Pokračujeme v představení vhodných nástrojů a metod pro zabezpečení databázových řešení.
· Databázová bezpečnost a produkty třetích stran
V současné době existuje několik světových výrobců, kteří se databázovou bezpečností zabývají, přičemž k detekci hrozeb a monitoringu databází využívají různé metody.
Tyto systémy jsou dostupné ve formě hardwarových a virtuálních boxů, případně jako čisté softwarové řešení. Nástroje pro přímé zabezpečení databází lze obecně rozdělit do dvou skupin.
V první řadě jsou to nástroje typu „vulnerability manager“, tedy nástroje pasivní bezpečnosti. Druhou skupinu tvoří nástroje aktivní bezpečnosti, tedy především proaktivní monitoring provozu nad databázemi, spojený s blokováním škodlivých transakcí a podezřelého chování.
Základem pro účinnou ochranu je identifikace zranitelností – musí se zjistit, před čím je třeba portfolio databází skutečně chránit. Toto pravidelně aktualizované know-how v sobě obsahují právě skenery zranitelností pro databáze, které zahrnují mnohem větší množství testovaných bodů přímo pro databáze, než nabízejí obecné bezpečnostní skenery.
Další skupinou jsou nástroje pro aktivní ochranu databáze. Jejich prostřednictvím lze v reálném čase odhalit narušení databáze a ukončit spojení dříve, než dojde ke vzniku škod. Upozornění o takové události se mohou zasílat obsluze s kompletními informacemi o porušení zásad, tak aby se mohla učinit patřičná opatření v co nejkratším čase.
Principy aktivního monitoringu jsou různé. Metodou, která se zdá z pohledu detekce, monitoringu i ochrany nejlepší, je agent umístěný přímo na databázovém serveru. Agent přitom kontroluje sdílenou paměť databázového serveru, a je tedy schopný zjistit jak útoky a transakce uživatelů po síti či aktivitu administrátorů na konzoli serveru, tak i interní procesy databázového systému.
Umí nejen monitorovat, ale i zablokovat přístup v případě, že jde o útok nebo nechtěnou transakci. Záznamy o incidentech je poté možné využít pro bezpečnostní audity systému či pro jeho další vylepšení.
· Virtuální patching
Specifickým konceptem zabezpečení je tzv. virtuální patching. V případě, že existuje aktuální riziko pro databáze a neaplikovala se příslušná záplata, je zcela na místě zvažovat právě možnost virtuálního patchingu.
Tento systém obsahuje podobně jako antivirový program množství automaticky aktualizovaných signatur, a tak je v případě útoku přes slabá místa databáze schopen spojení ukončit, případně zaslat report o probíhajícím útoku, a to vše v reálném čase.
Druhou výhodou takových systémů je, že po vydání nové záplaty není nutné její okamžité nasazení, což sebou často může nést velké nepříjemnosti spojené s odstávkou databáze.
Doporučení pro zabezpečení databáze
Základním zdrojem pro sledování zranitelností je veřejná databáze zranitelností CVE [cve.mitre.org]. Mimo zdokumentované zranitelnosti je ovšem třeba sledovat i další zdroje věnující se zabezpečení, neboť ne všechny zranitelnosti se standardně registrují s přiřazenými identifikátory CVE.
Pro komplexní ochranu podnikových databází ochrana perimetru nedostačuje. Stále existuje mnoho úniků dat způsobených interními zdroji a využitelné zranitelnosti se obvykle najdou i při postupu útočníka vně podnikové infrastruktury.
Databázoví administrátoři by proto měli věnovat pozornost konfiguraci databáze, ale také jejímu pravidelnému záplatování. Pokud je však třeba chránit databáze s citlivými a velmi důležitými daty, je vhodné zvolit další doplňkové nástroje pro monitoring databáze s nepřetržitou ochranou před útočníky.
Autor pracuje jako DB security specialist ve firmě Sefira.
Klíčové vlastnosti skenerů zranitelností
- Identifikace chybějících záplat a konfiguračních nedostatků
- Nalezení slabých a výchozích hesel
- Nalezení databázových rootkitů a backdoorů, nezabezpečeného PL/SQL kódu
- Podrobné reporty, vývoj zranitelností v čase
Klíčové vlastnosti systémů pro monitoring a ochranu databází
- Ochrana před hrozbami ze sítě, od uživatelů i přímo z databáze
- Monitoring v reálném čase
- Integrace s dalšími bezpečnostními nástroji, např. SIEM systémy
- Možnost virtuálního patchingu
- Ukončení rizikových spojení
- Transparentní, neintruzivní řešení
- Nízké nároky na výkon
- Výstupy využitelné pro bezpečnostní audity systému
Tento příspěvek vyšel v Security Worldu 1/2015.
Předchozí díl najdete zde.
PŘEDPLATNÉ
ČLÁNKY DO MAILU