cipher

Modelização de Ameaças para Proteção de Dados

Ao avaliar a segurança de uma aplicação e de um modelo de dados, faça as perguntas:

  • Qual é a sensibilidade dos dados?
  • Quais são os requisitos regulamentares, de conformidade ou de privacidade para os dados?
  • Qual é o vetor de ataque que um proprietário de dados espera mitigar?
  • Qual é a postura geral de segurança do ambiente, é um ambiente hostil ou de relativa confiança?

Na modelização da ameaça nos dados considere os seguintes cenários comuns:

Dados em repouso (“DAR” – Data At Rest)

Em tecnologia da informação significa dados inativos que são armazenados fisicamente em qualquer forma digital (por exemplo, bases de dados, folhas de cálculo, ficheiros, cópias de segurança fora do local, dispositivos móveis, etc.).

  • Encriptação Transparente de Dados (frequentemente abreviada para TDE) é uma tecnologia utilizada pela Microsoft SQL, IBM DB2 e Oracle para encriptar os ficheiros “table-space” numa base de dados. A TDE oferece criptografia no nível do ficheiro e permite resolver o problema de proteger os dados em repouso através da criptografia de bases de dados tanto no disco rígido quanto em mídia de backup. Não protege dados em movimento DIM nem dados em uso DIU.
  • Encriptação de ponto de montagem é outra forma de TDE e está disponível para sistemas de base de dados que não suportam criptografia de espaço de tabela. Vários fornecedores oferecem criptografia de ponto de montagem para pontos de montagem de sistemas de arquivos Linux/Unix/Microsoft Windows. Quando um fornecedor não suporta TDE, este tipo de criptografia criptografa efetivamente o espaço de tabela do banco de dados e armazena as chaves de criptografia separadas do sistema de arquivo. Assim, se o meio de armazenamento físico ou lógico for separado do recurso de computação, o espaço de tabela da base de dados permanece criptografado.

 

Dados em Movimento (“DIM” – Data In Motion)

Os dados em movimento consideram a segurança dos dados que estão sendo copiados de um meio para outro. Os dados em movimento normalmente consideram os dados que estão sendo transmitidos através de um transporte de rede. Aplicações Web representam dados comuns em cenários em movimento.

  • Transport Layer Security (TLS ou SSL): é tipicamente usado para criptografar transportes de rede baseados no protocolo da Internet. O TLS funciona criptografando os pacotes da camada de Internet 7 “camada de aplicação” de um determinado fluxo de rede usando criptografia simétrica.
  • Secure Shell/Secure File Transport (SSH, SCP, SFTP): SSH é um protocolo usado para login e acesso seguro a computadores remotos. O SFTP corre sobre o protocolo SSH (alavancando a segurança e a funcionalidade de autenticação do SSH), mas é usado para a transferência segura de arquivos. O protocolo SSH utiliza criptografia de chave pública para autenticar o acesso a sistemas remotos.
  • Redes Privadas Virtuais (VPNs) Uma rede privada virtual (VPN) estende uma rede privada através de uma rede pública e permite aos usuários enviar e receber dados através de redes partilhadas ou públicas como se seus dispositivos computacionais estivessem diretamente conectados à rede privada.

 

Dados em Uso (“DIU” – Data In Use)

Os dados em uso acontecem sempre que uma aplicação de computador lê dados de um meio de armazenamento em memória volátil.

  • Encriptação de memória completa: Criptografia para evitar a visibilidade dos dados em caso de roubo, perda, acesso não autorizado ou roubo. Isso é tipicamente usado para proteger os dados em movimento e os dados em repouso. A criptografia é cada vez mais reconhecida como um método ideal para proteger os Dados em Uso. Tem havido várias abordagens para criptografar os dados em uso dentro da memória. A Xbox da Microsoft tem a capacidade de fornecer encriptação de memória. Uma empresa Private Core tem actualmente uma gaiola de produtos de software comercial para fornecer certificação, juntamente com encriptação total da memória para servidores x86.
  • Enclaves RAM: permite que um enclave de dados protegidos seja protegido com encriptação na RAM. Os dados do enclave são criptografados enquanto estão na RAM, mas disponíveis como texto claro dentro da CPU e do cache da CPU, quando gravados no disco, quando atravessando redes, etc. A Intel Corporation introduziu o conceito de “enclaves” como parte de seu Software Guard Extensions em trabalhos técnicos publicados em 2013.
  • Artigos de 2013: do Workshop sobre Hardware e Suporte Arquitetônico para Segurança e Privacidade 2013
  • Instruções Inovadoras e Modelo de Software para Execução Isolada
  • Tecnologia Inovadora para Atestado e Selagem Baseada em CPU

Onde é que as técnicas tradicionais de proteção de dados ficam aquém das expectativas?

TDE: A criptografia de base de dados e ponto de montagem não protege totalmente os dados ao longo de todo o ciclo de vida dos mesmos. Por exemplo, a criptografia de pontos de montagem TDE foi projetada para se defender contra o roubo de media de armazenamento físico ou virtual apenas. Um administrador de sistema autorizado, ou um utilizador ou processo não autorizado pode obter acesso a dados sensíveis, seja executando uma consulta legítima e/ou pesquisando a RAM. A TDE não fornece controle de acesso granular a dados em repouso uma vez que os dados tenham sido montados.

TLS/SCP/STFP/VPN, etc: A criptografia da camada de transporte TCP/IP também fica aquém da proteção de dados durante todo o ciclo de vida dos dados. Por exemplo, o TLS não protege os dados em repouso ou em uso. Muitas vezes, o TLS só é ativado em balanceadores de carga de aplicações voltadas para a Internet. Frequentemente, as chamadas de TLS para aplicações web são em texto simples no centro de dados ou no lado da nuvem do balanceador de carga da aplicação.

DIU: O uso de criptografia de memória completa não protege os dados durante todo o ciclo de vida dos dados. As técnicas de DIU são de ponta e geralmente não estão disponíveis. A arquitetura de computação de Commodity acaba de começar a suportar a criptografia de memória. Com a criptografia de memória DIU, os dados só são criptografados enquanto estão na memória. Os dados estão em texto puro enquanto estão na CPU, Cache, gravados no disco e em transportes de rede.

Abordagem Complementar ou Alternativa: Marcação (etiquetas)

Precisamos de uma abordagem alternativa que aborde todas as lacunas de exposição a 100% do tempo. Na segurança da informação, queremos realmente uma estratégia de defesa em profundidade. Ou seja, queremos camadas de controles para que, se uma única camada falhar ou for comprometida, outra camada possa compensar a falha.

A Marcação e o formato preservando a criptografia são únicos no facto de protegerem dados sensíveis durante todo o ciclo de vida dos dados através dos seus fluxos de dados. A Marcação e o FPE ( format-preserving encryption ) são portáteis e permanecem em vigor através de pilhas de tecnologia mista. A Marcação e o formato que preserva a criptografia não partilham as mesmas exposições que as técnicas tradicionais de proteção de dados.

Como funciona? Os campos de dados sensíveis são criptografados no sistema de origem, isto é, durante a entrada. Uma transformação criptográfica de um campo sensível é aplicada, produzindo uma representação simbólica não sensível dos dados originais. A Marcação, quando aplicada à segurança dos dados, é o processo de substituição de um elemento de dados sensíveis por um equivalente não sensível, referido como etiquetas, que não tem significado ou valor extrínseco ou explorável. A etiqueta é uma referência (ou seja, um identificador) que mapeia de volta aos dados sensíveis através de um sistema de Marcação (Etiquetas).

O formato que preserva a criptografia está um passo à frente e permite que o elemento de dados mantenha seu formato e tipo de dados originais. Por exemplo, um número de cartão de crédito de 16 dígitos pode ser protegido e o resultado é outro valor de 16 dígitos. O valor aqui é reduzir o impacto geral das alterações de código em aplicações e bases de dados, ao mesmo tempo em que reduz o tempo de implementação da proteção de dados de ponta a ponta no mercado.

Em conclusão

O uso de Marcação (Etiquetas) ou formato preservando a criptografia para substituir dados ao vivo nos sistemas resulta na minimização da exposição de dados sensíveis a essas aplicações, lojas, pessoas e processos. A substituição de dados sensíveis resulta num risco reduzido de comprometimento ou exposição acidental e acesso não autorizado a dados sensíveis.

As aplicações podem operar usando etiquetas em vez de dados ao vivo, com a exceção de um pequeno número de aplicações confiáveis explicitamente permitidas para Desmarcação quando estritamente necessário para um propósito comercial aprovado. Além disso, a remoção de dados sensíveis de aplicações de uma organização, bases de dados e processos de negócios permitirão um  âmbito de conformidade auditável reduzido, resultando em auditorias significativamente menos complexas e mais curtas.

Este artigo foi originalmente publicado em Very Good Security

A equipa do MyDataPrivacy tem estado a desenvolver um profundo conhecimento nesta matéria e pode consultar toda a informação disponível no nosso site.