Самые опасные угрозы для баз данных и способы их предотвращения

Опубликовано: 2022-01-07

Все организации в той или иной степени используют базы данных, будь то для обработки простых наборов данных небольшого объема, таких как адресная книга секретаря, или больших репозиториев больших данных для стратегического анализа информации.

Общим знаменателем всех этих баз данных является то, что они должны быть защищены от множества рисков, с которыми они сталкиваются, основными из которых являются потеря, изменение и кража информации. Другие риски, не столь критичные, но также опасные, включают снижение производительности и нарушение конфиденциальности или соглашений о конфиденциальности.

Механизмы безопасности, используемые для защиты сетей организации, могут отразить некоторые попытки атак на базы данных. Тем не менее, некоторые риски уникальны для систем баз данных (СУБД) и требуют специальных мер безопасности, методов и инструментов.

Угрозы, затрагивающие базы данных

Ниже приведен список наиболее распространенных сегодня угроз, влияющих на базы данных, которые необходимо устранить путем усиления защиты серверов баз данных и добавления нескольких процедур к общепринятым методам обеспечения безопасности и аудита.

Неадекватное управление разрешениями

Чаще, чем нам хотелось бы признать, серверы баз данных устанавливаются в организациях с настройками безопасности по умолчанию, и эти настройки никогда не меняются. Это приводит к тому, что базы данных становятся уязвимыми для злоумышленников, которые знают разрешения по умолчанию и знают, как их использовать.

Существует также случай злоупотребления законными разрешениями: пользователи, которые используют свои привилегии базы данных для несанкционированного использования ее, например, для разглашения конфиденциальной информации.

Существование неактивных учетных записей также представляет угрозу безопасности, которую часто упускают из виду, поскольку злоумышленники могут знать о существовании этих учетных записей и использовать их для доступа к базам данных без авторизации.

Атаки с внедрением базы данных

Основной формой атак с внедрением в базу данных являются атаки с внедрением SQL, которые атакуют серверы реляционных баз данных (RDBMS), использующие язык SQL. Базы данных NoSQL, такие как MongoDB, RavenDB или Couchbase, невосприимчивы к атакам с внедрением SQL, но восприимчивы к атакам с внедрением NoSQL. Атаки NoSQL-инъекций менее распространены, но не менее опасны.

Как SQL-инъекция, так и NoSQL-инъекция осуществляются путем обхода элементов управления вводом данных веб-приложений, чтобы передать команды ядру базы данных для раскрытия его данных и структур. В крайних случаях успешная атака с внедрением может дать злоумышленнику неограниченный доступ к основе базы данных.

Эксплуатируемые уязвимости базы данных

Корпоративные ИТ-отделы часто не обновляют базовое программное обеспечение СУБД регулярно. Таким образом, даже если уязвимость обнаружена и поставщик выпускает исправление для ее устранения, могут пройти месяцы, прежде чем компании исправят свои системы. В результате уязвимости обнаруживаются в течение длительного времени, что может быть использовано киберпреступниками.

Основные причины, по которым СУБД не исправляются, включают в себя трудности с поиском окна времени, чтобы отключить сервер и выполнить техническое обслуживание; сложные и трудоемкие требования к тестированию патчей; неясность в отношении того, кто отвечает за обслуживание СУБД; чрезмерная загруженность системных администраторов и др.

Существование скрытых серверов баз данных

Несоблюдение политик установки программного обеспечения в организации (или отсутствие таких политик) заставляет пользователей устанавливать серверы баз данных по своему усмотрению для решения конкретных задач. В результате в сети организации появляются серверы, о которых администраторы безопасности не подозревают. Эти серверы раскрывают конфиденциальные данные для организации или выявляют уязвимости, которые могут быть использованы злоумышленниками.

Доступные резервные копии

Хотя серверы баз данных защищены уровнем безопасности, резервные копии этих баз данных могут быть доступны для непривилегированных пользователей. В такой ситуации существует риск того, что неавторизованные пользователи могут сделать копии резервных копий и смонтировать их на своих серверах для извлечения содержащейся в них конфиденциальной информации.

Методы и стратегии защиты баз данных

Чтобы обеспечить адекватную защиту баз данных организации, необходима защитная матрица лучших практик в сочетании с регулярным внутренним контролем. Матрица лучших практик включает следующие пункты:

  • Управляйте правами доступа пользователей и устраняйте чрезмерные привилегии и неактивных пользователей.
  • Обучите сотрудников методам снижения рисков, в том числе распознаванию распространенных киберугроз, таких как целевые фишинговые атаки, передовым методам использования Интернета и электронной почты, а также управлению паролями.
  • Оцените любые уязвимости базы данных, определите скомпрометированные конечные точки и классифицируйте конфиденциальные данные.
  • Отслеживайте все действия по доступу к базе данных и шаблоны использования в режиме реального времени для обнаружения утечек данных, несанкционированных транзакций SQL и больших данных, а также протокольных/системных атак.
  • Автоматизируйте аудит с помощью платформы для защиты и аудита баз данных.
  • Блокировать вредоносные веб-запросы.
  • Архивируйте внешние данные, шифруйте базы данных и маскируйте поля базы данных, чтобы скрыть конфиденциальную информацию.

Инструменты безопасности базы данных

Вышеупомянутые методы требуют больших усилий со стороны ИТ-отдела организации, и часто ИТ-персонал не может справиться со всеми своими задачами, поэтому задачи, которые необходимо выполнить для обеспечения безопасности баз данных, остаются невыполненными. К счастью, несколько инструментов упрощают эти задачи, так что опасности, угрожающие базам данных, не затрагивают их.

Сканер уязвимостей базы данных Scuba

Scuba — это бесплатный и простой в использовании инструмент, который обеспечивает видимость скрытых угроз безопасности в базах данных организации. Он предлагает более 2300 оценочных тестов для баз данных Oracle, Microsoft SQL, Sybase, IBM DB2 и MySQL, которые выявляют всевозможные уязвимости и ошибки конфигурации.

Благодаря четким и кратким отчетам Scuba показывает, какие базы данных находятся под угрозой и какие риски скрываются в каждой из них. В нем также представлены рекомендации по снижению выявленных рисков.

Сканирование Scuba можно выполнять из любого клиента Windows, Mac или Linux. Обычное сканирование с помощью этого инструмента занимает от 2 до 3 минут в зависимости от размера баз данных, количества пользователей и групп и скорости сетевого подключения. Для установки не требуется никаких предварительных условий, кроме наличия обновленной операционной системы.

Хотя Scuba — это бесплатный автономный инструмент, Imperva включает его в свой ряд конкретных продуктов для защиты данных, предлагая защиту данных и безопасность в облаке, конфиденциальность данных и анализ поведения пользователей.

Центр управления dbWatch

dbWatch — это комплексное решение для мониторинга и управления базами данных, поддерживающее Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL и Azure SQL. Он предназначен для выполнения упреждающего мониторинга и максимально возможной автоматизации планового обслуживания в крупномасштабных локальных, гибридных или облачных средах баз данных.

dbWatch обладает широкими возможностями настройки и охватывает рабочий процесс администратора баз данных от мониторинга до администрирования, анализа и составления отчетов. Пользователи инструмента подчеркивают его способность легко обнаруживать серверы, в том числе виртуальные. Это отличное преимущество для управления и отслеживания ИТ-активов, облегчающее определение затрат и оценку рисков.

Предлагая отличную функциональность, кривая обучения dbWatch крутая, поэтому ожидайте, что после покупки инструмента процедуры установки и обучения потребуют некоторого времени, прежде чем инструмент будет запущен и начнет работать на 100%. Бесплатная пробная версия с ограниченным сроком действия доступна для скачивания.

AppDetectivePRO

AppDetectivePRO — это сканер баз данных и больших данных, который может немедленно обнаруживать ошибки конфигурации, проблемы с идентификацией/контролем доступа, отсутствующие исправления или любую опасную комбинацию конфигураций, которая может привести к утечке данных, несанкционированному изменению информации или атакам типа «отказ в обслуживании» (DoS).

Благодаря простой конфигурации и удобному интерфейсу AppDetectivePRO может немедленно обнаруживать, оценивать и сообщать о безопасности, рисках и состоянии безопасности любой базы данных или репозитория больших данных в инфраструктуре организации — будь то локально или в облаке — в дело минут.

AppDetectivePRO можно использовать как надстройку для сканеров для хост- или сетевых операционных систем, а также для статических или динамических приложений. Его набор опций предлагает более 50 готовых политик соответствия и конфигурации без необходимости обслуживания сценариев SQL для сбора данных.

Дбдефенс

DbDefence — это инструмент безопасности для баз данных, находящихся на Microsoft SQL Server. Он отличается простотой использования, доступностью и эффективностью для шифрования полных баз данных и защиты их схем, полностью предотвращая доступ к базам данных даже для пользователей с самыми высокими привилегиями.

Шифрование работает на стороне сервера, позволяя авторизованному администратору безопасно шифровать и расшифровывать базы данных без необходимости изменять приложения, которые к ним обращаются. Инструмент работает с любой версией SQL Server после 2005 года.

DbDefence работает на уровне файлов и объектов SQL, что отличает его от других программ шифрования SQL Server. Он может различать, к каким объектам пытались получить доступ, а какие объекты были запрещены или разрешены.

Чтобы включить DbDefence в состав решения, необязательно приобретать лицензии для каждого клиентского приложения. Одной лицензии на перераспределение достаточно для установки на любое количество клиентов.

ОСсканер

OScanner — это инструмент анализа и оценки базы данных Oracle, разработанный на Java. Он имеет архитектуру на основе плагинов, которая в настоящее время имеет плагины для следующих функций:

  • Sid-перечисление
  • Проверка пароля (общий и словарь)
  • Перечисление версий Oracle
  • Перечисление ролей учетных записей пользователей, привилегий и хэшей
  • Перечень аудиторской информации
  • Перечисление политик паролей
  • Перечисление ссылок на базу данных

Результаты представлены в виде графического Java-дерева. Он также предоставляет краткий формат отчета XML и встроенное средство просмотра XML для просмотра отчета. Для установки инструмента требуется только среда выполнения Java и установочный файл OScanner (zip).

OScanner работает аналогично функции подбора пароля Oracle Auditing Tool (OAT opwg), используя файл учетных записей .default для получения пар имени пользователя и пароля по умолчанию. Он отличается от инструмента Oracle тем, что также пытается угадать учетные записи с тем же именем пользователя и паролем.

Менеджер безопасности dbForge

Security Manager является частью пакета dbForge Studio for MySQL, дополняя его мощным инструментом для управления безопасностью в базах данных MySQL. Обладая расширенными функциональными возможностями и практичным и дружественным пользовательским интерфейсом, он предназначен для облегчения рутинных задач администрирования безопасности, таких как управление учетными записями пользователей и привилегиями MySQL.

Использование Security Manager повышает производительность ИТ-персонала. Он также предоставляет другие преимущества, такие как замена сложных операций командной строки более простым визуальным управлением учетными записями пользователей MySQL и их привилегиями. Инструмент также помогает повысить безопасность базы данных благодаря упрощенным процедурам управления, которые сводят к минимуму ошибки и сокращают время, затрачиваемое административным персоналом.

С помощью пяти вкладок окна диспетчера безопасности вы можете создавать учетные записи пользователей всего за несколько кликов, предоставляя каждой из них как глобальные, так и объектные привилегии. После создания учетных записей вы можете сразу просмотреть их настройки, чтобы убедиться, что вы не допустили ошибок.

Вы можете скачать совершенно бесплатную версию dbForge Studio для MySQL, которая предлагает базовые функции. Затем есть версии Standard, Professional и Enterprise по цене до 400 долларов.

Заключительные слова: по-настоящему безопасные базы данных

Организации часто считают, что их данные в безопасности только потому, что у них есть резервные копии и брандмауэры. Но есть много других аспектов безопасности базы данных, которые выходят за рамки этих мер безопасности. При выборе сервера базы данных организация должна учитывать перечисленные выше аспекты, каждый из которых подразумевает придание серверам баз данных той важности, которую они имеют в стратегическом управлении критически важными данными организации.