Aprenda a proteger dados sensíveis e aplicações web

CURSO TÉCNICO DISPONÍVEL PELA INTERNET

A Manutenção Autônoma – Disponível pela Internet – Ministrado em 11/10/2013

Como conscientizar e habilitar o operador a cuidar adequadamente do equipamento.

Leandro Alencar

Segundo o Gartner, os gastos globais com segurança da informação chegarão a US$ 71,1 bilhões em 2014, um aumento de 7,9% em relação a 2013. Em 2015, esse mercado movimentará US$ 76,9 bilhões, principalmente em serviços que terão o uso crescente de dispositivos móveis, cloud e mídias sociais. Como dá para notar, o segmento será um dos impulsionadores da área de TI no próximo ano e perguntas recorrentes como “Estamos realmente seguros?” “Nossos investimentos foram corretos?” e “Onde mais posso investir?” permearão a vida do profissional de TI.

Antes de mais nada, segurança da informação é um conjunto de dados relacionado ao sentido de preservar o valor que possuem para um indivíduo ou uma instituição. As características primordiais desta modalidade são atributos de confidencialidade, disponibilidade, integridade e autenticidade, abrangendo sistemas computacionais, informações eletrônicas ou sistemas de armazenamento.

É sempre bom ressaltar que as empresas fazem, ou já fizeram, investimentos em soluções como Firewalls, Sistemas de Detecção de Intrusão (IPS), filtro de conteúdo web e de e-mail, porém essas mesmas companhias investidoras negligenciam  outras proteções a camada de aplicação. Por exemplo, sistemas ERP, SharePoint, sistemas de RH, sites de e-commerce, web sites, entre outros tipos de aplicações web.

Geralmente estes sistemas são baseados em uma aplicação e suas informações são armazenadas em um banco de dados e/ou servidores de arquivos. Para proteger esses dados, e como forma de impedir consultas não autorizadas, como ataques por vulnerabilidades de plataforma de banco de dados e/ou execução de códigos SQL (SQL Injection), é necessário realizar auditoria de todo acesso ou modificação nestas informações sigilosas.

Em cenários como estes é recomendável o uso de soluções de DataBase Security, que audita todo o acesso por usuários privilegiados e aplicações, alerta ou bloqueia ataques de banco de dados e pedidos de acesso irregulares, em tempo real, detecta as vulnerabilidades de banco de dados reduzindo a janela de exposição, identificar os direitos de usuário excessivos para dados sensíveis, além de acelerar a resposta à incidentes e investigação forense.

Para os aplicações web é necessária uma camada extra de segurança, por isso é recomendado o uso de Web Application Firewall (WAF), que é capaz de interagir e entender melhor o funcionamento das aplicações, podendo assim proteger contra ataques mais avançados e sofisticados, nos quais o “invasor” pode se aproveitar, por exemplo, de identidades válidas e se passar por um usuário legítimo, tendo assim, a partir da aplicação, o acesso a base de dados. Soluções tradicionais de segurança de rede como firewalls, next generation firewalls e IPS não conseguem prover visibilidade e a granularidade necessária a proteger ataques avançados contra aplicações web.

Dessa maneira, vale investir em soluções de WAF e DBSecurity que entre os seus benefícios estão o de alertar ou bloquear solicitações de acessos baseado no comportamento da aplicação, a tentativa de explorar oportunidades conhecidas e desconhecidas, violar as políticas corporativas, pesquisar sobre as ameaças atuais, proteger vulnerabilidades das aplicações web através da integração com scanners de vulnerabilidades, reduzindo a janela de exposição e impacto até que sejam feitas as devidas correções, auditar todo o acesso por usuários privilegiados e aplicações, alertar ou bloquear ataques de banco de dados e pedidos de acesso irregulares (em tempo real), detectar as vulnerabilidades de data centers, identificar os direitos do usuário excessivos para dados sensíveis, e por último, acelerar a resposta à incidentes e investigação forense.

Portanto, é preciso que as empresas tenham ciência que não estão e nunca estarão 100% seguras. Devemos pensar em um conceito de  segurança em camadas, protegendo desde a parte física até a parte a aplicação para assim tentar ficar um passo a frente do cyber crime.

Leandro Alencar é gerente de Solution Center da Divisão de Plataformas da Sonda IT.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

%d bloggers like this: