Amplie sua visão sobre os riscos e atenda às exigências de conformidade em segurança

O que não pode ser visto, não pode ser corrigido. Sem visibilidade, você não consegue mitigar vulnerabilidades nem comprovar aos reguladores que está no controle da situação. No entanto, alcançar essa visibilidade ainda é um dos maiores desafios para as equipes de cibersegurança. 

Um estudo da Forrester de 2024 descobriu que mais da metade (52%) das empresas financeiras concordam/concordam plenamente que não têm total visibilidade de seu patrimônio de TI. Os riscos da não-conformidade são altos para qualquer setor. O número de organizações que pagam mais de US$100.000 em multas regulatórias saltou quase 20% entre 2023 e 2024.

Na primeira publicação do blog em nossa série sobre conformidade, mostramos como alinhar esforços de conformidade regulatória a uma estratégia de segurança em camadas. A adoção de uma abordagem proativa, a fim de eliminar lacunas de visibilidade, é essencial para atender às exigências de conformidade em segurança e isso envolve:

• Comprovar seus controles de forma eficaz
• Realizar avaliações de riscos estratégicas
• Gerar relatórios precisos de auditorias

Nesta publicação, vamos explorar os desafios de visibilidade que impactam a segurança de rede e a proteção de APIs, além de apresentar camadas adicionais que fortalecem a conformidade. Por fim, medidas robustas de segurança são a chave para atender às exigências regulatórias de maneira eficaz. Quanto mais cedo você identificar um risco, maior será sua capacidade de mitigação.

Líderes de cibersegurança relatam que suas equipes enfrentam limitações para monitorar o tráfego de rede de forma eficaz, o que impede a identificação de fatores de risco, como a comunicação entre ativos. Essa visibilidade é essencial para atender às regulamentações, como o PCI DSS v4.0 (Payment Card Industry Data Security Standard, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) e o GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados). 

Ambos exigem a separação a segregação de dados dentro do escopo de outros sistemas no ambiente de TI e a geração de relatórios detalhados sobre as medidas adotadas. A visibilidade da rede também é fundamental para os padrões de segurança da informação, como o ISMS (Sistema de Gerenciamento de Segurança da Informação), e a norma IEC 27001 da ISO (International Organization for Standardization, Organização Internacinal para Padronização), que exige a separação de recursos de processamento de dados para evitar movimentações laterais em caso de invasão da rede.

Muitas organizações já contam com camadas básicas de visibilidade, por exemplo, firewalls de rede tradicionais podem fornecer algumas informações. No entanto, essas camadas não acompanharam a evolução tecnológica, que trouxe ambientes de TI cada vez mais complexos, impulsionando a migração para a nuvem e microsserviços e deixando brechas na segurança. Como resultado, as equipes de segurança enfrentam desafios como:

• Garantir conformidade com múltiplos requisitos regulatórios em diferentes regiões em que a empresa atua, vende ou depende de terceiros

• Ter uma visão clara sobre como os aplicativos e usuários se comunicam e interagem com bancos de dados em todas as redes

Essas falhas de visibilidade dificultam a comprovação, para os reguladores, de que sua empresa está detectando ciberameaças e se protegendo contra ataques que podem resultar em roubo de dados, interrupção de operações e infecção por malware. A falta de visibilidade também compromete o cumprimento de requisitos técnicos, como o requisito 1 do PCI DSS v4.0, que exige a configuração de firewalls para restringir conexões entre redes confiáveis e não confiáveis.

Uma maneira de resolver essa falta de visibilidade no tráfego de rede é adicionar uma camada de microssegmentação definida por software, que possibilita visualizar, monitorar e identificar a comunicação entre os ativos da rede. Essa abordagem proporciona:

• Controle preciso sobre interações de rede, permitindo que as organizações identifiquem, isolem e bloqueiem tráfego ilegítimo entre dispositivos de um data center específico, o chamado tráfego leste-oeste, em ambientes híbridos que abrangem infraestrutura local e nuvem

• Mecanismos eficazes para conter e mitigar ataques de ransomware, segmentando a rede e aplicando controles de segurança personalizados com base nos riscos de cada segmento

• Maior visibilidade do tráfego leste-oeste, permitindo que as equipes de segurança monitorem com precisão "quem pode acessar o quê", especialmente em relação a dados confidenciais, como informações de cartão de crédito dos clientes

Ao avaliar quais camadas de microssegmentação sua organização pode usar para aprimorar a visibilidade da rede, priorize soluções que ofereçam insights detalhados, tanto históricos quanto em tempo real. Isso facilita a certificação em auditorias de conformidade, garantindo que dados e ativos críticos permaneçam protegidos e libres de comprometimento.

