Inconsistent Data Security Controls: When the Same Data Is Both Encrypted and Exposed

Quais são as chances de uma empresa sofrer uma violação de dados? De acordo com uma fonte, se você faz parte da Fortune 1000, então a probabilidade de que sua empresa tenha sofrido uma violação de dados na última década é superior a 60%. E esses números consideram apenas os incidentes que foram divulgados publicamente.

Para grandes organizações com dados valiosos, a questão não é SE seus dados serão violados, mas QUANDO. Para minimizar o raio de impacto de uma violação de dados e as subsequentes multas regulatórias, danos à marca e impacto na receita, os defensores de dados aplicam uma variedade de controles de segurança aos seus dados. Isso inclui limitar quem tem acesso e o que podem ver.

Embora a implementação de controles de segurança de dados possa limitar os danos de uma violação de dados, os próprios controles muitas vezes não são aplicados de forma consistente aos dados.

Os pesquisadores de segurança da Cyera examinaram ambientes de nuvem operados por diferentes organizações, descobrindo inconsistências na forma como os controles de segurança de dados foram aplicados.

Controles de acesso baseados em função inconsistentes

O controle de acesso baseado em funções (RBAC) autoriza e limita o acesso aos dados com base na função do usuário.

Neste cenário, a função tem acesso à Tabela A e à Tabela B. Ambas as tabelas contêm números de seguridade social, uma classe de dados altamente restrita. Na Tabela A, os números de seguridade social são mascarados no nível da coluna. Na Tabela B, os números de seguridade social são expostos como texto simples.

Como isso acontece? A equipe de segurança pretendia restringir os usuários corporativos de visualizar números de seguridade social em formato de texto simples, independentemente de onde os números de seguridade social residam. Eles aplicaram uma política de mascaramento que cobre determinados conjuntos de dados, mas perderam conjuntos de dados desconhecidos, não inventariados e governados adequadamente pela organização.

Mascaramento de dados dinâmicos inconsistente

Data warehouses incluindo Snowflake, Azure Synapse, AWS RedShift e Google BigQuery oferecem suporte ao mascaramento dinâmico de dados. Este recurso permite que os dados sejam armazenados em texto simples, mas mascarados no momento da consulta. Com o mascaramento dinâmico de dados, os usuários podem executar consultas livremente, mas visualizam dados seletivos em formato mascarado.

Neste cenário, a máscara de dados dinâmica foi aplicada a classes de dados selecionadas, mas não de forma consistente nos mesmos resultados da consulta. Vemos que o nome da pessoa e o número da conta estão mascarados. No entanto, o nome e o número da conta da mesma pessoa estão expostos em texto simples dentro de um objeto JSON.

Como isso acontece? Engenheiros de dados armazenam objetos JSON em um banco de dados porque esses objetos fornecem usos valiosos, incluindo o registro de certas ações, armazenamento de permissões e configurações, evitando desempenho lento para dados altamente aninhados ou informando analistas de dados sobre quais dados estão disponíveis para análise. Mas o mesmo risco existe em cada um desses casos – expor dados sensíveis que muitas ferramentas de descoberta e classificação não conseguem ver.

Aproveite o Cyera para auditar controles de segurança de dados

Os ambientes amostrados pertenciam a organizações que aplicavam controles de segurança com ferramentas legadas disponíveis no mercado. Como consequência, não havia boas maneiras de saber quão eficazes eram essas implementações. Isto é, até que adotaram uma plataforma de segurança de dados nativa da nuvem, permitindo que vissem:

• Quais classes de dados sensíveis foram expostas
• Onde os dados sensíveis estavam localizados, incluindo os dados que eles não conheciam
• Quais níveis de acesso estavam em vigor
• E quais métodos de ofuscação (criptografados, com hash, tokenizados, etc.) foram usados ou estão ausentes

A plataforma de segurança de dados da Cyera fornece contexto profundo sobre seus dados, aplicando controles corretos e contínuos para garantir resiliência cibernética e conformidade.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar ações imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como você pode auditar a eficácia dos seus controles de segurança de dados, agende uma demonstração hoje.