Bránit je třeba hlavně databáze

Nedávné průniky do sítí společností Sony a Epsilon podle expertů ukazují, že zabezpečení firemní IT architektury bývá nevhodně navrženo. Firmy se totiž soustřeďují především na hranici sítě – perimetr.


Ať už jde o firewall, nástroje pro detekci průniku (IDS) nebo pro prevenci před ním (IPS), tyto systémy chrání sítě jako celek. Systémy pro ochranu koncových bodů mají útočníkům bránit v průniku na jednotlivá zařízení – opět podobně „univerzálně".

Nejdůležitější firemní data však nejsou powerpointové prezentace s marketingovými plány někde na souborovém serveru, ale databáze. Protože ochrana na perimetru není zcela spolehlivá, je tedy potřeba implementovat ještě speciální nástroje na úrovni databází.

Josh Shaul, CTO společnosti Application Security, neradí firmám, aby např. odinstalovaly firewally. Spíše se domnívá, že je třeba si uvědomit meze těchto produktů. Nezastaví všechny útoky, a proto by nejcennější firemní informace měly být chráněny ve více vrstvách. Shaul uvádí, že dnešní architektura zabezpečení funguje tak, že nejsilnější nástroje chrání sítě či koncové body jako celek. Po průniku této „univerzální" vrstvy pak útočníka už čekají spíše jen lehčí překážky.

Podle jeho logiky by to mělo fungovat naopak, čím blíže ke zdroji klíčových dat, tím více ochrany. Bez ohledu na tyto spíše abstraktní úvahy by podle něj firmy měly věnovat větší pozornost analýze požadavků na databáze a snažit se mezi nimi odhalit škodlivé aktivity. Potřebný je monitoring databází v reálném čase a automatické reportování o všech podezřelých požadavcích (což se hodí i proti insiderům). Je třeba sofistikovanějších postupů, než jen kontrola databázového dotazu oproti uživateli (účtu, roli...). Například i když požadavek sám o sobě není nelegitimní, může být takový v kontextu – třeba když si kdosi pod účtem z oddělení prodeje začne stahovat v jediném dni údaje o tisících zákaznících firmy, je to minimálně podezřelé.

Shaul tvrdí, že stejně tak by měly být speciálně monitorovány aktivity z privilegovaných účtů (např. takových, z nichž je současně přístup k více kritickým systémům organizace). Podle něj není žádná záruka, že se tyto účty podaří udržet bezpečné, často jsou např. kompromitovány přes útok SQL injection. Podobně jako u databází jde opět o kritický článek v celkovém zabezpečení.

 

Zdroj: eWeek

 











Komentáře