Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosMelhores práticas
Melhores práticas de Data Security

Melhores práticas de Data Security

A Importância da Data Security

Hoje, toda organização, não importa o tamanho, precisa seguir as melhores práticas de proteção de dados para reduzir o risco de ataques cibernéticos cada vez mais sofisticados, como ransomware, phishing e outros. Além disso, seguir as diretrizes de segurança de dados é essencial para alcançar, manter e comprovar a conformidade com leis rigorosas de proteção de dados modernas como o GDPR e o CCPA.

Infelizmente, 77% das organizações estão despreparadas para ataques cibernéticos, segundo pesquisa do Ponemon Institute. Isso inclui até gigantes da tecnologia — em 2022, hackers conseguiram explorar uma fraqueza na segurança da nuvem na Microsoft, resultando em uma violação de dados significativa.

Preocupado com a sua própria segurança? Este white paper revela as melhores práticas de Data Security Posture Management para conhecer hoje a fim de proteger sua organização contra violações e penalidades de conformidade.

Top 14 práticas recomendadas de Data Security

1. Compreender tecnologias de dados e bancos de dados

Modelos de banco de dados

Os primeiros sistemas de banco de dados conectavam os usuários diretamente aos dados por meio de aplicações. Em uma rede privada, a segurança física geralmente era suficiente para proteger os dados.

Hoje, bancos de dados modernos permitem que os dados sejam visualizados de maneiras dinâmicas com base nas necessidades do usuário ou do administrador. Os modelos incluem:

  • Modelo de um nível (único nível) — Neste modelo, o banco de dados e a aplicação existem em um único sistema. Isso é comum em sistemas de desktop que executam um banco de dados autônomo. Implementações iniciais do Unix também funcionavam desta maneira; cada usuário fazia login em um terminal e executava uma aplicação dedicada que acessava os dados.
  • Modelo de duas camadas — Em um modelo de duas camadas, a estação de trabalho ou sistema do cliente executa um aplicativo que se comunica com um banco de dados executado em um servidor diferente. Esta é uma implementação comum que funciona bem para muitas aplicações.
  • Modelo de três camadas — Comumente utilizado hoje em dia, o modelo de três camadas isola o usuário final do banco de dados ao introduzir um servidor intermediário. Este servidor aceita solicitações dos clientes, avalia-as e as envia para um servidor de banco de dados para processamento. O servidor de banco de dados devolve os dados ao servidor intermediário, que então os envia para o sistema do cliente. O servidor intermediário também pode controlar o acesso ao banco de dados e fornecer segurança adicional.

SQL vs bancos de dados NoSQL

A linguagem mais comumente usada para se comunicar com bancos de dados é a Structured Query Language (SQL). SQL permite que os usuários enviem consultas aos servidores de banco de dados em tempo real. A maioria dos sistemas de gerenciamento de banco de dados relacionais comerciais — incluindo Oracle, Microsoft SQL Server, MySQL e PostGres — utilizam SQL. (Não confunda a linguagem SQL com o produto de banco de dados da Microsoft chamado SQL Server.)

Um banco de dados NoSQL não é um banco de dados relacional e não utiliza SQL. Esses bancos de dados são menos comuns que os relacionais, mas são frequentemente utilizados onde a escalabilidade é importante.

Aqui estão algumas diferenças-chave:

Recurso

Banco de dados NoSQL

Banco de dados SQL

Tipo de banco de dados

Não relacional/distribuído

Relacional

Tipo de esquema

Dinâmico

Predefinido

Armazenamento de dados

Os registros são armazenados em um único documento, geralmente no formato XML

Os registros são armazenados como linhas em tabelas

Benefícios

Pode lidar com grandes volumes de dados estruturados, semi-estruturados e não estruturados

Amplamente suportado e fácil de configurar para dados estruturados

Modelo típico de escalonamento

Horizontal (adicione mais servidores)

Vertical (atualize o servidor)

Fornecedores/implementações populares

MongoDB, CouchDB

Oracle, Microsoft, MySQL

Susceptível a ataques de injeção de SQL?

Não, mas suscetível a ataques do tipo injeção semelhantes

Sim

Big Data

Algumas organizações armazenam mais dados do que podem caber em um único servidor, então, em vez disso, eles são armazenados em uma rede de área de armazenamento (SAN). Uma SAN é uma rede separada configurada para parecer um servidor para a rede principal. Por exemplo, vários servidores e dispositivos de armazenamento de rede podem ser configurados como uma mini-rede projetada para armazenar apenas vários terabytes de dados. Ela é conectada à rede principal para que os usuários possam acessar os dados na SAN de forma rápida e conveniente.

As SANs geralmente possuem servidores redundantes e são conectadas através de conexões de fibra óptica de alta velocidade ou iSCSI executado em cobre. No entanto, o Big Data pode atingir um tamanho em que se torna difícil pesquisar, armazenar, compartilhar, fazer backup e gerenciar.

Sistemas de arquivos

Os sistemas de arquivos são outra forma de armazenar dados não estruturados e controlar como eles são recuperados. Sem um sistema de arquivos, as informações em um meio de armazenamento seriam um grande corpo de dados sem indicação de onde uma peça de informação termina e a próxima começa. Separar os dados em pedaços e dar a cada pedaço um nome torna a informação muito mais fácil de isolar e identificar.

Os sistemas de arquivos podem ser usados em muitos tipos diferentes de mídia, como SSDs, fitas magnéticas e discos ópticos. Os tipos de sistemas de arquivos dependem do sistema operacional utilizado. Por exemplo, o Linux utiliza sistemas de arquivos como a família ext, xfs e jfs; o sistema operacional Windows usa fat, fat32 e ntfs; e o MacOS usa apfs e hfs+.

