В этой статье пойдет речь о популярных угрозах безопасности баз данных. Читатели также узнают, какие средства защиты может использовать специалист ИБ, чтобы защитить важную информацию.
Введение
Любая база данных должна быть защищена от множества угроз безопасности, с которыми она сталкивается. Основными из популярных рисков являются потеря, изменение и кража важной информации. Другие угрозы, не столь критичные, но также опасные, включают в себя снижение уровня производительности, нарушение конфиденциальности и соглашения о конфиденциальности базы данных.
Механизмы безопасности, используемые для защиты сети организации, могут отразить некоторые попытки произвести атаку на базу данных. Тем не менее, некоторые риски присущи только системам управления базами данных (СУБД) и требуют принятия особых мер безопасности, использования специализированных методов защиты и инструментов.
Популярные угрозы безопасности баз данных
Ниже представлен список наиболее распространенных угроз, которым уязвимы базы данных сегодня. Специалисты ИБ могут устранить их путем усиления защиты серверов баз данных и добавления дополнительных процедур к общим методам обеспечения безопасности и проведения аудита.
Ненадлежащее управления разрешениями
Очень часто серверы баз данных в организациях сохраняют настройки безопасности по умолчанию, и эти параметры никогда больше не изменяются. Такая неосторожность приводит к тому, что базы данных становятся уязвимыми для хакеров, которые знают как получить доступ и эффективно управлять разрешениями.
Существует также случай злоупотребления законными разрешениями: пользователи используют свои привилегии в базе данных для ее несанкционированного использования — к примеру, разглашения конфиденциальной информации.
Наличие неактивных учетных записей также создает дополнительные угрозы безопасности. Данный факт часто упускают из виду, а это может привести к ужасным последствиям – хакеры узнают о существовании подобных учетных записей и начинают использовать их для получения доступа к базам данных без авторизации.
Атаки инъекционного типа
Основной формой атак на базу данных инъекционного типа являются атаки SQL, которые направлены на серверы реляционных СУБД, использующих язык SQL. Базы данных NoSQL, такие как MongoDB, RavenDB или Couchbase, невосприимчивы к подобным угрозам, но подвержены атакам инъекционного типа NoSQL. Они встречаются намного реже, но не менее опасны.
Инъекции типа SQL и NoSQL действуют в обход элементов управления вводом данных веб-приложений для передачи команд в само ядро базы данных для раскрытия ее секретных данных. В крайних случаях успешная инъекционная атака может предоставить хакеру неограниченный доступ к самому «сердцу» базы данных.
Эксплуатация уязвимостей БД
Корпоративные ИТ-отделы регулярно забывают настраивать основное программное обеспечение СУБД. Таким образом, даже если уязвимость уже была обнаружена и поставщик выпустит исправление ПО для ее устранения, могут пройти месяцы, прежде чем компания внесет необходимые изменения в настройки. В результате в течение длительного времени существуют уязвимости, которыми могут воспользоваться киберпреступники.
Основные причины, по которым СУБД не получают патчи, включают в себя трудности с поиском времени для остановки сервера и выполнения технического обслуживания, высокие требования к тестированию исправлений, неопределенность в отношении того, кто отвечает за обслуживание СУБД, чрезмерная загруженность системных администраторов.
Наличие скрытых серверов БД
Ненадлежащее соблюдение политик установки программного обеспечения в организации (или отсутствие таких политик) приводит к тому, что специалисты вынуждены подбирать серверы баз данных по своему усмотрению для решения конкретных задач. В результате в сети организации появляются серверы, о которых администраторы безопасности даже не знают. Эти серверы также содержат конфиденциальные данные организации и приводят к появлению уязвимостей, которые могут быть использованы хакерами.
Доступ к данным резервного копирования
Хотя серверы баз данных защищены на высоком уровне безопасности, их резервные копии могут быть доступны непривилегированным пользователям. В такой ситуации существует риск того, что неавторизованные пользователи смогут создавать копии резервных копий и переносить их на свои собственные серверы для извлечения конфиденциальной информации.
