A segurança em banco de dados (BD) é uma preocupação recorrente nas empresas. Por isso, para garantir que violações sejam evitadas, é preciso entender que esse ambiente complexo requer cuidados e procedimentos específicos.
Neste post, abordaremos os principais pontos de atenção, apresentaremos as ameaças mais comuns de um BD e como mantê-lo protegido. Boa leitura!
O que é segurança em banco de dados?
Antes de mais nada, é preciso levar em consideração que essa é uma área muito extensa. Porém, podemos definir a segurança em banco de dados como uma série de medidas para proteger o Sistema Gerenciador de Banco de Dados (SGBD), como o MySQL, de ataques cibernéticos e do uso incorreto.
Sendo assim, a proteção desse ambiente compreende metodologias, processos e ferramentas que vão desde questões éticas e legais, como políticas corporativas e itens de sistema, até controle de acessos por usuário.
Como o próprio nome já anuncia, os bancos de dados são conglomerados de informações, muitas vezes compartilhadas por mais de um grupo de arquivos. Assim, suas necessidades de proteção vão ao encontro dos três pilares de segurança da informação: integridade, disponibilidade e confidencialidade.
Integridade
Este pilar diz respeito à garantia de que as informações armazenadas são verdadeiras e confiáveis. Em ambiente corporativo, dados são utilizados para tomada de decisões a todo momento. É imprescindível garantir a integridade para assegurar que as medidas sejam baseadas em fontes confiáveis, evitando erros e deliberações imprecisas.
Nesse sentido, é importante proteger as informações contra modificações impróprias — incluindo a inserção, atualização, mudança de status e exclusão dos dados —, sejam elas intencionais ou acidentais.
Disponibilidade
Garantir a disponibilidade é assegurar que as informações estejam acessíveis sempre que necessário. Por mais que pareça simples, este pilar é vital para o funcionamento de várias áreas e pode impactar as operações de uma instituição.
A queda de um sistema de informações pode impedir processos de venda, contratos e tomadas de decisão. Além da possibilidade de lesar o relacionamento com clientes. Assim, é necessário manter a disponibilidade de sistema para usuários humanos ou programas que têm permissão de acesso aos dados.
Confidencialidade
Por sua vez, este é o pilar que garante que as informações sejam protegidas contra exposições não autorizadas. Dessa forma, é necessário defender os dados contra acesso indevido, para que sejam manuseados apenas por usuários que realmente necessitem do ativo para sua força de trabalho.
Dependendo da classificação das informações armazenadas, a quebra da confidencialidade pode ter danos imensuráveis. A empresa pode vir a enfrentar problemas graves na continuação dos negócios e até sanções administrativas.
Principais ameaças à segurança em banco de dados
Pensando nesse cenário, as ameaças podem ser internas ou externas, tendo como pontos de vulnerabilidade: softwares desatualizados, configurações incorretas, além de descuido ou uso indevido do banco de dados.
Ameaças internas
Ameaças internas são mais comuns do que se imagina. Ainda mais quando não há controle efetivo e recorrente sobre os privilégios de acesso às informações contidas nos bancos de dados.
Ainda, segundo o relatório 2022 Data Breach Investigations Report, da Verizon, 82% das brechas de segurança da informação são provenientes de um fator de erro humano. Um exemplo disso são senhas fracas demais, compartilhamento indevido de credenciais e exclusões acidentais de arquivos.
As ameaças internas podem ser classificadas por uma das seguintes configurações:
- Um funcionário mal intencionado, com credenciais de acesso;
- Usuário que não segue os padrões de segurança estabelecidos, expondo desnecessariamente o banco de dados;
- Uma pessoa de fora que consegue as credenciais de acesso por meio de malware, engenharia social ou outros métodos de ataque.
Softwares desatualizados
Por mais que os desenvolvedores disponibilizem patches com atualizações constantes, existe a chance de que os invasores encontrem brechas. Isso acontece se o administrador não aplicar as atualizações a tempo, ou até em casos de ataque dia zero, nos quais as vulnerabilidades exploradas são desconhecidas pelos devs.
Ataques de injeção SQL/NoSQL
A sigla SQL se refere a Structured Query Language, a linguagem padrão utilizada para estruturar informações e realizar consultas aos BD. Utilizando este código, os cibercriminosos injetam uma string (cadeia de caracteres que estabelece uma linha de comando) na tentativa de explorar vulnerabilidades no banco de dados.
No entanto, já adiantamos que os riscos são de acordo com a base de informações. Os dados bancários ou sensíveis, por exemplo, representam maior ameaça, pois resultam em roubo de identidade e acesso a movimentação de contas.
Se quiser saber mais sobre como esse ataque funciona, e seus diferentes tipos, confira este artigo do Avast sobre o tema.
Transbordamento de dados
Ou estouro de buffer — do inglês buffer overflow — é uma tática utilizada para sobrecarregar o sistema de memória responsável pelo registro de informações. Dessa forma, quando o limite é atingido, os dados subsequentes são registrados de maneira imprecisa ou corrompida, expondo os computadores a brechas.
Ataques de negação de serviço DoS/DDoS
O Denial of Service (DoS) acontece de maneira semelhante ao anterior, a intenção é sobrecarregar o alvo com uma quantidade absurda de solicitações falsas. Assim, o servidor fica ocupado processando esse volume e não consegue realizar consultas válidas, por isso o nome.
