Bilhões de registros comprometidos: por que a camada de aplicação ainda é a porta de entrada para violações de dados

As equipes de segurança devem se preparar para um ano inquietante e sem precedentes, pois estamos a caminho de ver 40 bilhões de registros comprometidos até o final de 2021. Terry Ray da Imperva explica o que as equipes de segurança precisam fazer para reforçar suas defesas.

40 bilhões de registros comprometidos

A cada ano, o número de violações de dados cresce 30%, enquanto o número de registros comprometidos aumenta em média 224%. 2021 está longe de acabar, mas já estamos a caminho de mais um ano recorde. Na verdade, uma pesquisa da Imperva descobriu que mais registros foram comprometidos apenas em janeiro do que em todo o ano de 2017.

O volume de ataques cibernéticos e registros comprometidos continua a crescer, apesar do aumento dos gastos com segurança cibernética, à medida que as empresas tentam mitigar os danos financeiros e de reputação que uma violação pode custar as suas organizações. Então, por que os ataques bem-sucedidos estão aumentando se as empresas têm mais defesas instaladas?

Os invasores continuam desenvolvendo suas táticas para obter acesso a dados confidenciais. Eles estão usando métodos mais sofisticados que fogem das soluções tradicionais de perímetro ou endpoint. Na verdade, a pesquisa descobriu que quase 50% das violações de dados nos últimos anos se originaram na camada de aplicação da web. Embora não seja uma tendência nova, os invasores continuam a usar injeção de SQL (SQLi) ou execução remota de código (RCE) para explorar vulnerabilidades em aplicativos da web que estão conectados aos armazenamentos de dados de uma organização.

As organizações precisam repensar sua postura de segurança e as ferramentas para atuar de maneira eficaz em cada camada da pilha de tecnologia. Proteger a camada de aplicação, onde estão os aplicativos da web, tem sido o foco da indústria há anos, mas os invasores ainda estão encontrando maneiras de conseguir burlar e invadir os sistemas. Em parte, há um problema operacional a ser resolvido. Quando a segurança de aplicativos e dados é gerenciada por equipes separadas, isso cria lacunas que invasores experientes e motivados podem explorar.

As equipes de segurança devem se preparar para um ano inquietante e sem precedentes, já que estamos a caminho de ver 40 bilhões de registros comprometidos até o final de 2021 – mais do que o dobro do total do ano passado – de acordo com a Imperva Research Labs.

É hora de uma mudança de mentalidade: proteja todos os caminhos para os dados

Incidentes de segurança como o Sunburst e a violação Accellion ressaltam a natureza em evolução dos ataques e o impacto generalizado que esses eventos têm nos clientes, parceiros e na economia global.

Os ataques estão aumentando devido à natureza em evolução do desenvolvimento de aplicativos e da infraestrutura de TI. Os aplicativos monolíticos foram decompostos em um mar de APIs, microsserviços e funções sem servidor. A modernização do DevOps está permitindo um desenvolvimento mais rápido e serviços digitais de ponta para os usuários finais. Embora esteja criando experiências de usuário aprimoradas e eficácia do aplicativo, está expandindo o cenário de ameaças de maneiras novas e complexas. Cada parte do ciclo de vida de desenvolvimento de software interage com uma variedade de armazenamentos de dados para permitir resultados em tempo real e melhorar a funcionalidade do usuário, configurando potenciais riscos à segurança dos dados.

Para as equipes de segurança, o desafio é descobrir como obter visibilidade em tempo real dessas cargas de trabalho efêmeras, pois são mais difíceis de monitorar. Além disso, o volume de APIs primárias e de terceiros que têm acesso aos dados organizacionais está se multiplicando, criando risco adicional para um ataque de violação de dados. Na verdade, o número de novas vulnerabilidades de API cresceu 4% em 2020, com a classificação de exposição de dados confidenciais como a vulnerabilidade mais comum. Com esse contexto, fica claro por que as violações de dados originadas na camada de aplicação são uma tendência crescente. Sem camadas eficazes de segurança para monitorar ou bloquear atividades mal-intencionadas desde a borda até o aplicativo ou API até o armazenamento de dados, como as organizações podem manter a segurança?

Cadeias de suprimentos de software vulneráveis ​​são um playground de invasores

bilhões registros comprometidos

À medida que os ambientes de aplicativos da web se tornam mais complexos, qualquer sistema pode ser um caminho para invasores externos, ou mesmo internos, atingirem seu objetivo principal: obter acesso a dados confidenciais.

Manter um banco de dados totalmente corrigido e usar recursos de segurança nativos – como criptografia de dados e listas definidas de usuários e autorizações – pode parecer o suficiente para proteger os dados armazenados. Embora seja um bom lugar para começar, as equipes de segurança não devem se tornar complacentes. Esses controles não são suficientes para a defesa contra ataques sofisticados que começam na camada de aplicação. Os ataques SQLi têm a capacidade de escapar das defesas e controlar o acesso ou modificar e excluir registros nos bancos de dados subjacentes. Em alguns casos, eles podem até mesmo acessar os sistemas operacionais dos servidores que hospedam os serviços de banco de dados.

Os invasores são motivados a acessar informações confidenciais, independentemente de sua composição e estrutura. É por isso que as organizações precisam implementar segurança para todos os seus armazenamentos de dados, com foco na proteção dos próprios dados – não apenas os aplicativos e redes que os cercam e interagem com eles. Seja para segurança preventiva proativa ou para resposta pós-incidente, ou ambos, é vital entender onde os dados se encontram, se estão classificados, se os controles de acesso corretos estão em vigor e garantir que ferramentas fortes para auditoria e detecção de anomalias estejam em vigor.

Com tudo isso em mente, uma abordagem tradicional de segurança não funcionará, pois você precisa de visibilidade em todo o ambiente e para entender os movimentos laterais que acontecem durante as ações dos atacantes ou numa Kill chain cibernética. Somente adotando uma abordagem holística e unificada – que prioriza a segurança dos dados em si – você pode manter sua organização fora das manchetes.

Conheça as soluções da CLAVIS Segurança da Informação que fornecem uma segurança orientada a dados, com ferramentas de desenvolvimento próprias, homologadas pelo Ministério da Defesa como produtos estratégicos de defesa cibernética: o Octopus SIEM e o BART.
Caso precise de um monitoramento apoiado por um SOC MSS, que forneça uma estrutura completa de segurança atuando em todas as camadas com acompanhamento 24horas, sete dias por semana, pode contar o SOC MSS da Clavis, onde grandes players do mercado já fazem parte e estão usufruindo desta excelente solução de segurança Cibernética, homologada e certificada pela MSP Alliance e pela ISO27001. Clique aqui para maiores informações e confira na íntegra nosso post sobre a conquista obtida pelo SOC Clavis: O Centro de Operações de Segurança (SOC) da Clavis conquista a certificação ISO 27001..

Posts relacionados: Relatório sobre o prejuízo de um vazamento de dados – 2020 / Relatório dos países que mais sofreram com vazamentos de dados em 2020 e Como proceder em caso de vazamento de dados – dicas para os agentes e titulares de dados pessoais

Informações obtidas/adaptadas de Billions of Compromised Records and Counting: Why the Application Layer is Still the Front Door for Data Breaches