Controles de segurança de dados inconsistentes: quando os mesmos dados são criptografados e expostos simultaneamente.

May 9, 2023
Share

Quais são as chances de uma empresa sofrer uma violação de dados? De acordo com uma fonte, se sua empresa faz parte da lista Fortune 1000, a probabilidade de ela já ter sofrido uma violação de dados é de 100%. Na última década, mais de 60%E esses números consideram apenas os incidentes que foram divulgados.

Para grandes organizações com dados valiosos, a questão não é SE seus dados serão violados, mas QUANDO. Para minimizar o impacto de uma violação, violação de dados Considerando as multas regulatórias subsequentes, os danos à marca e o impacto na receita, os profissionais de proteção de dados aplicam uma variedade de controles de segurança aos seus dados. Isso inclui limitar quem tem acesso e o que essas pessoas podem ver.

Embora a implementação de controles de segurança de dados possa limitar os danos de uma violação de dados, esses controles muitas vezes não são aplicados de forma consistente aos dados.

Os pesquisadores de segurança da Cyera examinaram ambientes de nuvem operados por diferentes organizações, descobrindo inconsistências na forma como os controles de segurança de dados eram aplicados.

Controles de acesso baseados em funções inconsistentes

O controle de acesso baseado em funções (RBAC) autoriza e limita o acesso aos dados com base na função do usuário.

Neste cenário, a função tem acesso à Tabela A e à Tabela B. Ambas as tabelas contêm números de segurança social, uma classe de dados altamente restrita. Na Tabela A, os números de segurança social estão mascarados ao nível da coluna. Na Tabela B, os números de segurança social são expostos como texto simples.

Visualização de uma única função com acesso a duas tabelas, ambas contendo o número de segurança social (SSN).
Visualização de uma única função com acesso a duas tabelas, ambas contendo o número de segurança social (SSN).

Como isso acontece? A equipe de segurança pretendia impedir que usuários corporativos visualizassem números de seguro social em formato de texto simples, independentemente de onde esses números estivessem armazenados. Eles aplicaram uma política de mascaramento que abrange determinados conjuntos de dados, mas deixaram passar alguns deles. Conjuntos de dados desconhecidos, não inventariados e governados adequadamente. pela organização.

Mascaramento de dados dinâmicos inconsistente

Os data warehouses, incluindo Snowflake, Azure Synapse, AWS Redshift e Google BigQuery, oferecem suporte à mascaramento dinâmico de dados. Esse recurso permite que os dados sejam armazenados em texto simples, mas mascarados no momento da consulta. Com o mascaramento dinâmico de dados, os usuários podem executar consultas livremente, mas visualizar dados selecionados em formato mascarado.

Neste cenário, a máscara de dados dinâmica foi aplicada a classes de dados selecionadas, mas não de forma consistente nos resultados da mesma consulta. Observamos que o nome e o número da conta da pessoa estão mascarados. No entanto, o nome e o número da conta da mesma pessoa são expostos em texto simples dentro de um objeto JSON.

Como isso acontece? Engenheiros de dados armazenam objetos JSON em um banco de dados porque esses objetos oferecem usos valiosos, incluindo o registro de determinadas ações, o armazenamento de permissões e configurações, a otimização do desempenho em dados altamente aninhados ou a informação aos analistas de dados sobre quais dados estão disponíveis para análise. Mas o mesmo risco existe em cada um desses casos: expor dados sensíveis que muitas ferramentas de descoberta e classificação não conseguem visualizar.

Resultados da consulta em um data warehouse mostrando uma única linha de informações.
Resultados da consulta em um data warehouse mostrando uma única linha de informações.

Utilize o Cyera para auditar os controles de segurança de dados.

Os ambientes amostrados pertenciam a organizações que aplicavam controles de segurança com ferramentas legadas disponíveis no mercado. Consequentemente, não havia boas maneiras de saber a eficácia dessas implementações. Isso até que elas adotassem uma plataforma de segurança de dados nativa da nuvem, permitindo-lhes ver:

  • Que classes de dados sensíveis foram expostas?
  • Onde estavam localizados os dados sensíveis, incluindo os dados que eles desconheciam.
  • Quais eram os níveis de acesso estabelecidos?
  • E o quê? ofuscação Foram utilizados ou não métodos (criptografados, hashados, tokenizados, etc.)

A plataforma de segurança de dados da Cyera fornece um contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir a resiliência cibernética e a conformidade.

A Cyera adota uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como auditar a eficácia dos seus controles de segurança de dados, Agende uma demonstração hoje.

Share