Охороняючи бази даних, Криптографія, Security & Hack, статті

У той час як компанії зосереджують зусилля на забезпеченні безпеки ОС і мережевих пристроїв, експерти з безпеки заявляють, що баз даних, найбільш важливим місцях, де зберігається цінна інформація, приділяється занадто мало уваги.

«Для забезпечення безпеки фірми змушені обмежувати доступ практично до всіх об’єктів ІВ, а БД складають їх велику частину», – вважає Кріс Роланд, директор дослідницької групи X-Force компанії Internet Security Systems (ISS).


Він додав, що останні крадіжки номерів кредитних карток, у тому числі із системи електронної торгівлі США, організовані хакерами з Росії, підтверджують необхідність забезпечити безпеку БД.


Величезний обсяг найважливішою для компанії інформації – відомості про фінансову діяльність, технічних засобах та клієнтів зберігається в легкодоступних БД, відзначає Річ Телджохан, менеджер по продукції компанії ISS.


Він вважає, що в цих БД міститься інформація, якою можуть скористатися зломщики. Для них не складає труднощів обійти засоби захисту ОС і під’єднатися практично до будь-якої СУБД. Зловмисники також можуть використовувати імена користувачів і паролі доступу, що призначаються за умовчанням при поставках СУБД, якщо тільки вони не були змінені.


За словами Телджохана, стійкість або вразливість систем безпеки залежить від складної структури БД, що включає успадковані механізми, різні утиліти і мови сценаріїв.


«Безпека системи багато в чому залежить від того, наскільки грамотно виконана її налаштування», – додав він.


Багато додатків, наприклад CRM, не мають надійного захисту, оскільки передбачається, що вони вже захищені фаєрволом або Web-сервером, розповідає Дан Маккол, виконавчий віце-президент компанії Guardent, що надає послуги із забезпечення безпеки.


Oracle передбачає заходи щодо забезпечення безпеки для своїх БД, говорить Боб Шімп, старший директор з маркетингу БД в Oracle. За його словами, найбільш важливим є контроль доступу до БД. Стандартний пакет СУБД компанії включає функцію віртуального нагляду за додатком (Virtual Private Database); за допомогою цієї функції можна встановити контроль доступу для кожного окремого поля БД, що дозволяє забезпечити одночасну роботу різних користувачів, причому кожен з них не буде мати доступ до інформації інших.


Для додаткового захисту БД Oracle пропонує опцію Oracle Label Security, завдяки якій можна провести більш чітке розмежування доступу, наприклад визначивши часовий інтервал, протягом якого може бути відкритий доступ до тієї чи іншої інформації.


ПО Database Scanner компанії ISS також призначено для підвищення безпеки даних. З його допомогою здійснюється автоматичне визначення можливих вразливих місць в системі, пошук нестійких паролів і «троянських коней». Програма виробляє рекомендації щодо усунення слабких місць. Database Scanner можна використовувати з ПЗ Oracle, Microsoft SQL Server і Sybase.


Не бажаючи відставати від конкурентів, компанія Guardent випустила програму сканування уразливих місць Vulnerability Scanning Service і пропонує її разом з системою з управління безпекою Security Management Appliance. Пристрій, що знаходиться за фаєрволом клієнта, дистанційно визначає уразливі місця в ОС, додатках і мережевої інфраструктури. Сканер переглядає нове ПЗ та структуру БД відразу ж, як тільки вони стають доступними, і автоматично визначає в них вразливі місця.


Маккол вважає, що подібні послуги дають реальну можливість сканувати сервери в межах мережі і виявляти вразливі місця, через які можуть проникнути зловмисники.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*