05/02/2015 Corina Bulubasa

Strategii de protejare si securizare a bazelor de date

Asa cum promiteam in articolul anterior, oferim si solutii pentru a proteja bazele de date si a le asigura securitatea si integritatea. Aceste solutii au fost identificate de cei de la Imperva, cei care au contribuit si la realizarea topului celor mai mari pericole la care sunt expuse bazele de date.

Amenintarile de acest fel pot, in cele mai multe cazuri, sa fie evitate prin implementarea unor reguli foarte simple si prin respectarea unor pasi logici si evidenti.

Solutiile pot fi organizate in 6 categorii diferite, in functie de actiunile intreprinse.

Cele 6 categorii de solutii sunt: 
1. Descoperirea si evaluarea – localizarea efectiva a locului în care apar  vulnerabilita?ile bazelor de date
2. Managementul privilegiilor utilizatorilor – identificarea drepturilor excesive asupra datelor sensibile
3. Monitorizarea si Blocarea – protejarea bazelor de date impotriva atacurilor, pierderii de date ?i furtului
4. Audit – demonstreaza conformitatea cu reglementarile din industrie
5. Protectia datelor – asigurarea integritatii si confidentialitatii datelor
6. Securitate non-tehnica – consolidarea unei culturi de informare si pregatire în domeniul securita?ii.

Aceste categorii cuprind numeroase masuri ce se pot aplica in cazul problemelor de securitate. Le vom prezenta pe rand, specificand unde se pot aplica.

1.    Descoperirea si evaluarea.

Aceasta categorie cuprinde urmatoarele etape: Scanarea sistemului pentru identificarea vulnerabilitatilor, Calcularea scorului de risc, Reducerea vulnerabilitatilor, Identificarea terminalelor compromise, Analizarea riscurilor si prioritizarea eforturilor de remediere, Identificarea serverelor cu bazele de date, Analizarea rezultatelor identificare, Identificarea si clasificarea datelor sensibile.

Este crucial sa se identifice si sa se cunoasca vulnerabilitatile sistemului din punct de vedere al securitatii datelor. De cele mai multe ori, virusii si celelalate softuri rau intentionate profita tocmai de aceste vulnerabilitati pentru a se infiltra. Normele de autentificare slabe pot activa un atac DoS prin acordarea accesului la o baza de date fara a avea nevoie o parola. De aceea este necesara utilizarea instrumentelor de evaluare a vulnerabilitatilor pentru a detecta erorile de securitate si configurarile gre?ite. Evaluarile ar trebui sa utilizeze cele mai bune practici din industrie pentru securitatea bazelor de date.

Pe baza vulnerabilitatilor identificate se calculeaza un scor al rscului. Cu cat acesta este mai mare, cu atat problemele sunt mai mari.

În cazul în care o vulnerabilitate este descoperita si nu exista un patch original, trebuie aplicat un patch virtual, care sa minimizeze pericolul pana la momentul rezolvarii problemei in sine.

Urmeaza etapa identificarii gazdelor infectate cu malware, astfel încât sa se poata preveni accesarea de catre aceste dispozitive a informatiilor din bazele de date.

Trebuie sa se foloseasca si rapoarte si instrumente analitice pentru a întelege riscurile si a ajuta la prioritizarea eforturilor de remediere.

Pentru a se putea avea o evidenta clara a bazelor de date, firmele ar trebui sa le ordoneze corespunzator si sa utilizeze servicii speciale pentru baze de date, (de exemplu, Oracle, Microsoft SQL, IBM DB2, etc.), rulate in mod regulat.

Dupa ce toate aceste lucruri sunt realizate, se trece la identificarea datelor sensibile la nivel de rand sau coloana. Acestea pot fi: adrese de email, CNP, date bancare, etc..

Se aplica in general in cazul: Input Injection, Exploatarea vulnerabilitatilor si greselilor de configurare a bazelor de date, Datele sensibile neadministrate.

2.    Managementul privilegiilor utilizatorilor

Aceasta categorie cuprinde urmatoarele etape: Agregarea drepturilor de acces, Completarea datelor cu informatii de la utilizatori si despre acestia, Identificarea si eliminarea drepturilor excesive si a utilizatorilor inactivi, Revizuirea si aprobarea/elminarea unor drepturi existente, Extragerea identitatii „reale” a utilizatorilor.

Scanarea efectiva a bazelor de date pentru a identifica drepturile de utilizare, precum si stabilirea efectiva a drepturilor pe care acestia le au (de exemplu SELECT, DELETE, COPY), cine le-a acordat. Agregarea drepturilor utilizatorilor într-un singur depozit ajuta la eficientizarea raportarii ?i la analiza accesului utilizatorilor la date sensibile. Completarea informatiilor cu date despre rolul utilizatorilor si comportamentul acestora ajuta la identificarea celor mai bune masuri de luat.