2. Identificar e classificar dados sensíveis

Para proteger seus dados de forma eficaz, você precisa saber exatamente quais tipos de dados possui. A tecnologia de descoberta de dados vasculha seus repositórios de dados e relata as descobertas. A partir daí, você pode organizar os dados em categorias usando um processo de classificação de dados. Um motor de descoberta de dados geralmente usa expressões regulares para suas buscas, permitindo mais flexibilidade.

O uso da tecnologia de descoberta e classificação de dados ajuda a controlar se os usuários podem acessar dados críticos e impede que sejam armazenados em locais inseguros, reduzindo o risco de exposição inadequada de dados e perda de dados. Todos os dados críticos ou sensíveis devem ser claramente marcados com uma assinatura digital que denota sua classificação, para que você possa protegê-los de acordo com seu valor para a organização. Ferramentas de terceiros, como Netwrix Data Classification, podem tornar a descoberta e classificação de dados mais fáceis e precisas.

Os dados devem ser classificados com base na sua sensibilidade e valor. Por exemplo, os dados podem ser agrupados nas seguintes categorias:

  • Dados públicos — Dados que não necessitam de proteção especial e podem ser compartilhados livremente.
  • Dados privados — Dados aos quais os funcionários podem ter acesso, mas que devem ser protegidos do público em geral.
  • Dados confidenciais — Informações que podem ser compartilhadas apenas com usuários selecionados, como informações proprietárias e segredos comerciais.
  • Dados restritos — Dados altamente sensíveis, como registros médicos e informações financeiras que são protegidos por regulamentações.

Deve haver controles para impedir que os usuários modifiquem indevidamente o nível de classificação dos dados. Em particular, apenas usuários selecionados devem poder rebaixar uma classificação, pois isso tornará os dados mais amplamente disponíveis.

Siga estas diretrizes para criar uma política de classificação de dados robusta. E não se esqueça de realizar a descoberta e classificação de dados como parte do seu processo de avaliação de risco de TI.

3. Crie uma política de uso de dados

Claro, a classificação de dados por si só não é suficiente; você também precisa de uma política que especifique os tipos de acesso, condições para acesso aos dados com base na classificação, quem tem acesso aos dados, o que constitui o uso correto dos dados, e assim por diante. Não esqueça que todas as violações de política devem ter consequências claras.

4. Implementar controles de acesso

Você também precisa aplicar controles de acesso apropriados para restringir o acesso aos seus dados, incluindo a exigência de autenticação para acesso a qualquer dado que não seja público. Os direitos de acesso devem seguir o princípio do menor privilégio: Cada usuário recebe apenas os privilégios essenciais para desempenhar suas responsabilidades atribuídas.

Os controles de acesso podem ser físicos, técnicos ou administrativos:

Controles administrativos

Os controles de acesso administrativo são procedimentos e políticas que todos os funcionários devem seguir. Uma política de segurança pode listar ações que são consideradas aceitáveis, o nível de risco que a empresa está disposta a assumir, as penalidades em caso de violação, etc. A política é normalmente criada por um especialista que entende os objetivos do negócio e as regulamentações de conformidade aplicáveis. Componentes importantes dos controles administrativos incluem:

  • Estrutura de supervisão —Quase todas as organizações tornam os gestores responsáveis pelas atividades de seus funcionários: se um empregado violar um controle administrativo, o supervisor também será responsabilizado.
  • Formação — Todos os usuários devem ser instruídos sobre as políticas de uso de dados da empresa e saber que a empresa irá aplicá-las ativamente. Além disso, os usuários devem ser periodicamente reciclados e testados para reforçar e verificar a compreensão deles. Os usuários também precisam ser informados sobre o nível de acesso aos dados e quaisquer responsabilidades relevantes.
  • Procedimento de término de funcionário — Para proteger seus sistemas e dados, é crítico que os funcionários que estão de saída percam o acesso à sua infraestrutura de TI. Trabalhe com o RH para desenvolver um procedimento eficaz de término de usuário que siga estas melhores práticas de término de usuário.

Controles técnicos

Armazenamento de dados

Na maioria dos casos, os usuários não devem ser autorizados a copiar ou armazenar dados sensíveis localmente. Em vez disso, eles devem ser obrigados a manipular os dados remotamente. O cache tanto do cliente quanto do servidor deve ser completamente limpo após um usuário se desconectar ou uma sessão expirar; caso contrário, devem ser utilizados drives de RAM criptografados. Dados sensíveis nunca devem ser armazenados em um sistema portátil de qualquer tipo. Todos os sistemas devem exigir um login e incluir condições para bloquear o sistema no caso de uso suspeito.

Permissões

As permissões de usuário devem ser concedidas em estrita conformidade com o princípio do menor privilégio. Aqui estão as permissões básicas de arquivo nos sistemas operacionais da Microsoft:

  • Controle Total — O usuário pode ler, executar, modificar e deletar arquivos; atribuir permissões; e assumir a propriedade.
  • Modificar — O usuário pode ler, escrever e deletar o arquivo.
  • Ler e Executar — O usuário pode ler e executar o arquivo executável.
  • Ler — O usuário pode ler o arquivo, mas não modificá-lo.
  • Escrever — O usuário pode ler e modificar o arquivo, mas não excluí-lo.

As pastas têm as mesmas permissões, além da permissão de listar o conteúdo da pasta, que permite ao usuário ver o que está na pasta, mas não ler os arquivos.

Listas de controle de acesso

Uma lista de controle de acesso (ACL) é uma lista de quem pode acessar qual recurso e em que nível. Pode ser uma parte interna de um sistema operacional ou aplicativo. Por exemplo, um aplicativo personalizado pode incluir uma ACL que lista quais usuários têm quais permissões naquele sistema.

