Ochrona bazy danych od wewnątrz

W roku 2008 liczba naruszonych rekordów wrażliwych w bazach danych szacowana była na ponad 285 milionów, przy czym 99,9 proc. z nich skradziono bezpośrednio z serwerów i aplikacji. Według specjalistów firmy Sentrigo, można oczekiwać nie tylko wzrostu wolumenu narażonych danych, ale także bardziej skomplikowanych okoliczności, w których to się wydarzy.

W myśleniu o bezpieczeństwie danych i sposobach zabezpieczenia się przed poważnymi naruszeniami danych, przeważa tendencja budowania ochrony obwodowej wokół baz danych. Jeżeli zabezpieczy się wszystkie ścieżki dostępu do danych to, w teorii, nie powinny wydarzać się incydenty z ich naruszeniem. Niestety, rzeczywistość nie jest tak różowa. Pomimo wdrażania zapór ogniowych, systemów uwierzytelniania użytkowników, systemów zapobiegania wtargnięciom, itp., dane umieszczone w bazie danych nadal są narażone na nieuprawniony dostęp.

Dostawcy baz danych wbudowują różne zabezpieczenia w swoje produkty, ale nawet te środki mają swoje słabe punkty. Kiedy takie luki zostaną odkryte przez “hakerów etycznych", tworzone są odpowiednie łatki likwidujące te luki. Jednak nawet wtedy, gdy są dostępne odpowiednie łatki, wielu użytkowników baz danych nie stosuje ich dostatecznie szybko, a czasami nawet wcale. Często firmy poświęcają wiele tygodni na gruntowne przetestowanie łatek zanim zostaną one zastosowane, aby upewnić się czy ich zastosowanie nie spowoduje gorszych problemów niż ten, który mają rozwiązać.

Kolejny problem to zagrożenia wewnętrzne. Administratorzy baz danych i uprzywilejowani użytkownicy mają wiedzę o tym, gdzie są wrażliwe dane i jak można się do nich dobrać. Potrafią obejść zabezpieczenia lub je po prostu wyłączyć. Według raportu Verizon Business RISK Team opublikowanego w tym roku, 20 proc. naruszeń danych, prześledzonych przez zespół, można przypisać zaufanym użytkownikom wewnętrznym.

Wszystkie te problemy przemawiają za różnymi rodzajami zabezpieczeń bazy danych. Zamiast chronić bazy danych przed zagrożeniami zewnętrznymi, specjaliści Sentrigo zaproponowali środki do ochrony ich od wewnątrz. Produkt Sentrigo Hedgehog Enterprise chroni dane, a nie punkty dostępu do danych. Analizuje wszystkie działania w bazie danych w czasie rzeczywistym, niezależnie z jakich źródeł pochodzą, i może działać bezpośrednio jeżeli naruszane są reguły bezpieczeństwa.

Na serwerze hostującym bazę danych umieszczany jest niewielki sensor, który monitoruje wszystkie transakcje bazy danych przechodzące przez współdzieloną pamięć. Sensor ten komunikuje się z serwerem Hedgehog, który ocenia każdą akcję w oparciu o zbiór reguł, które można skonfigurować pod własne potrzeby. Kiedy reguła jest naruszana można określić podjęcie stosownej akcji w czasie rzeczywistym - zarejestrowanie zdarzania, alarm, zakończenie sesji użytkownika czy zablokowanie użytkownika na określony czas.

Sensor ma minimalny wpływ na wydajność bazy danych - ok. 1 do 2 proc. wykorzystania CPU. Co więcej, nie można go obejść, a przy próbie jego wyłączenia podnoszony jest alarm.

Hedgehog Enterprise wykonuje także “wirtualne łatanie" - po wykryciu luki uaktualniane są reguły pod kątem wykonania procesu usunięcia luki. Produkt obsługuje wszystkie główne bazy danych i systemy operacyjne, a także współpracuje z szyfrowanymi bazami danymi i środowiskiem wirtualnym goszczącym bazy danych.


Zobacz również