e-commerce, web sites, entre outros tipos de aplicações web.

Geralmente estes sistemas são baseados em uma aplicação e suas informações são armazenadas em um banco de dados e/ou servidores de arquivos. Para proteger esses dados, e como forma de impedir consultas não autorizadas, como ataques por vulnerabilidades de plataforma de banco de dados e/ou execução de códigos SQL (SQL Injection), é necessário realizar auditoria de todo acesso ou modificação nestas informações sigilosas.

Em cenários como estes é recomendável o uso de soluções de DataBase Security, que audita todo o acesso por usuários privilegiados e aplicações, alerta ou bloqueia ataques de banco de dados e pedidos de acesso irregulares, em tempo real, detecta as vulnerabilidades de banco de dados reduzindo a janela de exposição, identificar os direitos de usuário excessivos para dados sensíveis, além de acelerar a resposta à incidentes e investigação forense.

Para os aplicações web é necessária uma camada extra de segurança, por isso é recomendado o uso de Web Application Firewall (WAF), que é capaz de interagir e entender melhor o funcionamento das aplicações, podendo assim proteger contra ataques mais avançados e sofisticados, nos quais o "invasor" pode se aproveitar, por exemplo, de identidades válidas e se passar por um usuário legítimo, tendo assim, a partir da aplicação, o acesso a base de dados. Soluções tradicionais de segurança de rede como firewalls, next generation firewalls e IPS não conseguem prover visibilidade e a granularidade necessária a proteger ataques avançados contra aplicações web.

Dessa maneira, vale investir em soluções de WAF e DBSecurity que entre os seus benefícios estão o de alertar ou bloquear solicitações de acessos baseado no comportamento da aplicação, a tentativa de explorar oportunidades conhecidas e desconhecidas, violar as políticas corporativas, pesquisar sobre as ameaças atuais, proteger vulnerabilidades das aplicações web através da integração com scanners de vulnerabilidades, reduzindo a janela de exposição e impacto até que sejam feitas as devidas correções, auditar todo o acesso por usuários privilegiados e aplicações, alertar ou bloquear ataques de banco de dados e pedidos de acesso irregulares (em tempo real), detectar as vulnerabilidades de data centers, identificar os direitos do usuário excessivos para dados sensíveis, e por último, acelerar a resposta à incidentes e investigação forense.

Portanto, é preciso que as empresas tenham ciência que não estão e nunca estarão 100% seguras. Devemos pensar em um conceito de segurança em camadas, protegendo desde a parte física até a parte a aplicação para assim tentar ficar um passo a frente do cyber crime.

Leandro Alencar, gerente de Solution Center da Divisão de Plataformas da Sonda IT

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.