Conter violações que impedem o movimento lateral dentro do Data Center é uma medida que pode minimizar o impacto do ataque, proibindo que os criminosos furtem dados corporativos.
Os Data Centers hoje, assim como os bancos foram com exclusividade no passado, guardam os tesouros cobiçados dos nossos tempos. Dados de todos os tipos, como financeiros, corporativos e uma infinidade de informações pessoais, fazem com que esses ambientes sejam frequentemente alvo de ameaça e ataques criminosos, uma vez que há milhões de dólares potenciais nessas informações. Por essa razão, o quesito segurança em Data Center é um assunto recorrente em TI.
Reconhecer como esses ataques atingem o servidor colabora para a tomada de ações que possam minimizar os impactos das violações. Outro ponto a ser observado é entender como os ataques exploram as fragilidades dos sistemas e identificar o que há de errado com a segurança do ambiente.
Dados de uma pesquisa da Organização dos Estados Americanos, feita em 2015 em conjunto com uma empresa de segurança em Nuvem, demonstrou que o número de ataques virtuais aumentou de forma exponencial nos últimos anos, bem como a complexidade com que ocorrem. Em contrapartida, a pesquisa mostra também que a proteção contra esses ataques não acompanhou esse crescimento, o que pode ser visto com mais de 70% dos respondentes da pesquisa terem afirmado que não se sentem completamente preparados para enfrentar ciberataques, apesar dos esforços empreendidos em segurança.
Cada nova violação supera a anterior em termos de volume e de milhões de dólares comprometidos, como é possível observar em recentes ataques contra empresas como Anthem, Home Depot e Sony.
Nesses casos, os ataques tiveram uma característica em comum: após a violação, foram capazes de se propagar de servidor para servidor lateralmente dentro dos Data Centers. Os dados eram então coletados, selecionados e explorados, sem qualquer controle de segurança, evidenciando uma grande fragilidade dos servidores da atualidade: um grande esforço tecnológico para impedir as violações iniciais, mas uma vez que elas ocorrem, o mesmo nível de segurança não se aplica dentro do ambiente.
Dessa forma, a contenção de violações, que possa impedir o movimento lateral dentro dos centros de dados, são medidas que podem efetivamente minimizar o impacto do ataque, impedindo que os criminosos furtem as informações.
Dados do relatório de Investigação de violações da Verizon publicado no ano passado mostraram que dos quase 80 mil incidentes de segurança registrados pela instituição em 2014, mais de dois mil atingiram dados sensíveis. Citando novamente a Sony, um custo de uma violação em 2011 alcançou o montante superior a 170 milhões de dólares. Em 2014, um novo ataque à empresa forçou o desligamento de toda sua rede por dias, o que gerou, novamente, um prejuízo bastante elevado.
Como funcionam as invasões ao Data Center
Os ciberataques atuais estão cada vez mais sofisticados e exploram a vulnerabilidade dos projetos modernos, que tem pouco ou nenhum controle no interior do servidor. Os criminosos, uma vez dentro do ambiente, precisam se deslocar de forma lateral, ampliando o acesso a estruturas para alcançar os objetivos do ataque.
A partir do momento que a violação já aconteceu, o invasor pode instalar um malware e estabelecer outros tipos de controle e comandos na infraestrutura, como tráfego SSL que usam proxies criptografados dentro do sistema ou aplicações com protocolos de comunicação legítimos - que permitem que o atacante possa se mover com facilidade sem ser detectado. Enquanto as equipes de TI tentam isolar esta ameaça especifica, o invasor já pode ter despertado malwares instalados em outros sistemas e continuar o ataque.
Proteger o perímetro
Quando o assunto é segurança da informação, a segmentação é um princípio fundamental que há muito tempo tem sido aplicado nos projetos de Data Centers. Ela ocorre entre duas ou mais redes, como uma rede interna ao Data Center e uma externa, como a internet, utilizando um firewall instalado no perímetro entre elas.
Embora a segmentação esteja presente nos Data Centes, as redes são grandes demais para serem segmentadas de forma eficaz. Em um exemplo prático, uma rede pode ser segmentada em vários níveis, usando firewalls adicionais para criar redes de departamentos separados (financeiro, RH, etc) ou uma DMZ, do inglês demilitarized zone, também conhecida como rede de perímetro.
Uma estratégia de proteção eficaz seria a micro-segmentação em níveis abaixo do fluxo de trabalho individuais. No entanto, exigiria a implantação de uma grande quantidade de firewalls dentro do Data Center para proteger cada uma das cargas individuais de trabalho, o que é financeiramente e operacionalmente inviável.
Muitas empresas já separam as redes dos Data Centers em diferentes segmentos de segurança, originando uma estrutura de sub-redes e LANs virtuais (VLANs), uma técnica que proporciona controle de acessos, mas que se baseia na construção de sistemas extremamente rígidos e complexos.
Outro fator limitante no reconhecimento de ataques é o próprio desenho atual das estruturas de Data Center, que gera uma sobreposição (grampos) no tráfego entre servidores. Essa situação aumenta a complexidade do Data Center de muitas formas, com pontos de estrangulamento desnecessários no desempenho da rede e potenciais pontos de falha.
Muitas soluções avançadas de segurança têm sido implantadas no perímetro para reforçar suas defesas, incluindo uma nova geração de firewalls, anti-malware, sistemas de prevenção de intrusão (IPS), mas, muitas vezes elas são formatadas para lidar com ameaças no perímetro e o problema fundamental com a segurança dentro do Data Center permanece.
As soluções precisam, portanto, serem implementadas tanto no perímetro quanto no interior do centro de dados, em uma plataforma comum que permita a coordenação entre cargas de trabalho individuais e diferentes tecnologias.
Escreva seu comentário