METODE DE PROTECȚIE A BAZELOR DE DATE

Barajin Simion

Universitatea Tehnică din Moldova, Departamentul Inginerie Software și Automatică, SI-191, Chișinău,
Moldova

În sectorul financiar și agențiile guvernamentale, autoritățile de reglementare impun cerințe pentru

protejarea bazelor de date, iar securitatea SGBD-urilor companiilor comerciale rămâne în conștiința
proprietarilor de afaceri. Deși la prima vedere problema securității bazei de date pare suficient de
clară, nu există o soluție universală pentru protejarea unui SGBD. Sisteme bancare automate ABS,
CRM, ERP, sisteme de gestionare a documentelor, Internet banking, sisteme bancare la distanță
(RBS) - după prima încercare de a înțelege „grădina zoologică” a diverselor sisteme dintr-o singură
companie, orice specialist se gândește la o soluție specializată pentru protecția bazelor de date .

Cuvinte cheie: securitate, sql, audit, web, dam, dbf.

Securitatea de bază, a bazei de date. Prima

linie de securitate a bazelor de date ar trebui să provină de la
departamentul IT al companiei și, în special, de la administratorii bazelor de date. Protecția de bază
a bazei de date este configurarea de firewall-uri în fața DBMS pentru a bloca orice încercare de
acces din surse dubioase, configurarea și menținerea politicii de parole și a modelului de acces
bazat pe roluri. Acestea sunt mecanisme eficiente cărora ar trebui să li se acorde atenție. Următorul
pas în protejarea informațiilor din bazele de date este auditul acțiunilor utilizatorilor, o sarcină
directă a departamentului de securitate a informațiilor. Semnificația auditului se explică prin faptul
că într-un sistem industrial este dificil de ajustat drepturile de acces la date, în plus, există și
excepții.
De exemplu, un angajat al departamentului „A” avea nevoie temporar de acces la un client al
departamentului „B”. Este foarte probabil ca modificările aduse matricei de acces la date să nu fie
inversate, rezultând în cele din urmă conturi cu privilegii foarte privilegiate pe care merită să fii
atent.

Audit regulat al bazei de date.