ACLs podem ser baseadas em listas de permissão ou de proibição. Uma whitelist é uma lista de itens que são permitidos, como uma lista de sites que os usuários estão autorizados a visitar usando computadores da empresa, ou uma lista de softwares de terceiros que têm autorização para ser instalados nos computadores da empresa. Uma blacklist é uma lista de coisas que são proibidas, como sites específicos que os funcionários não têm permissão para visitar ou softwares que são proibidos de ser instalados nos computadores dos clientes. 

No gerenciamento de arquivos, listas de controle de acesso (ACLs) do tipo whitelist são mais comuns. Elas são configuradas no nível do sistema de arquivos. Por exemplo, no Microsoft Windows, você pode configurar permissões NTFS e criar listas de controle de acesso NTFS a partir delas. Você pode encontrar mais informações sobre como configurar adequadamente permissões NTFS nesta lista de NTFS permissions management best practices. Lembre-se de que os controles de acesso devem ser implementados em todas as aplicações que possuem controle de acesso baseado em funções (RBAC), como Active Directory groups e delegation.

Dispositivos e métodos de segurança

Certos dispositivos e sistemas ajudam você a restringir ainda mais o acesso aos dados. Aqui estão os mais comumente implementados:

  • Prevenção de perda de dados (DLP) — Estes sistemas monitoram estações de trabalho, servidores e redes para garantir que dados sensíveis não sejam excluídos, removidos, movidos ou copiados. Eles também monitoram quem está utilizando e transmitindo os dados para identificar usos não autorizados.
  • Firewall — Um firewall isola uma rede de outra. Firewalls podem ser sistemas autônomos ou podem estar incluídos em outros dispositivos de infraestrutura, como roteadores ou servidores. Soluções de firewall estão disponíveis tanto em hardware quanto em software. Firewalls excluem tráfego indesejado de entrar na rede da organização, o que ajuda a prevenir que malware ou hackers vazem dados para servidores de terceiros não confiáveis. Dependendo da política de firewall da organização, o firewall pode bloquear completamente algum ou todo o tráfego, ou pode permitir algum ou todo o tráfego apenas após verificação.
  • Controle de acesso à rede (NAC) — NAC envolve restringir a disponibilidade de recursos de rede para dispositivos de endpoint que estejam em conformidade com sua política de segurança. NAC pode restringir dispositivos não autorizados de acessarem seus dados diretamente da sua rede. Algumas soluções NAC podem automaticamente corrigir um nó não conforme para garantir que esteja seguro antes de permitir o acesso. NAC é mais útil quando o ambiente do usuário é bastante estático e pode ser rigidamente controlado, como em empresas e agências governamentais. Pode ser menos prático em ambientes com um conjunto diversificado de usuários e dispositivos que estão frequentemente mudando.
  • Servidor proxy — Esses dispositivos atuam como negociadores quando softwares clientes solicitam recursos de outros servidores. Nesse processo, um cliente se conecta ao servidor proxy, pedindo por algum serviço (por exemplo, um site). O servidor proxy avalia a solicitação e então permite ou nega. Servidores proxy são geralmente utilizados para filtragem de tráfego e melhoria de desempenho. Dispositivos proxy podem restringir o acesso aos seus dados sensíveis provenientes da internet.

Controles físicos

Embora a segurança física seja frequentemente negligenciada nas discussões sobre segurança de dados, não implementá-la pode levar a que seus dados ou até mesmo sua rede sejam totalmente comprometidos. Cada estação de trabalho deve ser trancada para que não possa ser removida do local. O gabinete de cada computador também deve ser trancado para que seus discos rígidos ou outros componentes de armazenamento não possam ser removidos e comprometidos. Também é uma boa prática implementar uma senha de BIOS para impedir que atacantes iniciem outros sistemas operacionais usando mídias removíveis.

Segurança de laptops e dispositivos móveis

Se um laptop empresarial for perdido ou roubado, partes maliciosas podem ser capazes de acessar os dados em seu disco rígido. Portanto, a criptografia de disco inteiro deve ser usada em todos os laptops utilizados por uma organização. Além disso, evite usar pontos de acesso Wi-Fi públicos sem antes utilizar um canal de comunicação seguro como uma VPN ou SSH. As credenciais de conta podem ser facilmente sequestradas através de ataques sem fio e podem levar a comprometimento de redes inteiras. 

Dispositivos móveis podem carregar vírus ou outros malwares para dentro da rede de uma organização e extrair dados sensíveis dos seus servidores. Devido a essas ameaças, os dispositivos móveis precisam ser controlados de maneira especialmente rigorosa. Os dispositivos que são permitidos conectar devem ser verificados quanto a vírus, e dispositivos removíveis devem ser criptografados.

É importante concentrar suas políticas de segurança nos dados, não no tipo de dispositivo em que estão armazenados. Os smartphones frequentemente contêm informações sensíveis, mas geralmente são menos protegidos do que os laptops, mesmo quando contêm as mesmas informações. Todos os dispositivos móveis que podem acessar dados sensíveis devem exigir senhas igualmente complexas e usar os mesmos controles de acesso e software de proteção.

Smartphones com câmera e microfone de alta qualidade são outra fonte comum de vazamento de dados. É muito difícil proteger seus documentos contra insiders com esses dispositivos móveis, ou detectar uma pessoa tirando uma foto de um monitor ou quadro branco com dados sensíveis. No entanto, você ainda deve ter uma política que proíba o uso de câmera no prédio.

Segregação de rede

A segmentação de rede envolve a segregação de uma rede em zonas funcionais. Cada zona pode ser atribuída a diferentes regras de Netwrix Data Classification, definidas para um nível apropriado de segurança e monitoradas de acordo.

A segmentação limita o dano potencial de um incidente de segurança a uma única zona. Essencialmente, ela divide um alvo em vários, deixando os atacantes com duas escolhas: Tratar cada segmento como uma rede separada ou comprometer um e tentar atravessar a divisão. Nenhuma das opções é atraente. Tratar cada segmento como uma rede separada cria muito mais trabalho adicional, já que o atacante precisa comprometer cada segmento individualmente; essa abordagem também aumenta dramaticamente a exposição do atacante a ser descoberto. Tentar pular de uma zona comprometida para outras zonas também é difícil, porque se os segmentos forem projetados de forma eficaz, o tráfego de rede entre eles pode ser restringido. Embora sempre haja exceções — como a comunicação com servidores de domínio para gerenciamento centralizado de contas — esse tráfego limitado é mais fácil de identificar.

Vigilância por vídeo

Todas as instalações críticas da sua empresa devem ser monitoradas usando câmeras de vídeo com sensores de movimento e visão noturna. Isso é essencial para flagrar invasores não autorizados tentando acessar diretamente seus servidores de arquivos, arquivos mortos ou backups, e para identificar qualquer pessoa que possa estar tirando fotos de dados sensíveis em áreas restritas.

Bloqueio e reciclagem

A sua área de trabalho e qualquer equipamento nela devem ser protegidos antes de a deixar desatendida. Por exemplo, verifique portas, gavetas de mesas e janelas, e não deixe papéis em sua mesa. Todas as cópias impressas de dados sensíveis devem ser trancadas e, em seguida, destruídas quando não forem mais necessárias. Além disso, nunca compartilhe ou duplique chaves de acesso, cartões de identificação, códigos de fechadura ou outros dispositivos de acesso.

Antes de descartar ou reciclar um disco rígido, apague completamente todas as informações dele e garanta que os dados não possam mais ser recuperados. Discos rígidos antigos e outros dispositivos de TI que continham informações críticas devem ser fisicamente destruídos; designe um engenheiro de TI específico para lidar pessoalmente com esse processo.

5. Implemente a gestão de mudanças e a auditoria de banco de dados

Outra medida de segurança importante é rastrear todas as atividades de banco de dados e servidor de arquivos para identificar acessos e alterações em informações sensíveis e permissões associadas. A atividade de login deve ser mantida por pelo menos um ano para auditorias de segurança. Qualquer conta que exceda o número máximo de tentativas de login malsucedidas deve ser automaticamente reportada ao administrador de segurança da informação para investigação.

Usar informações históricas para entender quais dados são sensíveis, como estão sendo usados, quem os está usando e onde estão ajudando você a construir políticas precisas e eficazes e antecipar como mudanças no seu ambiente podem impactar a segurança. Esse processo também pode ajudar a identificar riscos anteriormente desconhecidos. Existem ferramentas de terceiros que simplificam a gestão de mudanças e a auditoria de atividades dos usuários, como Netwrix Auditor.

6. Use criptografia de dados

A criptografia é uma das práticas mais fundamentais de segurança de dados. Todos os dados críticos de negócios devem ser criptografados, seja em repouso ou em trânsito, seja por meio de dispositivos portáteis ou pela rede. Sistemas portáteis devem usar soluções de disco criptografado se forem armazenar dados importantes de qualquer tipo. Criptografar os discos rígidos de sistemas de desktop que armazenam informações críticas ou proprietárias ajudará a proteger informações vitais mesmo no caso de dispositivos físicos serem roubados.

Encrypting File System (EFS)

A forma mais básica de criptografar dados nos seus sistemas Windows é a tecnologia Encrypting File System (EFS). Se você usar o EFS para proteger dados, usuários não autorizados não podem visualizar o conteúdo de um arquivo mesmo que tenham acesso total ao dispositivo. Quando um usuário autorizado abre um arquivo criptografado, o EFS descriptografa o arquivo em segundo plano e fornece uma cópia não criptografada para o aplicativo. Usuários autorizados podem visualizar ou modificar o arquivo, e o EFS salva as alterações de forma transparente como dados criptografados. Se usuários não autorizados tentarem fazer o mesmo, eles recebem um erro de “acesso negado”.

Outra ferramenta de criptografia da Microsoft é o BitLocker. O BitLocker complementa o EFS ao oferecer uma camada adicional de proteção para dados armazenados em dispositivos Windows. O BitLocker protege dispositivos perdidos ou roubados contra o roubo ou exposição de dados e oferece eliminação segura de dados quando você desativa um dispositivo.

Criptografia baseada em hardware

A criptografia baseada em hardware pode ser aplicada em adição à criptografia baseada em software. Nas configurações avançadas de alguns menus de configuração da BIOS, você pode escolher habilitar ou desabilitar um Trusted Platform Module (TPM). Um TPM é um chip que pode ser instalado em uma placa-mãe e é capaz de armazenar chaves criptográficas, senhas ou certificados. Um TPM pode ser usado para auxiliar na geração de chaves de hash e para proteger smartphones e dispositivos além de PCs. Também pode ser utilizado para gerar valores para criptografia de disco inteiro, como o BitLocker.

