Все организации в той или иной степени используют базы данных, будь то для обработки простых, малообъемных наборов данных, таких как адресная книга секретаря, или больших хранилищ Больших Данных для анализа стратегической информации.
Общим знаменателем всех этих баз данных является то, что они должны быть защищены от многочисленных рисков, с которыми они сталкиваются, основными из которых являются потеря, изменение и кража информации.
Другие риски, не столь критичные, но тоже опасные, включают снижение производительности и нарушение соглашений о конфиденциальности или неприкосновенности частной жизни.
Механизмы безопасности, используемые для защиты сетей организации, могут отразить некоторые попытки атак на базы данных.
Тем не менее, некоторые риски являются уникальными для систем баз данных (СУБД) и требуют особых мер, методов и инструментов безопасности.
Угрозы, влияющие на базы данных
Ниже приведен список наиболее распространенных угроз, воздействующих на базы данных сегодня, которые должны быть смягчены путем усиления серверов баз данных и добавления нескольких процедур к общим методам безопасности и аудита.
Неправильное управление правами
Чаще, чем нам хотелось бы признать, серверы баз данных устанавливаются в организациях с настройками безопасности по умолчанию, и эти настройки никогда не меняются.
Это приводит к тому, что базы данных становятся уязвимыми для злоумышленников, которые знают стандартные права и умеют их использовать.
Существует также случай злоупотребления законными правами: пользователи используют свои привилегии базы данных для несанкционированного использования – например, разглашения конфиденциальной информации.
Существование неактивных учетных записей также представляет собой риск безопасности, который часто упускается из виду, поскольку злоумышленники могут знать о существовании этих учетных записей и воспользоваться ими для несанкционированного доступа к базам данных.
Инъекционные атаки на базы данных
Основной формой атак внедрения в базы данных являются атаки внедрения SQL, которые атакуют реляционные серверы баз данных (RDBMS), использующие язык SQL.
Базы данных NoSQL, такие как MongoDB, RavenDB или Couchbase, не подвержены атакам SQL-инъекций, но восприимчивы к атакам NoSQL-инъекций.
Инъекционные атаки NoSQL менее распространены, но не менее опасны.
Атаки инъекций SQL и NoSQL действуют в обход элементов управления вводом данных в веб-приложениях, чтобы передать команды движку базы данных для раскрытия ее данных и структур.
В крайних случаях успешная инъекционная атака может дать злоумышленнику неограниченный доступ к сердцу базы данных.
Эксплуатация уязвимостей баз данных
Обычно корпоративные ИТ-отделы не проводят регулярного исправления основного программного обеспечения СУБД.
Поэтому, даже если уязвимость обнаружена и производитель выпускает исправление для ее устранения, может пройти несколько месяцев, прежде чем компании поставят исправления на свои системы.
В результате уязвимости остаются незащищенными в течение длительного времени, чем могут воспользоваться киберпреступники.
Основными причинами, по которым СУБД не патчируются, являются трудности с поиском времени для вывода сервера из строя и проведения обслуживания; сложные и длительные требования к тестированию патчей; неясность в вопросе о том, кто отвечает за обслуживание СУБД; чрезмерная загруженность системных администраторов и др.
Существование скрытых серверов баз данных
Несоблюдение политики установки программного обеспечения в организации (или отсутствие такой политики) приводит к тому, что пользователи устанавливают серверы баз данных по своему усмотрению для решения конкретных задач.
В результате в сети организации появляются серверы, о которых администраторы безопасности не знают.
Эти серверы раскрывают конфиденциальные данные организации или обнаруживают уязвимости, которыми могут воспользоваться злоумышленники.
Доступные резервные копии
Хотя серверы баз данных защищены уровнем безопасности, резервные копии этих баз данных могут быть доступны непривилегированным пользователям.
В такой ситуации существует риск, что неавторизованные пользователи могут сделать копии резервных копий и установить их на свои собственные серверы, чтобы извлечь содержащуюся в них конфиденциальную информацию.
Техники и стратегии защиты баз данных
Чтобы обеспечить адекватную защиту баз данных организации, необходима защитная матрица лучших практик в сочетании с регулярным внутренним контролем.