Já o Distributed Denial of Service (DDoS) é uma variação na qual uma grande quantidade de tráfego é realizada, geralmente por uma botnet — uma rede de bots maliciosos conectados entre si e controlados por um hacker. A intenção é a mesma: sobrecarregar o sistema e impedir seu bom funcionamento.
Vulnerabilidades do cenário atual
A alta escalabilidade tem sido uma demanda dos últimos anos, devido à transformação digital e à adesão de novas tecnologias no meio corporativo. Por mais que esse movimento seja natural, vale ressaltar alguns pontos que merecem a atenção da equipe de TI responsável.
Alto volume de dados
Cada vez mais, empresas adotam uma cultura data-driven. As informações coletadas se tornam ativos valiosos para a tomada de decisão e na busca de novas estratégias comerciais. Nesse cenário, é importante que as soluções de segurança escalem no mesmo nível em que os dados são tratados.
Distribuição da infraestrutura
A computação em nuvem cresce, cada vez mais, como solução flexível para empresas. Por mais que a cloud consiga fornecer vantagens competitivas, não pode ser adotada de forma imprudente e possui questões particulares devido à sua infraestrutura.
Regulamentação e compliance
O tratamento de dados tem sido um assunto muito discutido nos últimos anos. Regulamentos locais em várias partes do mundo têm surgido, como a GDPR, a LGPD, a CCPA e a POPIA.
Escassez de mão de obra qualificada
Não é novidade que no Brasil a área de tecnologia da informação enfrenta dificuldades em encontrar profissionais qualificados. Pesquisa realizada pela plataforma de empregos Indeed revelou que das 15 vagas mais difíceis de preencher, 11 são de TI.
Em frente a isso, algumas empresas implementam seus próprios programas de capacitação gratuita, destinados à formação e retenção de talentos.
Como garantir a segurança em banco de dados
A figura responsável por assegurar o funcionamento e a gestão de um BD é o Database Administrator (DBA), ou em português, o administrador de banco de dados.
Listamos algumas orientações e boas práticas que, quando adotadas, auxiliam na manutenção de segurança de um ambiente de banco de dados.
Medidas de controle
Para garantir que os três pilares de segurança sejam assegurados, o DBA deve dispor de uma série de procedimentos que protejam o perímetro do banco de dados. As medidas de controle podem ser separadas em quatro operações.
Controle de acesso
Um mesmo banco de dados dispõe de diversas informações, utilizadas em operações distintas dentro de uma organização. Por isso, deve-se manter um controle de acesso, definindo privilégios e perfis de usuários variados, de acordo com as funções de cada colaborador.
Essa medida de controle é imprescindível para um BD que disponha de grandes volumes de informação e que são acessados por diferentes setores dentro da empresa. O controle é feito a partir da criação de usuários e senhas, além da concessão e remoção de privilégios — como ler, inserir, editar, criar e excluir dados das tabelas.
Controle de fluxo
Este mecanismo de distribuição visa garantir que as informações não sejam transmitidas de maneira errada. Evitando, assim, que sejam expostas a agentes não autorizados.
De acordo com essa classificação, também são definidas as classes de segurança dos dados em transações, impedindo a transferência para sistemas menos seguros.
Controle de inferência
O controle de inferência é um mecanismo muito utilizado em bancos de dados estatísticos, impedindo a identificação do respondente a partir das informações registradas.
Assim, esse controle é feito a partir de mecanismos de anonimização, com um certo nível de perda de dados aceitáveis, garantindo a segurança sem perder a relevância das informações coletadas.
Criptografia dos dados
A codificação de informações é feita para manter os dados em sigilo. Existem várias chaves de criptografia, como MD5 e AES, podendo ser utilizadas de maneira diferente.
Algumas informações que podem ser encriptadas são os dados sensíveis, como senhas, números de telefone, números de cartão de crédito, usuários do sistema, etc.
Esse mecanismo pode ser utilizado tanto nas tabelas, quanto na transmissão das informações entre diferentes softwares.
Auditoria
A auditoria é um processo fundamental para garantir a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Ela permite a análise de todas as interações do usuário realizadas no BD, sendo chave para identificar acessos indevidos e brechas de segurança.
Firewall
Devido ao alto volume de informações dispostas em um BD, configurar um firewall de perímetro e outro interno é uma maneira eficiente de garantir que apenas usuários legítimos consigam ter acesso a esses dados.
Além de uma camada a mais de segurança a nível de software e sistema, essa solução confere maior controle sobre os processos de monitoramento e auditoria.
Backup
Outro mecanismo importante é o estabelecimento de uma política de backup eficiente. Mesmo que todas as práticas de segurança apresentadas aqui sejam feitas, sem backups periódicos e uma política de recuperação de desastres, nada está realmente seguro.
O backup pode ser armazenado em nuvem, atendendo assim, às especificações da LGPD sobre o tratamento de dados. Além de garantir a disponibilidade das informações e a continuidade de negócios.
Como você viu, a segurança em banco de dados envolve uma série de práticas que se relacionam com aplicações, sistemas, redes e softwares, além das questões legais e organizacionais. Garantir que tudo esteja protegido é uma tarefa complexa, porém, com um time eficiente e boas ferramentas, esse processo fica mais fácil.
A Datasafer é uma plataforma white label para provedores de serviços gerenciados de TI, auxiliando a oferecer uma solução eficiente e segura de backup em nuvem a seus clientes. Clique no banner abaixo e seja um parceiro!