Criptografe as suas máquinas virtuais antes que alguém o faça por você!

Conheça os ataques de Ramsonware e as ameaças de resgate

Mais um anúncio de vulnerabilidade de dados, envolvendo o SUS e segundo as informações obtidos, o Sistema Nacional de Vacinação, o Conecte SUS. As consequências podem ser severas e ainda não está claro se hoje vazamento de dados além da indisponibilidade dos sites.  Na prática, os cidadãos não conseguem acessar seus comprovantes de vacinação, os dados sobre a vacinação nacional estão indisponíveis e as medidas de proteção para pessoas que viajam para o Brasil estão suspensas.

Artigo publicado no Tecnoblog em 13/12/2021 informa que “os hackers teriam conseguido credenciais de acesso de pelo menos 23 órgãos do governo. Com isso, foi possível acessar o sistema do ConecteSUS hospedado na Amazon e deletá-lo. No domingo (12), porém, o ataque teria sido diretamente à rede da pasta, mas foi bloqueado.

A sequência não para por aí. Outra tentativa de ataque foi identificada na madrugada de segunda-feira (13). Redes de telefone e internet foram desligadas, assim como o sistema interno de trabalho da pasta.”

Segundo o G1,  “a queda dos sistemas do SUS teve reflexos pelo país: em Salvador, onde o comprovante começou a ser exigido na rodoviária, passageiros não conseguiram embarcar. No Piauí, houve filas para a vacinação.  No Acre, quem perdeu o comprovante em papel não consegue tomar a 2ª dose ou a dose de reforço; o mesmo aconteceu no Oeste de Santa Catarina. O governo do Tocantins diz que não consegue notificar casos e mortes de Covid.

Vale lembrar que o jornal Estadão já havia publicado em sua edição de 26/11/2020, matéria sobre o Vazamento de senhas, que expôs as informações de aproximadamente 16 milhões de pacientes de COVID-19.

Artigo publicado no Ciso Advisor em 05/10/2021, informa que um grupo de fraudadores desconhecido utilizou um script Python para criptografar máquinas virtuais hospedadas em servidores VMware ESXi. Aparentemente esta prática tem se tornado comum e o objetivo é sequestrar os dados da vítima para exigir resgate.

Compliance

Como prevenir os ataques a servidores e bases de dados?

Utilize múltiplas chaves

As boas práticas indicam que devem ser usadas múltiplas chaves específicas para proteger conjuntos de dados, entidades e dispositivos, impedindo que a eventual quebra de proteção de uma chave não implique em comprometimento geral.
Além do uso de múltiplas chaves, elas devem ser rotacionadas (renovadas) periodicamente. Para isso, a utilização de um KMS (Key Managent System) é indispensável

Não deixe a chave debaixo do tapete

As chaves criptográficas utilizadas para proteger máquinas virtuais, bases de dados etc. não podem estar armazenadas no código ou gravadas em arquivos de configuração. Elas não devem estar armazenadas no mesmo local dos objetos que devem proteger.

Para isso, implante um sistema de gestão de chaves criptográficas robusto, operando em um ambiente diverso daquele onde as chaves são utilizadas.

Evite o "Fator Humano" - Automatize

Com o uso cada vez maior de múltiplas chaves criptográficas, é indispensável que a gestã seja automatizada, com ferramentas para o agendamento e troca programada das chaves. Segundo o relatório “Cost of Data Breach Report” de 2020, publicado pela IBM, o erro humano foi o responsável por 23% das violações de dados identificadas.

 

Criptografe suas máquinas virtuais

Faça isso antes que um fraudador, utilizando uma credencial vulnerável o faça. Desta forma, mesmo que o ambiente virtual seja acessado indevidamente, as tentativas de uso indevido dos processos e informações será evitado.

A proteção das máquinas virtuais é um processo simples, rápido de excelente custo/benefício.

Implemente a criptografia TDE

As bases de Dados podem ser protegidas com recursos de Transparent Dat Encryption. O TDE é uma opção nativa para uma grande variedade de Gerenciadores de bancos de Dados.

Utilizando o TDE, as bases de dados, estruturadas ou não, somente poderão ser acessadas com a chave criptográfica associada.

 

BYOK e HYOK

O acesso aos ambientes de nuvem, como a AWS, Google e Microsoft envolve o uso de chaves para a criptografia e proteção dos ambientes.

O recurso de BYOK permite que o cliente faça o gerenciamento do ciclo de vida de suas chaves criptográficas, realizando a troca periódica das chaves e sua exclusão, quando necessário.

Implemente o FPE e o FPH

Dados sensíveis, como número do cartão, CPF, Passaporte, Registro do INSS e outros podem ser protegidos com outros recursos ainda mais aprimorados: a tokenização ou HASH dos dados, utilizando APIs específicas para essa finalidade. Esta pode ser uma camada de proteção adicional aos recursos já apresentados de criptografia das máquinas virtuais e das bases de dados. A vantagem deste método de proteção é que o dado criptografado mantém sua estrutura original, o que significa que as estruturas de dados não precisam ser modificadas.

Proteja os dados de testes e QA

Quem trabalha com testes e qualidade de sistemas sabe da importância de contar com bases de informações diversificadas, que atendam aos casos de uso que precisam ser testados. E quem trabalha com segurança das informações sabe que os dados produtivos não podem ser copiados para os ambientes de testes. O risco de vazamento destas informações é imenso.

Usando técnicas de anonimização de dados, (criptografia, hash e mascaramento, de acordo com a necessidade), é possível gerar massas de testes diversificadas, adequadas às necessidades dos testes e seguras.

A importância da Gestão de Identidades e Acessos

As regras de Segurança das Informações indicam diretrizes fundamentais para a gestão de identidades e acessos. Esta diretrizes se tornaram ainda mais estratégicas, considerando as mudanças significativas nos processos de produzir, acessar e utilizar informações.

  • As empresas expandiram suas fronteiras. Seus ambientes podem ser acessados de qualquer lugar, utilizando diversos dispositivos.
  • A pandemia do Covid-19 alavancou o acesso remoto, as compras pela internet e  o uso de APPs para as mais diversas finalidades, incluindo as transações financeiras.
  • A Internet das Coisas introduziu uma nova categoria de agentes de acesso, tratamento e consumo de dados – os dispositivos.
A se confirmar que o ataque ao Ministério da Saúde aconteceu em função de roubo de credenciais dos sertviços federais, pode-se esperar que outros de ataques de iguais ou piores consequências poderão ocorrer. A conferir.