Матрица лучших практик включает следующие пункты:
- Управление правами доступа пользователей, устранение чрезмерных привилегий и неактивных пользователей.
- Обучение сотрудников методам снижения рисков, включая распознавание распространенных киберугроз, таких как атаки типа “spear-phishing”, передовые методы работы в Интернете и использования электронной почты, а также управление паролями.
- Оцените все уязвимости базы данных, определите скомпрометированные конечные точки и классифицируйте конфиденциальные данные.
- Мониторинг всей активности доступа к базе данных и шаблонов использования в режиме реального времени для обнаружения утечек данных, несанкционированных транзакций SQL и Big Data, а также атак на протоколы/системы.
- Автоматизируйте аудит с помощью платформы защиты и аудита баз данных.
- Блокирование вредоносных веб-запросов.
- Архивирование внешних данных, шифрование баз данных и маскировка полей базы данных для сокрытия конфиденциальной информации.
Средства обеспечения безопасности баз данных
Перечисленные выше методы требуют больших усилий со стороны ИТ-отдела организации, и часто ИТ-персонал не может справиться со всеми своими задачами, поэтому задачи, которые необходимо выполнить для обеспечения безопасности баз данных, остаются невыполненными.
К счастью, несколько инструментов облегчают эти задачи, чтобы опасности, угрожающие базам данных, не коснулись их.
Сканер уязвимостей баз данных Scuba
Scuba – это бесплатный, простой в использовании инструмент, который позволяет выявить скрытые риски безопасности в базах данных организации.
Он предлагает более 2300 тестов для оценки баз данных Oracle, Microsoft SQL, Sybase, IBM DB2 и MySQL, которые выявляют все виды уязвимостей и ошибок конфигурации.
Благодаря четким и лаконичным отчетам Scuba показывает, какие базы данных находятся в зоне риска и какие опасности таятся в каждой из них.
Он также предоставляет рекомендации по снижению выявленных рисков.
Сканирование Scuba можно выполнять с любого клиента Windows, Mac или Linux.
Обычное сканирование с помощью этого инструмента занимает от 2 до 3 минут, в зависимости от размера баз данных, количества пользователей и групп, а также скорости сетевого соединения.
Для установки не требуется никаких предварительных условий, кроме наличия обновленной операционной системы.
Хотя Scuba является бесплатным отдельным инструментом, Imperva включает его в свой ассортимент специальных продуктов для обеспечения безопасности данных, предлагая защиту данных и безопасность в облаке, конфиденциальность данных и анализ поведения пользователей.
dbWatch Control Center
dbWatch – это комплексное решение для мониторинга и управления базами данных, поддерживающее Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL и Azure SQL.
Оно предназначено для проактивного мониторинга и автоматизации рутинного обслуживания в крупномасштабных локальных, гибридных или облачных средах баз данных.
dbWatch обладает высокой степенью настраиваемости и охватывает весь рабочий процесс DBA – от мониторинга до администрирования, анализа и отчетности.
Пользователи инструмента отмечают его способность легко обнаруживать серверы, в том числе виртуальные. Это отличное преимущество для управления и отслеживания ИТ-активов, облегчающее определение затрат и оценку рисков.
Несмотря на широкие функциональные возможности, dbWatch имеет крутую кривую обучения, поэтому после приобретения инструмента ожидайте, что процедуры установки и обучения займут некоторое время, прежде чем инструмент будет работать на 100%.
Бесплатная, ограниченная по времени ознакомительная версия доступна для загрузки.
AppDetectivePRO
AppDetectivePRO – это сканер баз данных и Больших Данных, который может немедленно обнаружить ошибки конфигурации, проблемы идентификации/контроля доступа, отсутствующие патчи или любую токсичную комбинацию конфигураций, которые могут привести к утечке данных, несанкционированной модификации информации или атакам типа “отказ в обслуживании” (DoS).
Благодаря простой конфигурации и удобному интерфейсу AppDetectivePRO может немедленно обнаружить, оценить и представить отчет о безопасности, рисках и состоянии безопасности любой базы данных или хранилища Больших Данных в инфраструктуре организации – как локальной, так и облачной – за считанные минуты.