Dupa identificarea drepturilor excesive, acestea trebuie eliminate, la fel ca si drepturile oferite unor oameni care nu le utilizeaza.

Urmeaza etapa a treia, aceea a revizuirii tuturor utilizatorilor si a drepturilor lor si eliminarea drepturilor ce nu fac parte din fisa si specificul pozitiei fiecarui utilizator.

Se aplica in general in cazul: Privilegii (drepturi) excesive si neutilizate, Abuzul de privilegii.

3.    Monitorizarea si Blocarea

Aceasta categorie cuprinde urmatoarele elemente: Alertare si blocare in timp real, Detectarea unor activitati neobisnuite, Blocarea solicitarilor web rau-intentionate, Monitorizarea activitatii locale, Impunerea de controale de conectare (pentru a se evita supraincarcarea), Validarea protocoalelor pe bazele de date, Sincronizarea raspunsului.

Monitorizarea oricarei activitati de accesare a bazelor de date ?i a modului de utilizare trebuie sa se realizeze în timp real, pentru a detecta scurgerile de date, tranzactiile SQL si Big Data neautorizate, precum ?i atacurile de protocol ?i de sistem. Când apar astfel de incercari neautorizate, ar trebui sa se genereze alerte sau sa se inchida automat sesiunea de utilizare. Trebuie utilizate asa-numitele Web Application Firewall (WAF), care recunosc si blocheaza elementele venite de pe web.

Si activitatea locala trebuie supravegheata, inclusiv a administratorilor de retea si de baze de date, precum si a utilizatorilor cu drepturi foarte mari. Trebuie elaborate protocoale si solutii de monitorizare a activitatii pe bazele de date pentru a izola comunicatiile aleatorii  sau anormale. Atunci când sunt detectate evenimente de comunicare atipice, solu?ia ar trebui sa declan?eze o alerta sau sa blocheze tranzactia.

Un element important este si cronometrarea raspunsului oferit de catre baza de date. Atacurile ce urmaresc blocarea mijloacelor fixe, fizice, determina intarzierea raspunsului bazei de date. Acest lucru poate fi utilizat pentru a se programa alarme care sa se declanseze de fiecare data cand se observa o intarziere sau o supraincarcare.

Se aplica in general in cazul: Denial of Service (DoS), Privilegii (drepturi) excesive si neutilizate, Abuzul de privilegii, Input Injection.

4.    Audit.

Implementarea unor solutii de tip DAP este foarte utila si aduce mai multe avantaje, intre care se numara performanta, scalabilitatea si flexibilitatea. Aceste sisteme automate DAP ofera o foarte clara separare a drepturilor de administrare asupra bazelor de date si sunt invulnerabile la atacuri, fie cauzate de factori externi, fie din interior, de la administratori ai bazelor de date sau simpli useri. Sunt foarte performante si suporta diverse tipuri de baze de date, de la mai multi furnizori.

Un sistem de audit inregistreaza informatii si genereaza rapoarte foarte detaliate. Astfel, se pot obtine informatii despre useri, log, specificatii tehnice, interogari si raspunsuri pe baze de date, etc.

Se aplica in cazul: Audit incorect

5.    Protectia datelor.

Acest proces priveste respectarea unor reguli foarte simple: arhivarea corespunzatoare a datelor si codarea lor.  Arhivarea este o necesitate, si multi o trateaza ca pe ceva secundar, care trebuie facut. De multe ori se pierde insa din vedere securizarea datelor arhivate. De aceea trebuie create arhive in mod automat si protejate in acelasi fel ca baza de date activa. Codarea tuturor informatiilor repezinta o alta cerinta si trebuie realizata atat pe partea activa, cat si pe backup. Impreuna cu auditul, acest sistem ofera maximul de urmarire a activitatii pe bazele de date.

Se aplica in cazul: Audit incorect, Expunerea mediilor de stocare

6.    Securitate non-tehnica.

Regulile de securitate trebuie respectate de toti angajatii, indiferent de gradul de implicare in actiunile ce implica bazele de date. Softurile de atac, Malware, pot afecta orice computer, iar de aici se pot infiltra in retea si in baza de date. Securitatea implica modul de utilizare a computerelor, a internetului, a emailului si a dispozitivelor portabile.

Se aplica in cazul: Existenta unei expertize si educatii limitate in materie de securitate

Concluzia

Niciodata nu trebuie tratata cu superficialitate siguranta si protectia datelor. Chiar daca pare ca nu detii informatii atat de importante care ar putea fi furate sau care sa prezinte un interes pentru cineva, ar trebui totusi sa iei masuri. Clientii, partenerii sau chiar angajatii tai trebuie sa simta ca faci totul pentru a proteja intimitatea si datele lor. Fie ca este vorba de numere de telefon, adrese de email au dosare personale, orice fel de informatie prezinta un interes, mai mic sau mai mare, pentru un hacker sau pentru un angajat nemultumit.

Nota! Acest material a fost realizat pe baza informatiilor oferite de Imperva.