DAP: Evoluce v auditování a ochraně databází

Juraj Hrapko | 17.12.2013 | Bezpečnost, Software | Žádné komentáře

Software na audit a ochranu databází (anglicky Database Audit and Protection, DAP) vznikl podle agentury Gartner přirozenou evolucí ze softwaru pro monitorování databází. Jeho cílem je zabránit nežádoucím únikům dat z podnikových databází.

Je důležité uvědomit si, že monitorováním databází zabezpečení dat jen začíná. Důležitý aspekt je audit monitorovaných dat pomocí reportů a procesů workflow pro kontrolu incidentů a potvrzení této kontroly bezpečnostním administrátorem. Pokud například uživatel provede nepovolenou operaci (přistoupí k citlivým datům), auditor dostane notifikaci s detaily a měl by schválit nebo pátrat dál po příčinách přístupu k těmto datům.

Šifrování komunikace a dat na discích nepostačuje vzhledem k tomu, že k většině úniků dochází zevnitř organizací a uskutečňují je osoby, které běžně mají přístup k datům. Jelikož nejsou kontrolovány, nemají obavu ze „stažení“ citlivých dat na soukromé úložiště a jejich disponováním – v tom lepším případě – pro vlastní potřebu. Citlivá data v organizaci by měla být zajištěna bez ohledu na to, kdo k nim přistupuje. Ať už jsou to externí dodavatelé, privilegovaní uživatelé, nebo interní administrátoři.

dap

Zároveň by mělo existovat rozdělení pravomocí databázových administrátorů a bezpečnostních administrátorů. Databázový administrátor, který má přístup k citlivým datům, by neměl mít zároveň oprávnění měnit nastavení zabezpečení a auditu. Samozřejmě, mělo by to platit i vice versa – bezpečnostní administrátor by neměl mít přístup k citlivým datům.

Ve větších organizacích s velkým množstvím různých databázových platforem je pro bezpečnostní administrátory nereálné spravovat zabezpečení každé databáze samostatně. Vhodné je mít rozhraní s možností tvorby jednotných nastavení napříč celým prostředím bez nutnosti zasahovat do databází. Použití nativních bezpečnostních databázových nástrojů však značně zatěžuje databázový systém, takže zákazník v konečném důsledku doplácí za databázové licence.

Kdy nasadit software Database Audit and Protection?

Proto je vhodné použít nástroje DAP k zajištění databází, které splňují všechny tyto požadavky a zatěžují databázový systém jen minimálně. Pokročilejší nástroje DAP nabízejí i další funkcionalitu, která značně usnadňuje práci bezpečnostním administrátorem. Komplexní popis funkcionalit je na přiloženém obrázku výše.

V rámci monitorování se definuje kombinace podmínek prozachycení aktivit, přičemž může jít o:

- chyby SQL a neúspěšné přihlášení
- příkazy DDL (Create/Drop/Alter Tablets)
- dotazy SELECT
- příkazy DML (Insert, Update, Delete)
- příkazy DCL (Grant, Revoke)
- procedury
- zpracování XML
- chybová hlášení
- data (záznamy) vrácené uživatelům

Kromě široké podpory databázových platforem lze kontrolovat data tekoucí z různých datových úložišť, jako jsou sdílené souborové systémy, systémy big data (Hadoop), FTP, MS SharePoint, IBM FileNet, přičemž je zajištěna granularita monitorovaných údajů podle času a data, uživatele, aktivity a podobně. Některé nástroje DAP dokonce umožňují monitorování libovolného datového zdroje pomocí svého rozhraní API.

Pro dobrý Database Audit and Protection nástroj by měly být samozřejmé i předkonfigurované politiky a reporty pro jednodušší splnění bezpečnostních standardů, jako je SOX, PCI DSS, jakož i legislativních požadavků, jako jsou direktivy na zabezpečení dat od Evropské komise (http://ec.europa.eu/justice/data-protection/index_en.htm).

Vzhledem k tomu, že drtivá většina citlivých údajů se nachází v databázích a útočníci to dobře vědí, je zabezpečení podnikových dat pomocí nástrojů DAP nejefektivnějším řešení. Podle studie Cost of Data Breach institutu Ponemon patří útoky SQL injection mezi velmi populární a jejich počet například jen mezi 1. a druhým čtvrtletím loňského roku stoupl o dvě třetiny. Tyto útoky přitom nemusí být prováděny pouze z vnějšího prostředí, ale i zevnitř organizace. Podle Information Week se největší únik dat za poslední roky stal společnosti Sony, která propustila větší počet bezpečnostních expertů. Následně připustila ztrátu citlivých dat ze 100 milionů účtů, nevyjímaje čísla kreditních karet. Není jisté, zda za útokem nestáli přímo bývalí zaměstnanci Sony. Budete čekat, dokud se vaše společnost ocitne v titulu podobného článku?

Autor je Information Management Technical Professional ve společnosti IBM.

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


+ šest = čtrnáct

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz