Исследователь в области безопасности Trustwave детализирует неприятности безопасности базы данных и защитные способы.Базы данных среди значительно чаще подвергшихся нападению частей разработки обработки данных предприятия, как они – места, где информация, которую желают атакующие, имеет тенденцию храниться. Это – обстановка, что Джош Шауль, директор по управлению продуктами в Trustwave, прекрасно знает, что есть, из-за чего он сказал детально на сессии наконец конференцию по безопасности семь дней RSA по тому, как обезопасисть базы данных.
В интервью с eWEEK Шауль подчернул, что классы нападений, применяемых против баз данных, не являются новыми, не смотря на то, что существуют кое-какие новые векторы атаки, каковые показались.«Мы все еще видим инжекцию SQL и сценарии перекрестного сайта, и все виды типов манипулирования URL нападений», сообщил Шауль.Инжекция SQL продолжительно идентифицировалась как ведущая форма нападения на базы данных. В атаке с применением кода на SQL сделан недопустимый SQL-оператор, что разрешает атакующему получить информацию.
«Способы нападения не изменяются, и это не большинство удивления», сообщил Шауль. «Из-за чего изобретают новый метод ворваться в базы данных, в то время, когда ветхие дороги все еще трудятся вправду прекрасно?»Шауль подчернул, что, тогда как ветхие классы уязвимости все еще трудятся, они не трудятся везде, и кое-какие наибольшие платформы электронной коммерции предприняли шаги для действенного смягчения риска.С позиций определенных векторов атаки, каковые применяют современные хакеры базы данных, сейчас был мелкий сдвиг. Атака с применением кода на SQL вовлекает атакующих, злоупотребляющих определенными вызовами функции базы данных и процедурами, по словам Шауля.
В то время, когда разработчики ПО фиксируют недостатки в процедурах базы данных, каковые, как мы знаем, находятся в опасности, атакующие находят новые недостатки в других процедурах.«Это – все еще инжекция SQL, но фактические параметры, в каковые атакующие вводят SQL, изменились за эти годы», сообщил он. «Область поверхности атаки есть столь большой, что мы все еще в состоянии отыскать новые прошлые классы уязвимостей в коде».Контроль ввода довольно часто цитируется экспертами по безопасности, как являющимися ключом к ограничению риска атак с применением кода на SQL. Но код программы не всегда является объектом управления организации, по словам Шауля.
«Это [инжекция SQL] встраивается в кое-какие продукты поставщика», сообщил он. «Поставщики производят ПО, которое подобающим образом не защищается».СоветыДля ограничения риска ненадежности базы данных Шауль рекомендует, дабы организации совершили оценку риска.
Та оценка обязана включать перечисление того, что базы данных делают в организации и какие конкретно базы данных включают уязвимые эти.«Организации, с которыми я трудился, постоянно удивлялись отыскать базы данных по своим сетям, каковые они не отслеживали по любой причине», сообщил он. «Вы не имеете возможность обезопасисть то, о чем Вы не понимаете».С позиций фактических баз данных Шауль рекомендует удостовериться, что все базы данных в применении были обновлены с последними патчами поставщика и что в том месте существуют сильные пароли для администраторов и пользователей. Он кроме этого рекомендует, дабы организации удостоверились, что средства защиты базы данных практически включены.
«Средства защиты имеют эти забавные способы работы – если Вы выключаете их, они ничего не делают», сообщил Шауль. «Средства защиты базы данных Most отключены по умолчанию, так, люди должны включить их для фактического вытаскивания цены из них».Организации должны кроме этого взглянуть на средства управления доступом для базы разрешённых и удостовериться, что политика мельчайшего количества полномочия существует.
С мельчайшим числом политики полномочия лишь минимальную сумму управления доступом предоставляют пользователям выполнить требуемые задачи.Существует кроме этого потребность обезопасисть уровень веб-приложения, что в большинстве случаев есть уровнем инфраструктуры, сзади которого расположена база данных. Шауль рекомендует применение надёжных способов кодирования для веб-приложений, и применение Веб-приложения брандмауэра (WAF).«Организации должны обезопасисть доступ фронтэнда к базе данных», сообщил Шауль.
Существует кроме этого потребность в постоянном мониторинге базы данных, дабы всегда проверить доступ и удостовериться, что никакое известное применение не происходит и что нет никакого очевидного злоупотребления базой данных.Последний ход, что рекомендует Шауль, – то, что все организации имеют замысел реагирования на инциденты. «Так, в случае если контроль базы данных продемонстрирует происходящее наступление, то организация будет знать, что сделать для остановки нападения», сообщил он.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.