As conversas sobre segurança de dados tendem a divergir em três tópicos principais:
- Como podemos proteger os dados que armazenamos em nossa infraestrutura native ou na nuvem?
- Quais estratégias, ferramentas ou plataformas podem fazer backup e restaurar dados de maneira confiável?
- Quanto nos custaria perder todos esses dados e com que rapidez poderíamos recuperá-los?
Todas são conversas válidas e necessárias para organizações de tecnologia de todos os formatos e tamanhos. Ainda assim, a empresa média usa mais de 400 aplicativos SaaS. O mesmo relatório também revelou que 56% dos profissionais de TI não estão cientes das suas responsabilidades de backup de dados. Isto é alarmante, dado que 84% dos entrevistados afirmaram que pelo menos 30% dos seus dados críticos para os negócios residem em aplicações SaaS.
Os dados SaaS não são como os dados locais ou na nuvem porque você não tem propriedade sobre o ambiente operacional e muito menos propriedade dos dados em si. Devido a essas restrições, criar backups automatizados, armazená-los em ambientes seguros e controlar o processo de restauração é uma tarefa de engenharia muito mais complicada.
Essa inflexibilidade leva as organizações a desenvolver soluções alternativas e processos manuais para fazer backup de dados SaaS, deixando-os em ambientes muito menos seguros – uma pena porque seus backups são quase tão valioso para os invasores quanto seus dados de produção. As organizações que tratam os dados SaaS com menos cuidado, mesmo à luz do crescimento de dois dígitos na utilização de aplicações SaaS, estão a entregar as chaves do seu reino de formas mais óbvias do que poderiam esperar. Com a ameaça de perda de dados iminente, qual será o custo para sua empresa se você não agir rapidamente para criar um plano de recuperação de dados SaaS?
Os segredos valiosos escondidos à vista de todos
Vamos ilustrar um cenário comum: sua equipe tem uma única organização GitHub onde toda a sua equipe de engenharia colabora em projetos de desenvolvimento e implantação em vários repositórios privados.
Agora, vamos ajustar essa ilustração com uma adição menos comum: você tem backups para todos dos seus dados do GitHub, que incluem não apenas o código em cada um desses repositórios, mas também metadados como revisões de pull request, problemas, gerenciamento de projetos e muito mais.
Nesse caso, seus dados de backup do GitHub não conterão senhas ou informações de identificação pessoal (PII) sobre seus funcionários, além do que eles já tornaram público em seus perfis do GitHub. Também não permitiria que um invasor se movesse lateralmente para seus servidores ou serviços de produção porque ainda não encontrou seu vetor de ataque ou ponto de intrusão. No entanto, você ainda não está fora de perigo: dados de backup de todos os tipos contêm informações com as quais os invasores podem aprender, criando uma inferência de como seu ambiente de produção faz operar.
Cada backup e clone inseguro do seu código privado é extremamente valioso se o invasor pretender apenas roubar propriedade intelectual (IP) ou vazar informações confidenciais sobre recursos futuros, parcerias ou atividades de fusões e aquisições para concorrentes ou para fraude financeira.
Seus arquivos de configuração de infraestrutura como código (IaC) e CI/CD também seriam de specific interesse, pois identificam a topologia de sua infraestrutura, expõem sua infraestrutura de teste e estágios de implantação e revelam todos os provedores de nuvem ou serviços de terceiros que você produz. serviços dependem. Esses arquivos de configuração dependem de segredos como senhas ou tokens de autenticação. Mesmo se você estiver usando uma ferramenta de gerenciamento de segredos para impedir que o conteúdo actual desses segredos seja controlado por versão no GitHub, um invasor será capaz de identificar rapidamente onde procurar em seguida, seja Hashicorp Vault, AWS Secrets and techniques Supervisor, Cloud KMS , ou uma das muitas alternativas.
Como você também está fazendo backup de seus metadados nesta ilustração, uma implementação insegura deixa suas solicitações pull e comentários de problemas, que de outra forma você teria ocultado em seus repositórios privados do GitHub, disponíveis para um invasor explorar. Eles aprenderão rapidamente quem tem privilégios para aprovar e mesclar código em cada repositório e explorar listas de verificação para implantação ou correção para identificar pontos fracos.
Com essas informações, eles podem criar um ataque muito mais direcionado, seja diretamente contra sua infraestrutura ou usando métodos de engenharia social, como pretextos, contra funcionários que agora entendem ter privilégios de administrador.
Por que os backups seguros, especialmente de dados SaaS, são mais críticos do que nunca?
Resumindo, os dados SaaS nunca foram tão críticos para as operações horárias da sua organização. Esteja você usando uma plataforma de colaboração de código como o GitHub, ferramentas de produtividade como o Jira ou até mesmo aproveitando o Confluence como o principal fornecedor (e dependência) de uma marca inteira, você está em dívida com ambientes que não possui, com práticas de gerenciamento de dados você não pode controlar totalmente, apenas manter as luzes acesas.
Os dados SaaS são vulneráveis de forma única porque, diferentemente dos dados locais, existem duas partes interessadas: seu provedor e você. Seu provedor pode sofrer perda de dados, como quando o GitLab perdeu 300 GB de dados do usuário em apenas alguns segundos quando um engenheiro escreveu em seu banco de dados de produção. Você pode cometer um erro honesto, como excluir acidentalmente sua instância ou fazer add de um CSV que corrompe instantaneamente todas as facetas dos seus dados.
A conscientização é uma grande preocupação. Em um relatório de 2023 da AppOmni, 85% dos especialistas em TI e segurança cibernética entrevistados afirmaram que não há problemas de segurança em torno do SaaS. No entanto, 79% dessas mesmas pessoas admitiram que a sua organização identificou pelo menos uma ameaça à segurança cibernética baseada em SaaS nos últimos 12 meses. Os incidentes mais comuns foram vulnerabilidades nas permissões dos usuários, exposição de dados, um ataque cibernético específico e erro humano.
Ao mesmo tempo, um relatório da Oracle e da empresa de análise ESG descobriu que apenas 7% dos diretores de segurança da informação (CISOs) disseram compreender totalmente o modelo de responsabilidade compartilhada, que coloca o ônus da segurança dos dados sobre o usuário, e não sobre o provedor de SaaS. . 49% dos entrevistados também afirmaram que a confusão em torno desse modelo resultou em perda de dados, acesso não autorizado aos dados e até mesmo sistemas comprometidos.
A resposta para quaisquer temores sobre a segurança dos dados de backup é não ignorar completamente os backups.
O que procurar em um seguro Provedor de backup de dados SaaS
Ao explorar o cenário de plataformas que permitem fazer backup e restaurar dados desses aplicativos SaaS de missão crítica, você deve validar cuidadosamente estes itens essenciais:
- Automação: Nenhum backup infalível envolve processos manuais – o processo de backup deve criar automaticamente backups diários incrementais usando um algoritmo delta ou diferencial. Todo processo handbook, como aproveitar um script de backup de código aberto que não é atualizado há anos, ou até mesmo uma tarefa simples como escrever um cron job para executar um script de backup toda terça-feira às 23h59, cria possíveis pontos de falha.
- Abrangência: O exemplo do GitHub é excepcionalmente bom para ilustrar a diferença entre dados (seu código) e metadados (as conversas que seus engenheiros têm em volta seu código), mas muitos aplicativos SaaS têm hierarquias de dados semelhantes. Se uma solução de backup não puder proteger todos os seus dados, no caso de um desastre de perda de dados, você terá apenas um plano de recuperação tímido e muito trabalho handbook para voltar ao regular.
- Criptografia: Insista na criptografia AES de 256 bits, tanto em repouso quanto em trânsito, para todos os seus backups de dados SaaS. O provedor também deve oferecer suporte a SSO para que você possa gerenciar usuários e seus privilégios usando um provedor de identidade centralizado.
- Conformidade de dados: Detalhes como relatórios SOC 2 Tipo 2, que detalham os controles de segurança de uma plataforma de backup, podem lhe dar garantias sobre a seriedade com que eles levam a proteção dos dados confidenciais em seus backups. Embora você não exact disso atualmente, recursos como residência de dados demonstram que eles projetaram uma infraestrutura sofisticada com as políticas corretas para diversas regiões.
- Observabilidade: Você não pode controlar totalmente o que acontece com os dados da sua organização. A próxima melhor coisa é saber exatamente quem, quando e o que foi acessado ou alterado em seus dados de backup assim que isso acontecer. Um registro de auditoria em tempo actual ajudará você a detectar invasões rapidamente e fazer a correção correta antes que um ataque tenha tempo de violar seus dados.
As ameaças exclusivas aos dados SaaS estão se expandindo rapidamente. Mesmo as ferramentas que pensamos serem projetadas para descobrir ineficiências ou automatizar o trabalho que preferiríamos não fazer, como agentes terceirizados de IA, podem ser incidentes de perda massiva de dados disfarçados – sobre os quais certamente ouviremos falar nos próximos meses e anos. .
Quando você concede a uma IA acesso de gravação às suas plataformas SaaS, ela pode corromper inocentemente todos os seus dados de missão crítica em velocidade acelerada por GPU. Quando relatórios dessas situações começarem a aparecer em massa, você ficará feliz por ter guardado seus dados SaaS onde ninguém – um invasor ou uma IA perdida – possa lê-los. Você ficará duplamente feliz por também estar são e salvo quando você mais precisar.