Sabemos que muitas equipes de segurança enfrentam dificuldades para visualizar seu patrimônio de APIs em crescimento acelerado. Sempre que um cliente, parceiro ou fornecedor interage digitalmente com uma organização, as APIs estão transmitindo dados nos bastidores, dados que geralmente são confidenciais. Os agentes de ameaça sabem que as APIs são altamente vulneráveis e relativamente fáceis de violar, devido a falhas, como configurações incorretas, controles de autenticação insatisfatórios e erros de codificação.

Muitas organizações têm visão limitada de seu ambiente de TI, pois grande parte de suas APIs operam nas sombras e não são detectadas por ferramentas de proteção de APIs tradicionais. De acordo com nosso Estudo sobre o impacto da segurança de APIs de 2024, apenas 27% dos profissionais de segurança que têm inventários completos de APIs realmente sabem quais delas expõem dados confidenciais — uma queda preocupante em relação aos 40% registrados em 2023.

Ao analisar por setor, percebemos uma visibilidade ainda menor de quais APIs retornam dados confidenciais, seja para usuários legítimos ou invasores.

• Saúde: apenas 24,0% das APIs
• Seguro: apenas 20,7% das APIs
• Governo/setor público: apenas 18,5% das APIs

O setor de saúde é um exemplo claro dos riscos envolvidos: Se um invasor conseguir explorar uma API mal configurada de um provedor de saúde para acessar registros de pacientes, isso pode acarretar penalidades severas e escrutínio regulatório da HIPAA.

Algumas regulamentações mencionam APIs explicitamente. Por exemplo, o PCI DSS v4,0 contém orientações para garantir que o software de uma organização utilize com segurança as funções de componentes externos. Isso inclui APIs que transmitem dados de pagamento como um cartão de crédiro de um aplicativo móvel para sistemas bancários. 

Em outros casos, as APIs não são mencionadas pelo nome, mas os requisitos deixam claro que a proteção das tecnologias que dependem delas é essencial para a conformidade. Um bom exemplo é a DORA (Digital Operational Resiliency Act, Lei de Resiliência Operacional Digital) da União Europeia, criada para fortalecer a segurança cibernética e garantir que as organizações financeiras dos Estados-Membros da UE possam resistir e se recuperar de ataques cibernéticos.

O artigo 3 da DORA exige que as organizações adotem soluções e processos de tecnologia da informação e comunicação (TIC) que:

• Minimizem os riscos relacionados à segurança, impeçam acessos não autorizados e minimizem falhas técnicas

• Evitem indisponibilidade de dados, perda de dados e violações de integridade e confidencialidade

• Garantam a segurança da transferência de dados

A função principal das APIs é proporcionar a transferência de dados rápida, confiável e segura. Por isso, identificar,avaliar riscos e proteger todas as APIs que lidam com dados corporativos é essencial para atender aos requisitos da DORA. 

Esses controles também fortalecem a conformidade com o PCI DSS, GDPR e diversas regulamentações voltadas para segurança de dados e resiliência da cibersegurança. Se você estiver pensando em adicionar camadas para melhorar sua visibilidade sobre APIs e seus riscos, considere soluções que ofereçam:

• Capacidade de identificar todas as APIs em seu ambiente de TI, gerenciadas e não gerenciadas, incluindo as APIs zumbi e sombra

• Análise detalhada dos fatores de risco de cada API, como os tipos de dados transmitidos e quem ou o que pode acessá-los

• Insights contextuais para identificar riscos, como vazamentos de dados, comportamentos suspeitos, bots mal-intencionados e ataques a APIs

• Capacidade de documentar fluxos de dados 

• Geração de relatórios de conformidade que traduzam a postura de segurança de APIs da empresa em relação aos principais padrões regulatórios

Para finalizar,acreditamos que, para garantir conformidade com regulamentações e frameworks de segurança da informação, é essencial adotar uma abordagem em camadas, focada na proteção de múltiplas áreas dentro da superfície de ataque.

Preste atenção nas próximas publicações desta série, em que exploraremos as práticas de segurança recomendadas, alinhadas às exigências atuais dos reguladores, para o gerenciamento de conformidade de segurança. Isso inclui evitar a movimentação lateral na rede, em aplicações e APIs.