Tehnologie

10 Baze de date Sfaturi de securitate pentru întreprinderi mai mici

De Mathew Schwartz

Ce au în comun încălcările recente de date recente? Cu excepția laptopurilor pierdute, a dispozitivelor portabile purtate, a scufundătorilor de gunoi sau a unor persoane fizice care curează un PC de la birou, toate încălcările implică o entitate comună: baza de date.

"Cel puțin o treime din cele peste 200 de milioane de înregistrări personale compromise în ultimii doi ani au fost preluate dintr-o bază de date", spune Ted Julian, vicepreședinte al marketingului și strategiei pentru securitatea aplicațiilor, citând statisticile privind încălcarea datelor Clearinghouse. În plus, frecvența și gravitatea încălcărilor sunt în creștere. Potrivit Centrului de Resurse pentru Furtul de Identitate din San Diego, aproape patru ori mai mulți americani au avut furate informațiile lor personale în 2007 ca și în 2006.

Nu lăsa bazele de date să te păcălească. Sigur, numele lor pot suna impresionant (Oracle, Ingres) sau nevinovat (MySQL, SQL Server, Sleepycat). Cu toate acestea, nici o bază de date, doar din cutie, este sigură. În plus, deoarece bazele de date își concentrează atât de multe informații potențial lucrative într-un singur loc, ele sunt ținte principale. "Bazele de date sunt într-adevăr unde sunt stocate bijuteriile coroanei afacerii", notează Mark Bowker, analist la Enterprise Strategy Group. Acest lucru se aplică indiferent de mărimea unei companii.

Cu toate acestea, datorită amplorii operațiunilor lor, organizațiile mai mari nu obțin mai multă transparență a datelor. În septembrie, de exemplu, Ameritrade a dezvăluit o încălcare care implică mai mult de 6. 3 milioane de date ale clienților. Între timp, companiile TJX - proprietarii magazinelor de vânzare cu amănuntul T. J. Maxx și Marshalls - au oferit recent soluționarea unui proces masiv de acțiune în justiție, care rezultă din stocarea necorespunzătoare a datelor de pe cardul de credit de 45 de milioane de clienți, precum și din nerealizarea acestora.

1. Știți că sunteți în pericol

Nu aveți o bază de date care conține informații sensibile conectate la Internet? Ești încă în pericol. Forrester Research estimează că 70% din toate încălcările bazei de date apar pe plan intern - nu este necesară o conexiune la Internet. Din păcate, detectarea atacatorilor interni poate fi destul de dificilă, mai ales că persoana care reprezintă cea mai mare amenințare nu este altul decât administratorul actual al bazei de date (DBA).

"DBA-urile primesc anumite sume de libertate în munca lor, ceea ce face ca DBA să fie greu de prins", notează Noel Yuhanna, analist la Forrester Research. În special, "deoarece DBA-urile au acces deplin la toate datele dintr-o bază de date, ele ar putea schimba sau șterge date fără să știe cineva".

Astfel, pentru DBA-uri și orice alt utilizator cu acces privilegiat, în mod ideal " modalitatea de a înregistra ceea ce au făcut, pentru că doriți să vă asigurați că nu fac lucruri pe care nu ar trebui să le facă ", spune Kraynak. Totuși, majoritatea experților în baze de date recunosc că instrumentele de monitorizare a bazelor de date sunt în mare parte domeniul întreprinderilor mai mari; companiile mici și mijlocii trebuie să se concentreze mai întâi pe mai multe probleme de bază.

2. Prioritizați securitatea

În cazul în care DBA-urile reprezintă un risc de securitate, obiceiurile lor de securitate necesită și o examinare. Într-adevăr, Yuhanna estimează că DBA-urile cheltuiesc în medie doar 7% din timpul lor pentru securitatea bazei de date.

O atenție redusă acordată securității bazei de date nu este o astfel de surpriză. "Într-un SMB, este vorba despre obținerea acelei aplicații, obținerea acestei baze de date, asigurarea că aceasta rămâne online și disponibilă și menținerea performanței corecte", notează ESG Bowker. "Din păcate, de obicei, securitatea cade în partea de jos a listei."

Adăugați securitatea bazei de date la descrierea postului DBA.

3. Activați capabilitățile de securitate

Bazele de date nu dispun de nici un control de securitate activat în mod implicit. Într-adevăr, majoritatea bazelor de date au controale slabe de autentificare și parole implicite bine cunoscute, atât pentru conturile utilizatorilor, cât și pentru administratori.

Aceasta este o îmbunătățire: unele baze de date mai vechi - în special Sybase și SQL Server - nu au implicit implicit o parolă pentru accesul complet la baze de date, spune Yuhanna. Totuși, bazele de date de astăzi pot aborda în mod natural ceea ce el numește "cele trei A": autentificare, autorizare și control al accesului. Activați astfel de capabilități.

4. Patch the Database

Înainte de a pune orice date într-o bază de date, "verificați nivelul patch-urilor, uitați-vă la modul în care sunt configurate și vedeți ce defaults sunt potențial vulnerabile - de la utilizatori impliciți la funcții care sunt activate implicit" spune Krayak: "Deci, doriți să faceți o evaluare a bazei de date și să o remediați - ceea ce nu este la fel de ușor cum pare."

Pentru ajutor, consultați instrumentele de scanare a vulnerabilității bazei de date comerciale sau opțiunile libere, cum ar fi ca Scuba lui Imperva.

5. Restricționați accesul la baze de date

În continuare, restricționați accesul la baze de date - atât la baza de date de producție, cât și la hardware-ul de bază - pe baza nevoii de cunoaștere.

Prea adesea, parolele de administrator sunt "un secret informatic deschis", spune Bowker, care pledează vinovat de când a condus anterior un magazin IT al unei companii mijlocii. "Chiar și cu ceva atât de simplu ca baza de date HR, pentru a fi sincer, Oamenii de tip IT au avut acces la acest lucru și ar putea să caute salarii și acel tip de informații, doar pentru că nu aveam controale în față, cum ar fi restricțiile de acces la mașina în care era baza de date.

nivel de privilegii de acces? Pentru o organizație care are cel puțin câțiva angajați IT, spune el, "de obicei, unul dintre ei este responsabil pentru baza de date și orice copie și trebuie doar să puneți restricții asupra celorlalți operatori, astfel încât aceștia nu vor avea capacitatea de a merge acolo și faceți totul."De asemenea, asigurați-vă că copii de siguranță ale bazei de date sunt stocate doar în format criptat, astfel încât nimeni nu poate accesa cu ușurință datele.

6. Interzicerea copierii bazei de date cu ridicata

O bază de date de producție are de obicei un proprietar desemnat sau un gatekeeper. a fost copiat, pur și simplu, orice copie a unei baze de date va fi cel mai probabil nesecurizată și, prin urmare, "este o amenințare internă", spune Bowker. "DBA, acele tipuri de persoane, toate au acces la rădăcini în acel moment și "Nu permiteți dublarea necontrolabilă a bazelor de date.

7. Inventarul Baze de date existente

Închiderea bazelor de date din cutie și interzicerea duplicării cu ridicata ar putea părea bine, dar despre securizarea bazelor de date și a copiilor deja existente În general, companiile trebuie să găsească și să inventarieze în mod regulat toate bazele de date existente.Cuți să știți că o bază de date de producție poate să ascundă mai multe copii. "În mod obișnuit, într-o mulțime de întreprinderi aveți baza de date de producție, dar ghici ce, are multe copii - dezvoltatorii au copii, de exemplu - și multe baze de date corespund și fac apeluri una la alta ", spune Bowker.

Organizațiile mari folosesc deseori instrumente de descoperire automată pentru a găsi și monitoriza continuu bazele de date pentru a asigura că informațiile sensibile nu sunt stocate în format necriptat. Experții spun însă că organizațiile mai mici vor ști, probabil, deja ce baze de date conțin informații sensibile.

8. Securizarea bazelor de date existente

Folosiți inventarul bazei de date pentru a aborda mai întâi cele mai riscante baze de date. "Cu aceste informații în mână, majoritatea IMM-urilor vor găsi că pot elimina unele [date], maschează unele și așa mai departe, simplificând în același timp îmbunătățirile de securitate pe care trebuie să le facă ", spune Julian of Security Application.

De asemenea, evaluați bazele de date pentru vulnerabilitățile cunoscute și nivelurile de patch-uri. "Odată ce ați efectuat această evaluare, faceți-o din nou în fiecare trimestru sau asigurați-vă periodic că aveți un proces pentru a verifica aceste lucruri, pentru că lucrurile se schimbă", spune Kraynak.

În cele din urmă, studiați conturile de utilizator; Forrester estimează că 30% din conturile de baze de date sunt duplicate sau inactive. Pentru a vă proteja de foștii angajați nemulțumiți, curățați în mod regulat conturi inactive și duplicate.

9. Scramble Shared Data

În cazul în care companiile restricționează copierea bazelor de date, cum vor obține dezvoltatorii datele necesare pentru a dezvolta și testa noi aplicații? Cum pot managerii de vânzări să pregătească agenți noi în sistemul de management al relațiilor cu clienții? Pentru astfel de cazuri, Bowker recomandă utilizarea unor instrumente de la companii precum Applimation, HP OuterBay, IBM Princeton Softech sau Solix Technologies pentru a submăsura baza de date.

Subsetarea permite unui DBA - sau oricui este gatekeeper-ul desemnat pentru date sensibile - să partajeze selectiv părți dintr-o bază de date după ștergerea, transformarea sau falsificarea oricăror informații sensibile, pe baza modului în care va fi utilizat subsetul bazei de date. Dezvoltatorii și testerele, de exemplu, pot solicita date false (cum ar fi cartea de credit și numerele de securitate socială) care încă sunt destul de bune (în termeni de logică a aplicațiilor) să stea în lucrurile reale.

10. Planul pentru retragerea bazei de date

În final, amintiți-vă că bazele de date nu vor trăi pentru totdeauna. "Bazele de date se retrag - sau" sunset "- dacă doriți să utilizați acest termen", spune Bowker. De obicei, aceasta implică scrierea bazei de date în format XML, cu etichete, pentru a facilita căutarea ulterioară sau pentru a satisface cerințele de păstrare. Ca și în cazul tuturor datelor sensibile, restricționați accesul la aceste fișiere XML.

Noua ecuație de rupere

Obținerea managerilor de afaceri să semneze pe sfaturile de mai sus poate necesita o schimbare a atitudinii. "DBAs au, în general, mandatul de a face să funcționeze și de a face să funcționeze rapid", spune Kraynak. Dacă se rupe, afacerea se rupe și, dacă nu merge destul de repede, în esență afacerea se rupe. "

Acum, doar factorii de date încalcă ecuația de rupere.

Mathew Schwartz a abordat subiecte IT și de afaceri de peste 10 ani în calitate de jurnalist, cercetător și editor. Opera sa a apărut într-o varietate de publicații, printre care revista Boston Globe, revista Computerworld, revista de securitate informatică, London Times, Institutul de IT Compliance și Wired News.