AppDetectivePRO можно использовать в качестве дополнения к сканерам для хостовых или сетевых операционных систем, статических или динамических приложений.
Его набор опций предлагает более 50 готовых политик соответствия и конфигурации, не требуя сопровождения SQL-сценариев для сбора данных.
DbDefence
DbDefence – это инструмент безопасности для баз данных, расположенных на Microsoft SQL Server. Он отличается простотой использования, доступностью и эффективностью для шифрования полных баз данных и защиты их схем, полностью предотвращая доступ к базам данных даже для пользователей с самыми высокими привилегиями.
Шифрование работает на стороне сервера, позволяя авторизованному администратору надежно шифровать и расшифровывать базы данных, без необходимости изменения приложений, которые к ним обращаются.
Инструмент работает с любой версией SQL Server после 2005 года.
DbDefence работает на уровне файлов и объектов SQL, что отличает его от других программ шифрования SQL Server.
Он может различать, к каким объектам была предпринята попытка доступа, а каким объектам было отказано или разрешено.
Чтобы включить DbDefence в состав решения, нет необходимости приобретать лицензии для каждого клиентского приложения.
Достаточно одной лицензии, чтобы установить его на любое количество клиентов.
OScanner
OScanner – это инструмент анализа и оценки баз данных Oracle, разработанный на языке Java.
Он имеет архитектуру, основанную на плагинах, и в настоящее время имеет плагины для следующих функций:
- Перечисление сидов
- Проверка паролей (обычных и словарных)
- Перечисление версий Oracle
- Перечисление ролей, привилегий и хэшей учетных записей пользователей
- Перечисление информации об аудите
- Перечисление политик паролей
- Перечисление ссылок на базы данных
Результаты представляются в виде графического дерева Java.
Он также предоставляет лаконичный формат отчета XML и встроенный просмотрщик XML для просмотра отчета.
Для установки инструмента требуется только среда выполнения java и установочный файл OScanner (zip).
OScanner работает аналогично функции угадывания паролей Oracle Auditing Tool (OAT opwg), используя файл учетных записей .default для получения пар имя пользователя/пароль по умолчанию.
Он отличается от инструмента Oracle тем, что также пытается угадать учетные записи с одинаковым именем пользователя и паролем.
dbForge Security Manager
Security Manager является частью пакета dbForge Studio for MySQL, добавляя к нему мощный инструмент для управления безопасностью в базах данных MySQL.
Обладая расширенной функциональностью и практичным и дружественным пользовательским интерфейсом, он призван облегчить рутинные задачи администрирования безопасности, такие как управление учетными записями и привилегиями пользователей MySQL.
Использование менеджера безопасности повышает производительность труда ИТ-персонала.
Он также обеспечивает другие преимущества, например, заменяет сложные операции командной строки на более простое визуальное управление учетными записями пользователей MySQL и их привилегиями.
Этот инструмент также помогает повысить безопасность базы данных благодаря упрощенным процедурам управления, которые минимизируют ошибки и сокращают время, требуемое от административного персонала.
С помощью пяти вкладок окна менеджера безопасности вы можете создавать учетные записи пользователей всего за несколько кликов, предоставляя каждой из них как глобальные, так и объектные привилегии.
После создания учетных записей вы можете сразу же просмотреть их настройки, чтобы убедиться в отсутствии ошибок.
Вы можете загрузить совершенно бесплатную версию dbForge Studio for MySQL, которая предлагает базовую функциональность.
Затем есть версии Standard, Professional и Enterprise, цена которых варьируется примерно до 400 долларов.
Заключение
Обычно организации считают, что их данные надежно защищены только потому, что у них есть резервные копии и брандмауэры.
Но существует множество других аспектов безопасности баз данных, которые выходят за рамки этих мер безопасности.
При выборе сервера баз данных организация должна учитывать перечисленные выше аспекты, все из которых подразумевают придание серверам баз данных того значения, которое они имеют в стратегическом управлении критическими данными организации.