Получить консультацию по Solar Dozor

Базы данных (БД) до сих пор является основным решением для хранения информации. При всем своем удобстве, практичности использования БД отличаются немалым числом уязвимостей, которые требуют привлечения дополнительных решений для обеспечения безопасности и защиты базы данных. Утечка информации считаются одной из главных угроз стабильности, конкурентоспособности компании.

Самые распространенные уязвимости баз данных

Любая БД обрастает во время использования дополнительными уязвимыми местами, которые способствуют обходу защиты базы данных, неправомерному использованию и утечке данных. Большинство таких инцидентов связано с поверхностным или полностью отсутствующим обслуживанием базы и внесением своевременных изменений во время эксплуатации сведений. Типичными уязвимостями БД считаются:

  • Присутствие в системе пользователей с завышенными или неиспользованными полномочиями. Такая ситуация чаще всего возникает при отсутствии контроля за отдельными сотрудниками обладающими неограниченными правами. Они могут менять и изменять отдельные права и полномочия других сотрудников или злоупотреблять собственными, что способно привести к инцидентам безопасности, снизить уровень защиты информации в базах данных или создать двусмысленные ситуации. Также нередки случаи, когда происходит накопление неиспользованных прав по причине увольнения персонала, перевода в другой отдел или на новую должность. Такие неиспользованные права представляют повышенную угрозу с точки зрения кибератак и интереса со стороны злоумышленников или бывших сотрудников.

  • Вводные инъекции. Подразумевают взлом через поле ввода путем интеграции вредоносного кода. На практике встречаются инъекции типов SQL и NoSQL. Первые характерны для классических СУБД, вторые затрагивают платформы на основе Big Data. SQL-инъекции более массовые и распространенные ввиду огромного числа СУБД упрощённого типа. NoSQL-инъекции носят более сложный и направленный характер, т.к. проникают через определенные входные точки или отдельные компоненты по типу Hive или MapReduce. В обоих случаях при взломе БД через вводные инъекции злоумышленники получают практически неограниченные возможности для манипуляций данными.

  • Хакерские атаки и вредоносное ПО. Атаки киберпреступников становятся все более сложными и изощрёнными: фишинг, подмена данных, вредоносные ссылки, коды. Многие из них носят замаскированный и неявный характер, что вводит в заблуждение пользователей, слабо ознакомленных с политиками и правилами информационной безопасности. Тем самым риски хакерских угроз носят непредсказуемый характер, способны привести к многочисленным инцидентам безопасности и самым тяжёлым последствиям для компании, если технология защиты баз данных отличается несовершенством.

  • Слабая защищенность носителей информации. Сами БД и их резервные копии зачастую хранятся на незащищенных носителях вроде флэш-карт или обычных жестких дисках. Такие данные легко выкрасть или подменить. Дополнительные риски создает отсутствие или игнорирование проведения аудита и мониторинга деятельности администраторов наделенным низкоуровневым доступом к сведениям повышенной важности.

  • Использование старых версий или неудачных конфигураций БД. Главной проблемой здесь являются морально устаревшие БД, которые эксплуатируются в виде как есть. Кроме того, отсутствуют регулярные обновления и патчи. Такой подход к обслуживанию информации делает ее легкодоступной и накапливает уязвимости со временем. Главными причинами такого отношения к БД и накоплению проблем являются необходимость отключения информации от рабочего процесса и длительность обновления.

Методы защиты баз данных

Ввиду многообразия внешних угроз и внутренних уязвимостей защитные меры проводятся комплексно и направлено. Широко используемыми вариантами защиты БД считаются:

  1. Шифрование. Применяется с целью подмены или преобразования исходных данных или отдельных информационных блоков, что затрудняет правильную идентификацию сведений и построение их в единое целое. Также в качестве дополнительной меры используют ключи шифрования без которых представляется невозможным использование украденной информации. Шифрование может быть симметричным и асимметричным, на уровне базы, отдельных приложений. Достоинством шифрования считается возможность создать защиту одновременно на нескольких уровнях: информация, алгоритмы, функционал. У такой защиты присутствует обратная сторона - усложнение управлением БД, увеличение сроков обработки сведений из-за необходимости проведения дешифровки.

  2. Введение доступа через пароль к данных. Способ, который используют, чтобы отсечь неавторизованный доступ пользователей. Лучше всего работает в паре с разграничением доступа. В таком случае важные данные защищены вдвойне: с одной стороны, правами доступа, с другой необходимостью авторизации. Применяется в тех случаях, когда с БД работает группа людей. Пароль доказал свою надёжность как инструмент защиты сведений, особенно если комбинация цифр, букв, знаков носит сложный характер и регулярно меняется. Подобрать пароль сложно, потому что он находится в зашифрованной базе данных и к нему нет прямого доступа извне.

  3. Разграничение прав доступа между пользователями. Позволяет организовать контролируемый доступ к информации на основании статуса пользователя, его прав. Это удобно с точки зрения контроля конкретных пользователей. Благодаря такому подходу возможно назначить такие полномочия как просмотр, редактирование, использование баз данных. Тем самым одним информационным ресурсом одновременно пользуются разные пользователи, каждый на своем уровне. Такая защита информации в базах данных удобна своей гибкостью в использовании, т.к. позволяет хранить в одном месте сведения с разным уровнем доступа и важности, скрыть отдельные разделы от тех, кто не должен ими пользоваться, создать широкий круг лиц, могущих обращаться к информационному ресурсу по мере надобности.

  4. Введение избирательного или общего доступа к БД. Создаёт условия, в которых информацией пользуется группа людей, объединенных общими интересами и обязанностями или отдельные персоны, обладающие привилегированными правами. Избирательный доступ может быть настроен исходя из групповых или индивидуальных разрешений доступа и уровня ценности сведений. Определяется изначально на внутреннем уровне путем создания дополнительных защитных мер или введения режима коммерческой тайны. Или возможен вариант введения многоуровневой аутентификации с отслеживанием действий пользователей. Реализуется посредством использования DLP-систем. Также действенной мерой в ходе использования избирательного доступа считается предварительная маркировка информации по типу "для общего пользования", "секретно", "коммерческая тайна". Аналогичным образом оформляются пропуски допуска или учетные записи пользователей.

Примеры защиты базы данных

Учитывая размеры информационных ресурсов, высокую скорость обработки данных, необходимость получения быстрого доступа для обеспечения безопасности чаще всего используют автоматизированные системы защиты данных субд. Среди таких решений стоит отметить:

  1. Database Activity Monitoring (DAM). Базируется на проведении независимого мониторинга пользователей, использующих одну СУБД. DAM работает с копией трафика, совсем не затрагивая и не нагружая дополнительно бизнес-процессы. Среди основных защитных функций – классификация SQL-запросов по группам критериев, анализ взаимодействия пользователей с БД, синхронизация с данными.

  2. Database Firewall(DBF). Базируется на принципе проактивной защиты данных. Для этого используется блокировка запросов негативного характера. Реализуется путем установки компонентов защиты по принципу ˶в разрыв˝. Данный инструмент получил меньшее распространение, нежели DAM, ввиду повышенных рисков при интеграции в имеющуюся систему из-за неоднозначности и сложности настроек блокировки, что часто приводит к ложным срабатываниям системы защиты базы данных.

Информационные ресурсы компании должны быть надежно защищены и находиться под регулярным мониторингом для предотвращения атак и утечек. Здесь нет универсальных решений на все случаи, скорее требуется комплексный подход и персональная разработка защиты базы данных под конкретные задачи и класс информации. Для этого придется привлекать экспертов, службу безопасности, проводить обучение персонала. Любой информационный ресурс может быть взломан, украден или скопирован, поэтому лучшая защитная стратегия – предотвращение нежелательных инцидентов.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше
Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше
Безопасность данных: что это такое и какие решения существуют

Безопасность данных: что это такое и какие решения существуют

Узнать больше