7. Faça backup dos seus dados

Os ativos críticos de negócios devem ser duplicados para fornecer redundância e servir como backups. No nível mais básico, a tolerância a falhas de um servidor requer um backup de dados. Backups são o arquivamento periódico de dados para que você possa recuperá-los em caso de falha do servidor. Do ponto de vista da segurança, existem três tipos principais de backup:

  • Completo — Todos os dados são arquivados. Fazer um backup completo é muito demorado e consome muitos recursos, e isso afetará significativamente o desempenho do servidor.
  • Diferencial — Todas as alterações desde o último backup completo são arquivadas. Elas não terão tanto impacto quanto os backups completos, mas ainda assim vão desacelerar sua rede.
  • Incremental — Todas as alterações desde o último backup de qualquer tipo são arquivadas.

Normalmente, as organizações utilizam uma combinação desses tipos de backups. Por exemplo, você pode realizar um backup completo todos os dias à meia-noite e um backup diferencial ou incremental a cada duas horas depois disso. Se o sistema falhar logo após a meia-noite, você pode restaurar a partir do último backup completo; se falhar mais tarde no dia, você precisará usar uma combinação de backups.

Qualquer estratégia de backup que você escolher, deve testá-la periodicamente restaurando os dados de backup em uma máquina de teste. Outra prática recomendada é armazenar seus backups em diferentes localizações geográficas para garantir que você possa se recuperar de desastres como furacões, incêndios ou falhas de disco rígido.

8. Use RAID nos seus servidores

Uma ferramenta fundamental para tolerância a falhas, RAID é um conjunto redundante de discos independentes que permite que seus servidores tenham mais de um disco rígido, garantindo o funcionamento do sistema mesmo que seu disco rígido principal falhe. Os principais níveis de RAID são descritos aqui:

  • RAID 0 (discos entrelaçados) — Os dados são distribuídos por vários discos de forma a melhorar a velocidade (desempenho de leitura/escrita), mas não oferece nenhuma tolerância a falhas. São necessários no mínimo dois discos.
  • RAID 1 — Este nível de RAID introduz tolerância a falhas por meio de espelhamento: Para cada disco necessário para as operações, existe um disco espelho idêntico. Isso requer um mínimo de dois discos e aloca 50 por cento da capacidade total para dados e os outros 50 por cento para os espelhos. Ao usar RAID 1, o sistema continua funcionando no disco de backup mesmo se o disco principal falhar. Você pode adicionar outro controlador ao RAID 1, o que é chamado de “duplicação”.
  • RAID 3 ou 4 (discos listrados com paridade dedicada) — Os dados são distribuídos por três ou mais discos. Um disco dedicado é utilizado para armazenar informações de paridade, reduzindo a capacidade de armazenamento do array em um disco. Como resultado, se um disco falhar, seus dados serão apenas parcialmente perdidos. Os dados nos outros discos, juntamente com as informações de paridade, permitem que os dados sejam recuperados.
  • RAID 5 (discos listrados com paridade distribuída) — Este nível de RAID combina três ou mais discos de maneira a proteger os dados contra a perda de qualquer um dos discos. É semelhante ao RAID 3, mas a paridade é distribuída por todo o conjunto de discos. Dessa forma, não é necessário alocar um disco inteiro para armazenar bits de paridade.
  • RAID 6 (discos listrados com dupla paridade) — Este nível de RAID combina quatro ou mais discos, adicionando um bloco de paridade adicional ao RAID 5, protegendo os dados mesmo que o sistema perca quaisquer dois discos. Cada bloco de paridade é distribuído pelo conjunto de discos de forma que a paridade não seja dedicada a nenhum disco específico.
  • RAID 1+0 (ou 10) — Este nível de RAID é um conjunto de dados espelhados (RAID 1) que é então distribuído em faixas (RAID 0), daí o nome “1+0”. Pense nele como uma “faixa de espelhos”. Um array RAID 1+0 requer um mínimo de quatro discos: dois discos espelhados para conter metade dos dados distribuídos, mais outros dois discos espelhados para a outra metade dos dados.
  • RAID 0+1 — Este nível de RAID é o oposto do RAID 1+0. Aqui, as faixas são espelhadas. Um array RAID 0+1 requer um mínimo de quatro discos: dois discos espelhados para replicar os dados no array RAID 0.

9. Utilize clustering e balanceamento de carga.

RAID faz um trabalho fantástico protegendo dados em sistemas, os quais você pode proteger ainda mais com backups regulares. Mas às vezes é necessário expandir além de sistemas individuais. Conectar vários computadores para trabalharem juntos como um único servidor é conhecido como 'clustering'. Sistemas em cluster utilizam processamento paralelo, o que melhora o desempenho e a disponibilidade, além de adicionar redundância (assim como custos).

Os sistemas também podem alcançar alta disponibilidade por meio de balanceamento de carga. Isso permite dividir a carga de trabalho entre vários computadores — frequentemente servidores que respondem a solicitações HTTP (muitas vezes chamados de fazenda de servidores), que podem ou não estar na mesma localização geográfica. Se você dividir as localizações, elas se tornam um “site espelho”. Essa cópia espelhada pode ajudar a prevenir inatividade e adicionar redundância geográfica para permitir respostas mais rápidas às solicitações.

10. Reforce seus sistemas

Qualquer tecnologia que possa armazenar dados sensíveis, mesmo que temporariamente, deve ser adequadamente protegida com base no tipo de informação que o sistema pode potencialmente acessar. Isso inclui todos os sistemas externos que podem acessar remotamente sua rede interna com privilégios significativos. No entanto, a usabilidade ainda deve ser considerada, com funcionalidade e segurança apropriadamente determinadas e equilibradas.

Linha de base do sistema operacional

O primeiro passo para proteger seus sistemas é garantir que o sistema operacional esteja configurado para ser o mais seguro possível. Por padrão, a maioria dos sistemas operacionais executa serviços desnecessários que oferecem aos atacantes mais caminhos para comprometer seu sistema. Os únicos programas e serviços em escuta que devem estar ativados são aqueles essenciais para que seus funcionários possam realizar suas tarefas. Se algo não tem um propósito comercial, deve ser desativado. Também pode ser benéfico criar uma imagem de sistema operacional seguro como linha de base para os funcionários típicos. Se alguém precisar de funcionalidades adicionais, esses serviços ou programas podem ser ativados caso a caso.

Os sistemas operacionais Windows e Linux possuem suas configurações únicas de hardening.

Windows

O Windows é de longe o sistema operacional mais popular entre consumidores e empresas. Mas por causa disso, também é o sistema operacional mais visado, com novas vulnerabilidades sendo anunciadas quase semanalmente. Existem várias versões diferentes do Windows utilizadas pelas organizações, então algumas configurações mencionadas aqui podem não se aplicar a todas elas. Aqui estão alguns procedimentos que devem ser realizados para melhorar a segurança:

  • Desative a autenticação LanMan.
  • Certifique-se de que todas as contas tenham senhas, independentemente de a conta estar habilitada ou desabilitada.
  • Desative ou restrinja permissões em compartilhamentos de rede.
  • Remova todos os serviços que não são necessários, especialmente os protocolos de texto claro telnet e ftp.
  • Habilite o registro para eventos importantes do sistema.

Você pode encontrar mais práticas recomendadas de endurecimento do Windows neste checklist de endurecimento do Windows Server.

Linux

O sistema operacional Linux tornou-se mais popular nos últimos anos. Embora alguns afirmem que é mais seguro do que o Windows, ainda é necessário realizar algumas ações para reforçar sua segurança corretamente:

  • Desative serviços e portas desnecessários.
  • Desative a autenticação de confiança usada pelos “r commands.”
  • Desative programas setuid e setgid desnecessários.
  • Reconfigure as contas de usuário apenas para os usuários necessários.

Servidores web

Graças ao seu amplo alcance de rede, os servidores web são uma área favorita para os atacantes explorarem. Se um atacante ganhar acesso a um servidor web popular e explorar uma fraqueza ali, ele pode atingir milhares (senão centenas de milhares) de visitantes do site e seus dados. Ao mirar em um servidor web, um atacante pode afetar todas as conexões dos navegadores web dos usuários e causar danos muito além da única máquina que comprometeram.

Os servidores web eram originalmente simples em design, usados principalmente para fornecer texto HTML e conteúdo gráfico. Os servidores web modernos, por outro lado, permitem acesso a banco de dados, funcionalidade de chat, mídia de transmissão e muitos outros serviços. Mas cada serviço e capacidade suportados em um site são um alvo potencial. Certifique-se de que eles estejam atualizados com os últimos padrões de software. Você também deve garantir que dê aos usuários apenas as permissões necessárias para realizar suas tarefas. Se os usuários estão acessando seu servidor por meio de contas anônimas, então você deve garantir que eles tenham permissões necessárias para visualizar páginas web e nada mais.

Duas áreas de interesse particular para servidores web são filtros e controle de acesso a scripts executáveis:

  • Os filtros permitem limitar o tráfego que é permitido passar. Restringir o tráfego apenas ao que é necessário para o seu negócio pode ajudar a evitar ataques. Os filtros também podem ser aplicados à sua rede para impedir que os usuários acessem sites inadequados ou não relacionados ao trabalho. Isso não apenas aumenta a produtividade, mas também reduz a probabilidade de os usuários baixarem um vírus de um site duvidoso.
  • Scripts executáveis, como aqueles escritos em PHP, Python, várias versões de Java e scripts de Common Gateway Interface (CGI), frequentemente rodam em níveis de permissão elevados. Na maioria das circunstâncias, isso não é um problema porque o usuário retorna ao seu nível de permissão regular após a execução do script. Problemas surgem, no entanto, se o usuário conseguir sair do script enquanto está no nível elevado. Para os administradores, o melhor curso de ação é verificar se todos os scripts no seu servidor foram completamente testados, depurados e aprovados para uso.

Servidores de e-mail

Os servidores de e-mail fornecem a espinha dorsal das comunicações para muitas empresas. Eles normalmente funcionam como um serviço adicional em um servidor ou como sistemas dedicados. Adicionar um scanner de vírus ativo aos servidores de e-mail pode reduzir o número de vírus introduzidos na sua rede e prevenir que vírus sejam disseminados pelo seu servidor de e-mail. No entanto, é importante notar que a maioria dos scanners não consegue ler arquivos abertos da Microsoft; para escanear repositórios de e-mails do Exchange, você precisa de um scanner AV de e-mail específico, alguns dos quais podem até detectar phishing e outros ataques de engenharia social por meio de aprendizado de máquina.

Servidores de e-mail são comumente inundados por sistemas automatizados que tentam usá-los para enviar spam. Embora a maioria dos servidores de e-mail tenha implementado medidas contra essas ameaças, elas estão se tornando cada vez mais sofisticadas. Você pode ser capaz de reduzir essas tentativas de acesso ao seu sistema inserindo os endereços TCP/IP dos atacantes na lista de negação ACL do seu roteador. Fazer isso fará com que seu roteador ignore solicitações de conexão desses endereços IP, melhorando efetivamente sua segurança. Você também pode configurar essa política com filtros de spam.

Servidores FTP

Servidores de File Transfer Protocol (FTP) não são destinados a aplicações de alta segurança devido às suas fraquezas inerentes. Embora a maioria dos servidores FTP permita que você crie áreas de arquivo em qualquer unidade do sistema, é muito mais seguro criar uma unidade separada ou subdiretório para transferências de arquivos. Se possível, utilize conexões de rede privada virtual (VPN) ou Secure Shell (SSH) para atividades relacionadas ao FTP. O FTP é notoriamente inseguro e explorável; muitos sistemas FTP enviam informações de conta e senha pela rede sem criptografia.

Para máxima segurança operacional, utilize contas e senhas de logon separadas para acesso FTP. Fazendo isso, evitará que contas de sistema sejam divulgadas a indivíduos não autorizados. Além disso, faça regularmente a varredura de todos os arquivos nos servidores FTP em busca de vírus.

Para tornar o FTP mais fácil de usar, a maioria dos servidores permite por padrão o acesso anônimo. No entanto, essas contas anônimas devem sempre ser desativadas. Do ponto de vista da segurança, a última coisa que você quer é permitir que usuários anônimos copiem arquivos para dentro e fora de seus servidores. Uma vez que o acesso anônimo é desativado, o sistema exigirá que o usuário seja conhecido e autenticado para acessá-lo.

Mas a melhor maneira de proteger um servidor FTP é substituí-lo completamente. A mesma funcionalidade pode ser encontrada em serviços mais seguros, como o Secure File Transfer Protocol (SFTP).

11. Implemente uma estratégia adequada de gerenciamento de patches

Você precisa ter uma estratégia de atualização tanto para seus sistemas operacionais quanto para suas aplicações. Pode ser tedioso garantir que todas as versões das aplicações do seu ambiente de TI estejam atualizadas, mas é essencial para a proteção de dados. Uma das melhores maneiras de garantir a segurança é habilitar atualizações automáticas de antivírus e do sistema. Para infraestruturas críticas, as atualizações precisam ser minuciosamente testadas para assegurar que não afetarão a funcionalidade e não introduzirão vulnerabilidades.

Gestão de patches do sistema operacional

Existem três tipos de patches de sistema operacional, cada um com um nível de urgência diferente:

  • Hotfix — Um hotfix é uma correção imediata e urgente. Em geral, essas representam sérios problemas de segurança e não são opcionais.
  • Patch — Um patch oferece alguma funcionalidade adicional ou uma correção não urgente. Estes são, às vezes, opcionais.
  • Pacote de serviço — Um pacote de serviço é o conjunto completo de correções rápidas e patches até a data atual. Estes devem ser sempre aplicados.

Teste todos os patches antes de aplicá-los em produção para ter certeza de que a atualização não causará problemas.

Gerenciamento de patches de aplicativos

Você também precisa atualizar e aplicar patches em seus aplicativos regularmente. Uma vez descoberta uma vulnerabilidade em um aplicativo, um atacante pode aproveitá-la para entrar ou danificar um sistema. A maioria dos fornecedores publica patches regularmente, e você deve verificar rotineiramente se há novos disponíveis. Muitos ataques hoje visam sistemas de clientes pelo simples fato de que os clientes nem sempre gerenciam a aplicação de patches de forma eficaz. Estabeleça dias de manutenção dedicados à aplicação de patches e ao teste de todos os seus aplicativos críticos.

12. Proteja seus dados contra ameaças internas

Embora as organizações continuem a gastar uma quantidade excepcional de tempo e dinheiro para proteger suas redes de ataques externos, as ameaças internas são uma causa principal de exposição de dados. Uma pesquisa da Netwrix descobriu que incidentes internos representam mais de 60 por cento de todos os ataques; no entanto, muitos ataques internos não são relatados por medo de perdas comerciais e danos à reputação da empresa.

Ameaças internas vêm em duas formas. Uma ameaça interna autorizada é alguém que faz mau uso de seus direitos e privilégios, seja acidentalmente, deliberadamente ou porque suas credenciais foram roubadas. Um insider não autorizado é alguém que se conectou à rede por trás de suas defesas externas. Isso pode ser alguém que se conectou a uma tomada no saguão ou numa sala de conferências, ou alguém acessando uma rede sem fio desprotegida conectada à rede interna. Ataques internos podem levar à perda de dados ou inatividade, por isso é tão importante monitorar a atividade em sua rede quanto a atividade no perímetro.

Insiders usando acesso remoto

Com os usuários trabalhando cada vez mais de casa, o acesso remoto às redes corporativas também está se tornando comum, por isso é crítico garantir a segurança das conexões remotas também. Processos de autenticação robustos são essenciais ao se conectar remotamente. Também é importante que os dispositivos usados para o acesso remoto à rede estejam devidamente seguros. Além disso, as sessões remotas devem ser devidamente registradas, ou até mesmo gravadas em vídeo.

13. Utilize sistemas de segurança de endpoint para proteger seus dados

Os endpoints da sua rede estão sob ataque constante, portanto, a infraestrutura de segurança de endpoints é crucial para proteger contra violações de dados, programas não autorizados e malware avançado como rootkits. Com o uso crescente de dispositivos móveis, os endpoints de rede estão se expandindo e se tornando cada vez mais indefinidos. Ferramentas automatizadas que residem nos endpoints do sistema são essenciais para mitigar danos causados por malware. No mínimo, você deve usar as seguintes tecnologias:

Software antivírus

O software antivírus deve ser instalado e mantido atualizado em todos os servidores e estações de trabalho. Além de monitorar ativamente os arquivos recebidos, o software deve realizar varreduras regulares para detectar quaisquer infecções que possam ter passado despercebidas, como ransomware.

Antispyware

As ferramentas anti-spyware e anti-adware são projetadas para bloquear ou remover spyware. O spyware é um software instalado no computador sem o conhecimento do usuário. Normalmente, seu objetivo é obter mais informações sobre o comportamento do usuário e coletar dados pessoais.

As ferramentas anti-spyware funcionam de forma semelhante aos antivírus, e muitas de suas funções se sobrepõem. Alguns softwares antispyware são combinados com pacotes antivírus, enquanto outros estão disponíveis como soluções independentes. Independentemente do tipo de proteção que você utiliza, é fundamental procurar regularmente por spyware, identificando e removendo cookies de rastreamento nos hosts.

Bloqueadores de pop-ups

Os pop-ups são mais do que apenas irritantes; eles representam uma ameaça à segurança. Os pop-ups (incluindo os pop-unders) indicam a presença de programas indesejados em execução no sistema, o que pode comprometer sua integridade e funcionamento.

Firewalls baseados em host

Os firewalls pessoais são firewalls baseados em software instalados em cada computador da rede. Eles funcionam de maneira semelhante aos grandes firewalls de borda, filtrando determinados pacotes para evitar que saiam ou cheguem ao seu sistema. Muitos podem achar que não há necessidade de firewalls pessoais, especialmente em redes corporativas com firewalls dedicados de grande porte. No entanto, esses grandes firewalls não podem fazer nada para impedir ataques internos, que — ao contrário dos vindos da internet — geralmente são executados por vírus. Em vez de desativar os firewalls pessoais, basta configurá-los de acordo com as necessidades da sua organização e exportar essas configurações para os demais firewalls pessoais.

Sistemas de detecção de intrusão baseados em host (IDSs)

Os IDSs baseados em host monitoram o estado do sistema e verificam se ele está conforme o esperado. A maioria desses sistemas utiliza a verificação de integridade, que opera com base no princípio de que o malware normalmente tenta modificar programas ou arquivos do host à medida que se propaga. A verificação de integridade tenta determinar quais arquivos do sistema foram modificados inesperadamente, calculando as “impressões digitais” (detectáveis como hashes criptográficos) dos arquivos que precisam ser monitorados em um estado conhecido como limpo. Em seguida, realiza uma varredura e emite um alerta quando a impressão digital de um arquivo monitorado é alterada.

No entanto, a verificação de integridade detecta a infecção por malware apenas após o fato ocorrido — ela não a previne.

14. Realize avaliações de vulnerabilidade e testes de penetração em cibersegurança

As avaliações de vulnerabilidade geralmente consistem em scanners de portas e ferramentas de varredura de vulnerabilidades, como nmap, OpenVAS e Nessus. Essas ferramentas analisam o ambiente a partir de uma máquina externa, procurando por portas abertas e pelos números de versão desses serviços. Os resultados do teste podem ser comparados com os serviços conhecidos e os níveis de atualização que deveriam estar presentes nos sistemas finais, permitindo que o administrador garanta que os sistemas estejam em conformidade com as políticas de segurança dos endpoints.

O teste de penetração é a prática de testar um sistema, rede ou aplicativo para encontrar vulnerabilidades de segurança. Ele também pode ser usado para avaliar uma política de segurança, a conformidade com requisitos regulatórios, a conscientização dos funcionários sobre segurança e a detecção e resposta a incidentes de segurança. O processo pode ser automatizado ou realizado manualmente. De qualquer forma, as organizações devem realizar testes de penetração regularmente — idealmente, uma vez por ano — para garantir uma segurança de rede e uma gestão de TI mais consistentes.

Aqui estão as principais estratégias de teste de penetração utilizadas por profissionais de segurança:

  • Testes direcionados são realizados em colaboração entre a equipe de TI da organização e a equipe de testes de penetração. Às vezes são chamados de abordagem “luzes acesas”, porque todos podem ver que o teste está sendo executado.
  • Testes externos têm como alvo os servidores ou dispositivos visíveis externamente de uma empresa, incluindo servidores de domínio, servidores de e-mail, servidores web e firewalls. O objetivo é descobrir se um atacante externo consegue entrar e até onde poderia chegar.
  • Testes internos realizam um ataque a partir do interior da rede, atrás do firewall, executado por um usuário autorizado com privilégios de acesso padrão. Esse tipo de teste é útil para estimar quanto dano um funcionário comum poderia causar.
  • Testes às cegas simulam as ações e procedimentos de um atacante real, limitando severamente as informações fornecidas à pessoa ou equipe que realiza o teste. Normalmente, os testadores de penetração recebem apenas o nome da empresa.
  • Testes duplamente às cegas levam o teste às cegas um passo adiante: apenas uma ou duas pessoas dentro da organização sabem que um teste está sendo realizado.
  • Testes caixa-preta são basicamente iguais aos testes às cegas, mas os testadores não recebem nenhuma informação antes do início do teste; eles devem encontrar seu próprio caminho até o sistema.
  • Testes caixa-branca (ou crystal box) fornecem aos testadores de penetração informações sobre a rede alvo antes de iniciarem o trabalho. Essas informações podem incluir endereços IP, esquemas de infraestrutura de rede, protocolos utilizados etc.

Como a Netwrix Pode Ajudar

Como vimos, a proteção de dados abrange muitos tópicos e controles, o que pode representar um grande desafio para qualquer equipe de segurança. Trabalhar com uma empresa líder em segurança como a Netwrix pode fazer a diferença entre o sucesso e o fracasso.

A Netwrix oferece um conjunto abrangente de soluções de proteção de dados, incluindo ferramentas para governança de acesso a dados, governança da informação e proteção contra ransomware. Entre em contato hoje mesmo para saber mais sobre como a Netwrix pode ajudá-lo a garantir que seus dados confidenciais estejam devidamente protegidos.

Solução Netwrix DAG

Minimize o risco de uma violação de dados identificando seus dados mais críticos, limitando o número de contas com direitos de acesso a esses dados e mantendo esse estado para garantir a segurança contínua das informações.

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management