poniedziałek, 20 lipca 2015

Dane trzeba chronić tam, gdzie to najważniejsze

Alan Hartwell, szef działu rozwiązań bezpieczeństwa i zarządzania tożsamością w Oracle EMEA
Obawy o bezpieczeństwo dotyczą dziś praktycznie każdego działu współczesnych przedsiębiorstw. Wiele z tych obaw wiąże się ze wzrostem liczby ataków hakerskich — to zagrożenie, które wciąż znacznie wyprzedza inne formy ataków i rozwija się wraz z lukratywnym czarnym rynkiem informacji.

Od programów typu „RAM scraper”, które przechwytują dane z pamięci operacyjnej, po wirusy szyfrujące pliki — działalność hakerów rośnie coraz bardziej, ponieważ do grona przestępców dołączają szeregi ich naśladowców. Trend ten sprawia, że przedsiębiorstwa — a w szczególności ich relacyjne bazy danych — są bardziej podatne na ataki niż kiedykolwiek dotąd. Analiza typowych inwestycji w zabezpieczenia dowodzi jednak, że baza danych nie jest dla firm priorytetem. Takiego podejścia nie da się już dłużej obronić. Nadszedł czas, aby firmy zaczęły chronić dane tam, gdzie to najważniejsze.

Z opublikowanego niedawno raportu „Verizon 2014 Data Breach Investigation Report” wynika, że bazy danych są drugim co do popularności celem przestępców wewnątrz przedsiębiorstwa, ustępując tylko komputerom PC. Potwierdzają to osoby podejmujące decyzje w sprawach informatycznych, należące do organizacji Independent Oracle Users Group (IOUG) — 58% z nich twierdzi, że baza danych to punkt najbardziej podatny na ataki. Środowisko bazy danych staje się coraz częstszym celem hakerów przeprowadzających ataki typu SQL injection, w ramach których włączają oni w zapytania instrukcje SQL, aby pozyskiwać i modyfikować informacje w bazie. Skutkiem tego typu ataków bywają kradzieże lub manipulacje obejmujące całe tabele z rekordami danych pracowników i klientów. Czasem w atakach uczestniczą szpiedzy korporacyjni, którzy podszywają się pod pracowników i wstawiają swoje dane do kadrowych baz danych.

W związku z tym wydaje się dziwne, że przedsiębiorstwa nie traktują inwestycji w ochronę swoich baz danych priorytetowo. Jak wynika z badania IOUG, firmy zwykle inwestują największe środki w proste zabezpieczenia sieciowe (65%), w drugiej kolejności w zabezpieczenia serwerów (57%), a dopiero potem w ochronę bazy danych (56%). W zdecydowanym ograniczeniu ataków tego typu mogą pomóc na przykład zapory dla baz danych, które umożliwiają administratorom monitorowanie i blokowanie szkodliwego kodu SQL.

Niezbędne jest również bardziej prewencyjne podejście do bezpieczeństwa danych. Gdy przedsiębiorstwa zabezpieczają aplikacje, lecz pozostawiają bazę danych bez ochrony, ryzykują, że staną się celem ataków przez obejście aplikacji. Z badania IOUG wynika, że 71% firm nie wdrożyło narzędzi kontrolnych, które zapobiegałyby atakom tego typu. W ramach tego bardziej prewencyjnego podejścia do bezpieczeństwa danych administratorzy powinni określić, gdzie znajdują się dane poufne w całym przedsiębiorstwie, uwzględniając przy tym wszystkie środowiska. Nie jest to proste, jeśli weźmiemy pod uwagę, że przedsiębiorstwa wdrażają coraz większe i bardziej złożone systemy IT. 39% respondentów badania IOUG przyznaje, że nie jest w stanie wymienić wszystkich baz danych w swoim przedsiębiorstwie, które zawierają dane poufne i objęte regulacjami.

Po wskazaniu lokalizacji danych kluczową linią obrony cennych informacji zawartych w bazie staje się szyfrowanie. Dlatego niepokoi, że tylko 18% przedsiębiorstw szyfruje dane w spoczynku znajdujące się w ich bazach danych, a 51% nie wdrożyło nawet środków, które zapobiegałyby przypadkowym szkodom w bazie danych lub aplikacjach o znaczeniu newralgicznym.

Budowa strategii ochrony bazy danych jest pierwszym krokiem pozwalającym stworzyć kompleksowy system zabezpieczeń. Nawet gdy granice przedsiębiorstwa zostaną naruszone, ochrona poufnych danych, wykrywanie ataków typu SQL injection i zapobieganie im, monitorowanie aktywności w bazie danych, szyfrowanie danych w spoczynku i podczas ich przesyłania oraz maskowanie nieprodukcyjnych baz danych pozwala przedsiębiorstwom obniżyć ryzyko wyprowadzenia danych na zewnątrz. 

Brak komentarzy:

Prześlij komentarz