Trustwave. Οι τρεις μεγαλύτερες απειλές για τις βάσεις δεδομένων και πως πρέπει να μοιάζει το σχέδιο ασφαλείας σας
Αναλαμβάνοντας και τον ρόλο του «αποθηκάριου» των πλέον ευαίσθητων περιουσιακών στοιχείων σας, από αιτήσεις εισαγωγής σε κολλέγια έως βιογραφικά στελεχών, οι βάσεις δεδομένων βασίζονται σε οργανισμούς σε παγκόσμιο επίπεδο για την αποθήκευσή τους και την προσβασιμότητα στις πληροφορίες τους.
Πρόκειται για το μοντέρνο σεντούκι θησαυρού σας, απαραίτητο για να είστε σε θέση να διαχειρίζεστε τα δεδομένα σας σε έναν κόσμο όπου τα bits και τα bytes αυξάνονται με εντυπωσιακά ποσοστά. Τα σύγχρονα συστήματα βάσεων δεδομένων είναι πλούσια σε χαρακτηριστικά που επιτρέπουν την γρήγορη, άνετη και ευέλικτη πρόσβαση, την αποθήκευση και την ανάκτηση.
Φυσικά, η αξία που προσφέρουν οι βάσεις δεδομένων στη διαχείριση μεγάλων ποσοτήτων πληροφοριών οδηγεί επίσης αναμφισβήτητα στο μεγαλύτερο μειονέκτημα τους: τις μεγάλες ανησυχίες σχετικά με την ασφάλεια τους. Ανάμεσα στο δέλεαρ ή των γοητεία των τεράστιων συνόλων δεδομένων που βρίσκονται σε ένα μέρος και τους πιθανούς κινδύνους για την ασφάλεια τους που έρχονται μαζί με τις προεπιλεγμένες λειτουργίες και χαρακτηριστικά τους -για να μην αναφέρουμε και την αύξηση των εφαρμογών του cloud και τον κίνδυνο να «χαλάσει» κάτι με τα patches- οι βάσεις δεδομένων απαιτούν την δική τους, αποκλειστική προσοχή στην ασφάλεια. Αν δεν την έχουν, τότε κάτι κακό θα συμβεί, όπως αναφέραμε και στην αρχή του άρθρου, με τις αναφορές στις αιτήσεις για τα κολλέγια και τα βιογραφικά σημειώματα στελεχών.
Για να αποφύγετε να συμβεί κάτι άσχημο, θα αναφερθούμε στις βασικές απειλές και τους κινδύνους που αντιμετωπίζουν οι βάσεις δεδομένων ενώ θα αφιερώσουμε και λίγο χρόνο για να σας υπενθυμίσουμε ορισμένα πράγματα για το πώς μπορείτε να τις διατηρήσετε προστατευμένες, τόσο από επιθέσεις όσο και από λάθη.
1) Απειλές που σχετίζονται με τα διαπιστευτήρια
Η ανεπαρκής διαχείριση των κωδικών πρόσβασης και των συστημάτων ελέγχου ταυτότητας μπορεί να επιτρέψει στους εισβολείς να αποκτήσουν την ταυτότητα κάποιου ή κάποιων νόμιμων χρηστών της βάσης δεδομένων. Ειδικές στρατηγικές επίθεσης περιλαμβάνουν επιθέσεις «brute force» και κοινωνικής μηχανικής, όπως για παράδειγμα είναι το phishing.
2) Απειλές προνομιακής πρόσβασης
Όταν ένας χρήστης κατά λάθος καταχραστεί τα δικαιώματα πρόσβασης που του χορηγήθηκαν ή όταν ένας διαχειριστής χορηγεί υπερβολικά πολλά δικαιώματα πρόσβασης σε κάποιον χρήστη από παράβλεψη ή από αμέλεια, μπορεί να οδηγήσει στην κατάχρηση των δικαιωμάτων ή σε κακόβουλη κλιμάκωση των προνομίων.
Η κατάχρηση λογαριασμού σε προνομιακό επίπεδο εμφανίζεται όταν τα δικαιώματα που σχετίζονται με έναν λογαριασμό χρήστη χρησιμοποιούνται ακατάλληλα ή δόλια: κακόβουλα ή κατά λάθος, ή μέσω της αυθαίρετης άγνοιας των πολιτικών.
Η κλιμάκωση του Privilege περιλαμβάνει τους εισβολείς που εκμεταλλεύονται τις ευπάθειες στο λογισμικό διαχείρισης βάσεων δεδομένων για να μετατρέψουν προνόμια πρόσβασης χαμηλού επιπέδου σε προνόμια πρόσβασης υψηλού επιπέδου. Η κλιμάκωση του Privilege απαιτεί περισσότερη προσπάθεια και γνώση από απλή κατάχρηση προνομίων.
3) Απειλές του συστήματος
Μια μυριάδα από άλλα πράγματα θα μπορούσαν να καταρρίψουν την ασφάλεια της βάσης δεδομένων. Αυτά περιλαμβάνουν:
- Εγχύσεις SQL: ένας πολυετής τύπος κορυφαίας επίθεσης που εκμεταλλεύεται τις ευπάθειες σε εφαρμογές ιστού για τον έλεγχο της βάσης δεδομένων τους.
- Ελλιπείς ενημερώσεις κώδικα (ελλιπές patching): Μόλις δημοσιευθεί μια ευπάθεια, κάτι που συνήθως συμβαίνει τη στιγμή που διατίθεται μια ενημερωμένη έκδοση κώδικα, τα εργαλεία αυτοματοποίησης hacking αρχίζουν να περιλαμβάνουν exploits ειδικά για την εκμετάλλευση της. Για να έχετε μία ιδέα, 119 ευπάθειες διορθώθηκαν σε πέντε από τις πιο κοινές βάσεις δεδομένων το 2017, σύμφωνα με την Έκθεση για την Παγκόσμια Ασφάλεια στο 2018 της Trustwave (Global Security Report).
- Έλεγχοι: Οι βάσεις δεδομένων αποτελούν βασικά στοιχεία των ερευνών παραβίασης και των ελέγχων συμμόρφωσης. Τα αρχεία καταγραφής ελέγχων επιβάλλονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων, το Πρότυπο Ασφαλείας Δεδομένων για Πιστωτικές Κάρτες της Βιομηχανίας, τον Ομοσπονδιακό νόμο Sarbanes-Oxley, τον Νόμο περί Φορητότητας και Λογοδοσίας στην Ασφάλιση Υγείας και από πολλούς άλλους νόμους και ρυθμίσεις, αλλά εξακολουθεί να αποτελεί σημαντικό ζήτημα. Και μετά από ένα περιστατικό, δεν θέλετε να βρεθείτε στη θέση όπου μπορείτε να πείτε απλώς ότι συνέβη κάτι κακό, χωρίς να γνωρίζετε λεπτομερείς πληροφορίες για το τι ακριβώς συνέβη.
- Cloud: Η αγορά συστημάτων βάσεων δεδομένων από τρίτες εταιρείες μπορεί να οδηγήσει σε έλλειψη ορατότητας, ελέγχου και διαφάνειας, επειδή κατά πάσα πιθανότητα δεν είναι δυνατόν να δοθεί μια πλήρης και ακριβής περιγραφή που δείχνει τον τρόπο λειτουργίας της πλατφόρμας και τις διαδικασίες ασφάλειας που χρησιμοποιεί η εταιρεία που την έχει αναπτύξει.
Ως συμπλήρωμα στη μεθοδολογία ασφάλειας μίας βάσης δεδομένων που περιγράφεται λεπτομερώς στο άρθρο, παρακάτω θα βρείτε μερικές γρήγορες συμβουλές για να έχετε στο νου σας κατά τη δημιουργία μιας στρατηγικής για να «κλειδώσετε» τα αποθετήρια των δεδομένων και των πολύτιμων εταιρικών πληροφοριών σας.
- ✔ Απογραφή υφιστάμενων εγκαταστάσεων.
- ✔ Βεβαιωθείτε ότι όλα είναι καταλλήλως ενημερωμένα (patched).
- ✔ Απενεργοποιήστε την όποια μη χρησιμοποιούμενη λειτουργικότητα.
- ✔ Ελέγξτε για περιττά προνόμια και μειώστε τα.
- ✔ Χρησιμοποιήστε ισχυρή κρυπτογράφηση.
- ✔ Ενεργοποιήστε τους ελέγχους (auditing).
- ✔ Επαληθεύστε τον κώδικα της εφαρμογής.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο οι real-life CISOs οικοδομούν τα προγράμματα ασφαλείας των βάσεων δεδομένων, ανατρέξτε σε αυτό το ηλεκτρονικό βιβλίο.