Методы и стратегии защиты баз данных
Для обеспечения надлежащей защиты баз данных организации необходим целый набор практик в сочетании с регулярным внутренним контролем. Матрица популярных практик защиты включает в себя следующие аспекты:
- постоянное управление правами доступа пользователей и предотвращение наличия чрезмерных привилегий и неактивных пользователей;
- обучение сотрудников методам снижения рисков, что включает в себя получение знаний о распространенных киберугрозах, таких как фишинговые атаки и эксплуатация электронной почты;
- оценка уровня опасности уязвимостей базы данных, что включает в себя обнаружение скомпрометированных конечных точек и классификация конфиденциальных данных;
- отслеживание всей активности, связанной с получением доступа к базе данных в режиме реального времени, для обнаружения утечек данных, несанкционированных SQL, а также атак на протоколы и системы;
- автоматизация проведения аудита с помощью специально подобранной платформы;
- блокировка вредоносных веб-запросов;
- архивация внешних данных, шифрование информации в базе данных и маскировка ее полей, чтобы скрыть конфиденциальную информацию.
Средства защиты БД
Описанные выше методы требуют огромных усилий и времени со стороны отдела ИБ организации. Часто ИБ-специалисты самостоятельно не могут справиться со всеми задачами, поэтому процессы, которые необходимо осуществлять для обеспечения безопасности баз данных, остаются невыполненными. К счастью, мы готовы представить популярные зарубежные инструменты защиты БД, которые помогут облегчить работу специалистам ИБ.
1. Scuba
Scuba – это бесплатный, простой в использовании инструмент, который обеспечивает наглядность скрытых угроз безопасности в базах данных организации. Он предлагает более 2300 оценочных тестов баз данных Oracle, Microsoft SQL, Sybase, IBM DB2 и MySQL. Тестирование обнаруживает все виды уязвимостей и ошибок конфигурации.
Отчеты Scuba сообщают пользователю о том, какие базы данных подвержены риску и какие угрозы скрываются в каждой из них. Более того, в них содержатся рекомендации о том, как снизить выявленные риски.
Scuba совместим с Windows, Mac и Linux. Стандартное тестирование занимает от 2 до 3 минут, в зависимости от размера баз данных, количества пользователей и групп, а также скорости сетевого подключения. Нет никаких предварительных условий для установки, кроме своевременного обновления операционной системы.
Хотя Scuba является бесплатным автономным инструментом, Imperva включила его в свой ассортимент специальных продуктов для защиты данных. Компания предлагает защиту и безопасность в облаке, конфиденциальность данных и поведенческий анализ пользователей.
2. dbWatch
dbWatch – это комплексное решение для мониторинга и управления базами данных, оно подходит для работы с Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL и Azure SQL. Инструмент предназначен для выполнения упреждающего мониторинга и максимальной автоматизации текущего обслуживания в крупномасштабных локальных, гибридных или облачных средах баз данных.
dbWatch можно легко настроить под свои потребности – инструмент автоматизирует всю работу администратора базы данных: от мониторинга до администрирования, анализа и ведения отчетности. Пользователи подчеркивают, что решение способно с легкостью обнаруживать серверы, в том числе виртуальные. Это помогает быстро и с точностью определить возможные затраты и оценить имеющиеся риски.
Несмотря на внушительную функциональность, кривая обучения dbWatch также удивляет, поэтому после покупки инструмента и его установки обучение займет у пользователя некоторое время, прежде чем он сможет использовать решение на 100%. Для скачивания доступна бесплатная ознакомительная версия с ограниченным сроком использования.
3. AppDetectivePRO
AppDetectivePRO – это сканер баз данных, который может быстро обнаружить ошибки конфигурации, проблемы с идентификацией и контролем доступа, отсутствие исправлений и любую «токсичную» комбинацию конфигураций. Это очень важно, поскольку данные проблемы могут привести к утечке данных, несанкционированному изменению информации или осуществлению атак типа DOS.
Благодаря простой конфигурации и удобному интерфейсу AppDetectivePRO способен быстро обнаруживать, оценивать и сообщать об имеющемся уровне безопасности и рисках любой базы данных или хранилища больших данных в инфраструктуре организации – будь то локально или в облаке.
AppDetectivePRO может использоваться в качестве дополнительного элемента к работе сканеров операционных систем хоста или сети, а также статических или динамических приложений. Его набор параметров включает в себя более 50 готовых политик соответствий требованиям, не требуя задействования скриптов SQL для сбора данных.
4. DbDefence
DbDefence – это средство защиты баз данных, которые размещены на сервере Microsoft SQL. Оно характеризуется простотой в использовании, доступностью и эффективностью при шифровании баз данных и их схем, полностью предотвращая доступ даже пользователям с самыми высокими привилегиями.
Шифрование происходит на стороне сервера, позволяя авторизованному администратору безопасно шифровать и расшифровывать базы данных без необходимости изменять настройки приложений, которые получают к ним доступ. Инструмент совместим с любой версией SQL Server, выпущенной после 2005 года.
DbDefence работает на уровне файлов и объектов SQL, что отличает его от других программ шифрования вида SQL Server. Инструмент понимает, к каким объектам пытались получить доступ, разрешен ли пользователем этот доступ или нет.
Чтобы использовать DbDefence в качестве решения безопасности, нет необходимости приобретать лицензию для каждого клиентского приложения отдельно. Одной лицензии на распространение достаточно, чтобы установить его на нужное количество клиентов.
5. OScanner
OScanner – это инструмент анализа и оценки уровня безопасности баз данных Oracle, разработанный на языке программирования Java. Он имеет архитектуру на основе плагинов, которая в настоящее время содержит плагины для выполнения следующих функций:
- перечисление сидов;
- проверка уровня надежности паролей;
- перечисление версий Oracle;
- перечисление ролей, привилегий и хэшей учетных записей пользователей;
- перечисление аудиторской информации;
- перечисление политик паролей;
- перечисление ссылок на базы данных.
Результаты осуществленных операций представлены в виде графического древа Java. Более того, можно получить краткий отчет в формате XML и использовать встроенное средство просмотра XML. Для установки инструмента требуется только среда выполнения Java и установочный файл программы.
OScanner работает аналогично инструменту Oracle Auditing Tool – он использует файл «accounts.default» для получения пар имя пользователя/пароль по умолчанию. Однако программа отличается от инструмента Oracle тем, что пытается обнаружить учетные записи с одинаковыми именами пользователей и паролями.
6. Security Manager (dbForge Studio)
Security Manager является частью пакета dbForge Studio для MySQL – он представляет собой мощный инструмент для управления безопасностью базы данных MySQL. Обладая огромной функциональностью и практичным и удобным пользовательским интерфейсом, инструмент может облегчить выполнение рутинных задач администрирования, таких как управление учетными записями пользователей MySQL и их привилегиями.
Использование Security Manager повышает производительность ИТ-команды. Инструмент также имеет и другие преимущества, такие как замена сложных операций командной строки более простым визуальным управлением учетными записями пользователей MySQL и их привилегиями. Эта программа помогает повысить уровень безопасности базы данных благодаря упрощенным процедурам управления привилегиями, которые сводят к минимуму ошибки и сокращают время, необходимое административному персоналу.
С помощью пяти вкладок в интерфейсе можно создавать учетные записи пользователей всего в несколько кликов, предоставляя каждой из них как глобальные, так и объектные привилегии. Как только учетные записи будут созданы, администратор может сразу просмотреть их конфигурацию, чтобы убедиться, что он не допустил ошибок.
Можно скачать бесплатную версию dbForge Studio для MySQL, которая включает в себя базовые функции. Кроме того, есть стандартные, профессиональные и корпоративные версии инструмента, цены на которые варьируются в пределах $400.
Заключение
Организации обычно считают, что их данные уже надежно защищены только потому, что у них есть резервные копии и межсетевые экраны. Однако они упускают тот факт, что есть много других аспектов безопасности баз данных, которые выходят за рамки указанных мер безопасности. При выборе сервера базы данных организация должна учитывать свои потребности и цели работы. Защита БД имеет высокий уровень важности, поскольку они содержат критически важные данные организации.
Автор переведенной статьи: Geekflare Editorial.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