Pentru a efectua o astfel de monitorizare, multe organizații folosesc „audit intern” - instrumente de
protecție a bazelor de date care fac parte din DBMS comercial. Modul de protecție standard include
înregistrarea conexiunilor la DBMS și executarea interogărilor de către anumiți utilizatori. Pe scurt,
principiul unui audit regulat este de a activa și configura declanșatoare și de a crea funcții specifice
- proceduri care vor fi declanșate la accesarea informațiilor sensibile și de a introduce date despre
un astfel de acces (cine, când, ce cerere a fost făcută) într-un audit special. masa. Acest lucru poate
fi suficient pentru a îndeplini o serie de cerințe de reglementare specifice industriei, dar practic nu
va aduce niciun beneficiu rezolvării sarcinilor interne de securitate a informațiilor, cum ar fi
investigarea incidentelor. Principalele dezavantaje ale auditului regulat ca protecție a bazei de date:
Încărcare suplimentară pe serverele de baze de date (10-40% în funcție de caracterul complet al
auditului). Implicarea administratorilor bazelor de date în realizarea unui audit (imposibilitatea
controlării administratorilor – principalii utilizatori privilegiați). Lipsa unei interfețe ușor de utilizat
a produsului și capacitatea de a configura centralizat regulile de audit (mai ales important pentru
companiile mari distribuite ale căror sarcini de protecție includ o listă întreagă de DBMS).
Incapacitatea de a controla acțiunile utilizatorului în aplicațiile cu o arhitectură pe trei niveluri
(prezența unui segment WEB și SQL, care este acum folosit peste tot din motive de securitate).
Sisteme automate de protecție a bazelor de date.
O abordare mai eficientă este utilizarea sistemelor specializate de securitate a informațiilor în
domeniul protecției bazelor de date - soluții din clasele DAM și DBF.
DAM (Database Activity Monitoring) este o soluție pentru monitorizarea independentă a
activităților utilizatorilor într-un SGBD. Independența aici este înțeleasă ca absența necesității de a
reconfigura și reconfigura DBMS-ul în sine. Sistemele din această clasă pot fi instalate pasiv,
lucrând cu o copie a traficului și neavând niciun impact asupra proceselor de afaceri, din care bazele
de date fac parte.
Astfel de sisteme fac posibilă analizarea traficului interacțiunii utilizatorului cu bazele de date,
clasificarea interogărilor SQL prin apartenența la anumite grupuri. Efectuați un audit complet al
interogărilor SQL și al răspunsurilor acestora. În plus, soluțiile au un sistem de filtrare profundă
care permite identificarea potențialelor incidente din sute de milioane de solicitări și stocarea unei
arhive complete de acțiuni ale utilizatorilor, atât pentru a îndeplini cerințele autorităților de
reglementare, cât și pentru sarcinile de analiză retrospectivă la investigarea incidentelor. În plus,
sistemele DAM specializate vă permit să vă sincronizați cu baze de date protejate pentru a:
Clasificări – identificarea locației informațiilor critice pentru companie. Opțiunea vă permite să
scanați DBMS și să vedeți numele tabelelor și câmpurilor care pot conține date personale ale
clienților. Acest lucru este extrem de important pentru a simplifica configurarea ulterioară a
politicilor de securitate. Verificări de vulnerabilitate - conformitatea configurației și setărilor DBMS
cu cele mai bune practici. Obținerea unei matrice de acces la date - se rezolvă sarcina de a identifica
privilegiile de acces extinse, drepturile neutilizate și prezența așa-ziselor conturi „moarte” care ar
putea rămâne după ce angajatul a părăsit compania. Avantajul sistemelor din această clasă este un
sistem de raportare flexibil și integrarea cu sistemele SIEM ale majorității furnizorilor, pentru o
analiză mai profundă a corelației interogărilor executate.
DBF (Database Firewall) este o soluție asociată care are și capacitatea de a proteja „proactiv”
informațiile. Acest lucru se realizează prin blocarea cererilor nedorite. Pentru a rezolva această
problemă, nu mai este suficient să lucrați cu o copie a traficului, ci este necesar să instalați
componentele sistemului de protecție „în gol”.
Având în vedere riscurile destul de mari asociate cu această metodă de implementare, este extrem
de rar ca companiile să aleagă protecția activă a SGBD-urilor industriale și să se limiteze la funcțiile
de monitorizare. Acest lucru se întâmplă din cauza posibilității de setări suboptime pentru regulile
de blocare. În acest caz, responsabilitatea pentru cererile fals blocate va rămâne pe umerii ofițerului
cu securitatea informațiilor. Un alt motiv este că în schema rețelei apare un nod suplimentar de eșec,
care este principalul factor de blocare atunci când alegeți acest mod de implementare a soluției.
Soluția de clasă DAM „Garda DB” de la compania „Garda Technologies” este prezentată pe piața
rusă. Acesta este un complex software și hardware care monitorizează continuu toate solicitările
către bazele de date și aplicațiile web în timp real și le stochează pentru o lungă perioadă de timp.
Sistemul scanează și detectează vulnerabilități DBMS, cum ar fi conturi deblocate, parole simple,
corecții dezinstalați. Răspunsul la incidente are loc instantaneu sub formă de notificări către e-mail
și către sistemul SIEM. Sistemul de protecție a bazei de date este instalat pasiv, adică nu afectează
performanța rețelei companiei. Un sistem inteligent de stocare vă permite să creați o arhivă de cereri
și răspunsuri la bazele de date pentru orice perioadă de timp pentru o analiză retrospectivă ulterioară
și investigarea incidentelor. Acesta este primul sistem de clasă DAM inclus în registrul software-
ului intern și instalat într-un număr de bănci mari rusești. În următorul articol, vom arunca o privire
mai atentă asupra sarcinilor cu care se confruntă adesea sistemele DAM, vom explica de ce este atât
de important ca DAM să poată lucra cu traficul http/http și cum să ne protejăm împotriva injecțiilor
SQL.
Top vulnerabilități ale bazelor de date.
Din păcate, aproape toate vulnerabilitățile sunt legate de instalarea și configurarea incorectă a
SGBD de către administratorul bazei de date. Deci, cele mai comune vulnerabilități ale bazei de
date sunt:
Parole implicite / slabe
Setarea (fără modificarea) a unui logopass cum ar fi root-root, admin-admin și parolele „temporare”
favorite „1234” sau „1111” sau „qwerty” nu este sigură (K.O.). Toată lumea înțelege acest lucru...
dar din anumite motive, tocmai din cauza parolelor slabe/standard apar un număr mare de incidente
legate de securitatea bazei de date.
SQL injection
Aceasta este una dintre cele mai accesibile moduri de a pirata un site. Esența unor astfel de injecții
este introducerea codului SQL arbitrar în date (transmis prin solicitări GET, POST sau valori
Cookie). Dacă site-ul este vulnerabil și efectuează astfel de injecții, atunci de fapt este posibil să
faci orice cu baza de date (cel mai adesea este MySQL).
Includerea acestei vulnerabilități în top indică faptul că cineva nu s-a obosit să scrie reguli de
filtrare adecvate pentru interogările SQL.
Privilegii de utilizator și grup crescute
Din nou, vina administratorilor bazei de date. Principiul minimizării drepturilor nu trebuie uitat.
Activarea funcțiilor inutile ale bazei de date
Tot ceea ce nu este necesar pentru funcționarea corectă a bazei de date ar trebui să fie
dezactivat... deoarece cu cât sunt activate mai multe caracteristici, cu atât este mai probabil ca
unele... vulnerabile să fie printre ele.
Configurare DBMS incorectă
Includerea
Din nou o piatră în grădina administratorilor de baze de date.
Buffer overflow și escaladarea privilegiilor
Aceste două vulnerabilități sunt cauzate de „retrospectarea” dezvoltatorilor DBMS
Refuzarea serviciului (DDoS)
....
Patch-uri neinstalate
Patch-ul trebuie făcut la timp
Stocarea informațiilor critice în formă necriptată
Concluzii:

Cărţi:

Articole în reviste:

Referinţe Web:

Reglementări legale și legi, organizații: