Estudo revela falhas de segurança em armazenamento

Sistemas de armazenamento têm uma postura de segurança significativamente mais fraca do que as outras duas camadas da infraestrutura de TI, recursos computacionais e de rede. A conclusão veio à tona depois que um estudo analisou vulnerabilidades e configurações incorretas dos sistemas de armazenamento de diversos fornecedores, entre eles Dell EMC, IBM, Hitachi Data Systems, Cisco, Brocade e NetApp. 

“Das três classes principais de infraestrutura de TI, armazenamento geralmente é a mais valiosa, tanto da perspectiva de segurança quanto de negócios”, afirma Gil Hecht, CEO da Continuity, responsável pela pesquisa. “Vulnerabilidades de segurança e configurações incorretas de dispositivos de armazenamento representam uma ameaça significativa, especialmente porque os ataques de ransomware tomaram conta das empresas nos últimos anos. Ainda assim, com base em nossa análise, a postura de segurança da maioria dos sistemas de armazenamento nas empresas é extremamente fraca”, completa o executivo.  

Os sistemas de armazenamento avaliados apresentaram, em média, 15 vulnerabilidades de segurança. Aproximadamente três delas foram consideradas de alto risco ou críticas, ou seja, poderiam gerar grandes estragos se exploradas. Os cinco tipos mais comuns de vulnerabilidades encontrados são: 

1. Uso de protocolos vulneráveis/configurações inadequadas – Esse protocolos abrangem redes tradicionais (IP sobre Ethernet e WAN) e redes dedicadas de armazenamento. É fundamental proteger esses protocolos durante o estabelecimento das sessões e também durante a troca de dados. No entanto, em um número muito alto de casos e na maioria dos ambientes, ainda é comum encontrar configurações inadequadas. 

2. Vulnerabilidades comuns (CVEs) não resolvidas – Há diversos componentes usados com dispositivos e redes de armazenamento, como sistemas operacionais, firmware de controladores, APIs e sistemas de gerenciamento. Vulnerabilidades nesses componentes são descobertas frequentemente e registradas em CVEs (Common Vulnerability and Exposure) amplamente divulgados. Na maioria dos casos, correções na forma de atualização são sugeridas, mas nem sempre implementadas.  

3. Problemas de direitos de acesso, causando superexposição – Um grande número de dispositivos estava configurado de forma inadequada, o que incluía acesso irrestrito a sistemas de armazenamento compartilhados, zoneamento e mascaramento não recomendados e permissão para alcançar elementos de armazenamento a partir de redes externas. 

4. Gestão e autenticação de usuários inseguras – Dispositivos de armazenamento são gerenciados a partir de usuários e funções e, em muitos casos, o acesso aos dados também é controlado de forma semelhante. Existem recomendações básicas para gestão e autenticação de usuários que, por diversos motivos, não são seguidas para os dispositivos de armazenamento com o mesmo rigor aplicado a recursos computacionais  e de rede. 

5. Relatórios (logging) insuficientes – Relatórios e auditoria são requisitos fundamentais de qualquer prática de segurança sólida, incluindo a relacionada a sistemas de armazenamento. Todas as atividades de configuração, gerenciamento e acesso a dados críticos devem ser registradas de forma adequada, incluindo horário, detalhes em nível apropriado, tipos de eventos, entre outras informações. O estudo encontrou que cerca de 15% dos sistemas de armazenamento de produção não contavam com relatórios, e outra parcela substancial dispunha de relatórios suscetíveis à manipulação. 

O estudo destaca que é imprescindível fortalecer as estratégias de segurança dos sistemas de armazenamento, visto que os ataques centrados em dados estão cada vez mais sofisticados  e as regulamentações, mais rígidas. Além disso, as implicações de negócios resultantes de medidas ineficazes nesse setor podem ser devastadoras para as empresas. 

A recomendação é avaliar os processos internos de segurança para determinar se eles cobrem a infraestrutura de armazenamento de modo suficiente. O estudo lista algumas perguntas que podem ajudar a esclarecer o nível de maturidade de planejamento de segurança de armazenamento: 

• Sua política de segurança cobre especificamente os riscos associados a sistemas e redes de armazenamento e soluções de backup? 
• A segurança da infraestrutura de armazenamento é avaliada com frequência? 
• Há planos e procedimentos detalhados para recuperação em caso de ataque aos sistemas de armazenamento ou de backup? São testados de tempos em tempos? 
• E, por último, depois das revelações desse estudo e de outros semelhantes, quão confiável o ambiente de armazenamento pode ser considerado?