29/01/2015 Corina Bulubasa

Top 10 amenintari pentru bazele de date

Image blog

Bazele de date sunt poate cele mai atacate si vulnerabile elemente din mediul online in ceea ce priveste organizatiile. Nu este greu de inteles de ce: bazele de date contin cele mai importante informatii ale unei organizatii si datele confidentiale ale acesteia, alaturi de cele ale clientilor sai. Cu toate acestea, doar 5% din cheltuielile dedicate securitatii sunt efectiv destinate protejarii centrelor de date.

Dupa ce aceste informatii sensibile sunt accesate de hackeri pot aparea o serie de probleme foarte grave: pot fi furate datele confidentiale, pot fi sterse – producand pierderi majore – sau pot fi anulate anumite actiuni, cu urmari dezastruoase. Pe de alta parte, o astfel de bresa in siguranta datelor influenteaza negativ si imaginea companiei respective, ajungandu-se chiar la probleme legale.

Vestile bune oferite de cei de la Online Trust Alliance (OTA) in 2013 arata ca peste 97% dintre incidentele de acest gen pot fi eliminate prin respectarea unor pasi simpli, a unor reguli de bune practici si control.

Cele 10 amenintari asupra bazelor de date prezentate mai jos sunt cele mai puternice si mai intalnite, asa cum le-au identificat cei de la Imperva Application Defense Center. Topul este realizat pentru anul 2014, fiind insa identic cu cel pentru 2013. Apare o singura diferenta, in modificarea denumirii de SQL Injection (in 2013) in Input Injection in 2014, pentru a cuprinde si Big Data.

Top 10 amenintari
1.    Privilegii (drepturi) excesive si neutilizate
2.    Abuzul de privilegii
3.    Input Injection 
4.    Malware
5.    Audit incorect
6.    Expunerea mediilor de stocare
7.    Exploatarea vulnerabilitatilor si greselilor de configurare a bazelor de date
8.    Datele sensibile neadministrate
9.    Denial of Service (DoS)
10.     Existenta unei expertize si educatii limitate in materie de securitate.

Sa le luam pe rand.

1.    Privilegii (drepturi) excesive si neutilizate.

In momentul instalarii intr-o noua functie sau pe un post nou, o persoana primeste si dreptul de a utiliza baza de date sau de a o accesa. Daca primeste drepturi mai mari decat are nevoie, se pot intampla multe evenimente neplacute. De exemplu, cineva care lucreaza in banca si are dreptul de a modifica datele de contact ale clientilor are, din greseala, si dreptul de a modifica balanta conturilor, poate decide sa adauge ceva in contul de economii al unei rude. Sau, daca este dat afara de la serviciu, se poate razbuna prin stergerea unor informatii cruciale sau chiar mai rau de atat.

In general, aceasta problema, a acordarii de drepturi mai mari decat este nevoie, apare din lipsa unui plan foarte bine stabilit al postului si sarcinilor respectivului angajat.

2.    Abuzul de privilegii

Problemele pot aparea si in cazul in care drepturile de actionare asupra bazelor de date sunt bine determinate. Fara rea intentie, este posibil ca aceste privilegii sa fie utilizate abuziv. Oamenii care au acces la o anumita baza de date o pot descarca – fara sa aiba teoretic voie sau posibilitatea – in laptop, pentru a o putea accesa mai usor sau poate pentru a lucra de acasa. Fara sa intentioneze acest lucru, angajatul creaza o bresa in securitatea bazei de date, de care cei interesati pot profita imediat.

3.    Input Injection

Exista doua tipuri majore de atacuri de acest fel asupra bazelor de date: SQL Injection care vizeaza sistemele de baze de date traditionale si NoSQL Injection care vizeaza platformele Big Data. Atacurile SQL Injection, de obicei, implica introducerea (sau "injectarea") de declaratii neautorizate sau rau intentionate in campurile de introducere ale aplicatiilor web. Pe de alta parte, atacurile de injectare NoSQL implica inserarea elementelor periculoase in componente Big Data. Un astfel de atac poate oferi unui atacator acces nerestrictionat la o intreaga baza de date.

Desi multi sustin ca tehnologiile noi Big Data nu pot fi atacate prin aceste puncte, adevarul este ca nici acestea nu sunt imune la acest tip de atac.

4.    Malware

Software-ul rau intentionat sau Malware (construit din sintagma malicious software, „software rauvoitor”) este un tip de software care este creat intentionat pentru a se infiltra intr-un calculator sau o retea de calculatoare si a o ataca, creand pagube in mod voit. Termenul este utilizat, la modul general, pentru a desemna toate tipurile de programe sau bucati de cod. Odata istalate pe un computer, ele se infiltreaza in toate elementele ce intra in contact cu acel dispozitiv. Astfel, utilizatorii, fara sa stie ca sunt infectati, acceseaza in mod obisnuit baza de date, deschizand astfel calea pentru aceste softuri sa actioneze.

5.    Audit incorect

Inregistrarea automata a tranzactiilor pe bazele de date care implica date sensibile ar trebui sa fie o conditie obligatorie in cazul tuturor organizatiilor.. Imposibilitatea de a colecta o evidenta detaliata a activitatii bazei de date reprezinta un mare risc organizational.

Multe intreprinderi apeleaza la instrumente de audit oferite de vânzatorii de baze de date sau se bazeaza pe solutii ad-hoc sau solutii implementate si realizate manual de catre administratorul bazei de date. Aceste solutii nu  inregistreaza detaliile necesare pentru a sprijini un audit, nu detecteaza atacurile.

Mai mult decât atât, mecanismele de audit native sunt cunoscute pentru consumul mare de resurse CPU si disc fortand multe organizatii sa limiteze auditul sau chiar sa il elimine.

In cele din urma, utilizatorii cu acces administrativ la baza de date, obtinut fie in mod legitim fie cu rea intentie, pot opri sistemele de audit pe bazele de date pentru a ascunde activitatile frauduloase.

6.    Expunerea mediilor de stocare

Toate organizatiile realizeaza backup (copii de siguranta) pentru bazele de date. De cele mai multe ori insa aceste copii nu sunt protejate asa cum trebuie, mai ales din cauza mediilor pe care sunt stocate. Fie ca se face o copie pe calculator, fie ca se fac copii pe discuri externe, bazele de date pot fi usor furate sau copiate.

7.    Exploatarea vulnerabilitatilor si greselilor de configurare a bazelor de date

Este un lucru comun in randul organizatiilor sa utilizeze baze de date vulnerabile si nesecurizate, la fel cum se intampla sa existe baze de date cu useri si parametri de configurare default.

Atacatorii stiu cum sa exploateze aceste vulnerabilitati si sa lanseze atacuri impotriva organizatiei respective. Din pacate, adesea, organizatiile se zbat sa fie stapane pe mentinerea configuratilor bazei de date chiar si atunci cand sunt disponibile update-uri. In general este nevoie de cateva luni pentru ca unele companii sa aplice update-urile pe bazele de date, timp in care sunt vulnerabile.

8.     Datele sensibile neadministrate

Multe companii incerca sa mentina un inventar precis al bazelor lor de date si al datelor critice continute in ele. Baze de date uitate pot contine informatii sensibile, si noi baze de date pot aparea – de exemplu, in medii de testare de aplicatii – fara a fi vizibile pentru echipa de securitate. Date sensibile din aceste baze de date vor fi expuse la amenintari, daca nu sunt puse in aplicare controalele necesare si permisele.

9.    Denial of Service

Denial of Service (DoS) este un atac general in care accesul la aplicatii de retea sau cel catre bazele de date este refuzat utilizatorilor. Conditiile pentru un astfel de atac pot fi create prin mai multe tehnici. Cea mai frecventa tehnica utilizata este cea prin care se supraincarca resursele de pe server, cum ar fi memoria si CPU prin inundarea retelei cu interogari ale bazei de date care in cele din urma determina serverul sa se prabuseasca. Motivatiile din spatele atacurilor DoS sunt adesea legate de escrocherii si extorcare de fonduri. Astfel, un hacker va ataca de la distanta serverele in mod repetat, aducandu-le in stare de avarie pentru a determina victima sa indeplineasca conditiile sale.

10.     Existenta unei expertize si educatii limitate in materie de securitate

Controale de securitate interne nu tin pasul cu cresterea de date si multe organizatii sunt slab echipate pentru a trata o incalcare a securitatii. Adesea, acest lucru este din cauza lipsei de experienta necesara pentru a pune in aplicare masuri de securitate, politici si formare. Cele mai multe firme nu au implementat un sistem de informare si training in vederea educarii personalului pentru a respecta cel putin notiunile elementare de siguranta a datelor.

Aceste amenintari sunt, din pacate, foarte des intalnite, desi se pot lua masuri relativ simple pentru a le contracara si pentru a le evita.

Urmariti-ne in continuare pentru a afla cateva dintre solutiile oferite de specialistii in domeniu.