Компании Oracle и Positive Technologies провели совместный семинар «Информационная безопасность баз данных». На семинаре было показано, какие типовые приемы используют злоумышленники для получения доступа к конфиденциальным данным и какие существуют методы защиты СУБД. Также эксперты компаний провели демонстрацию продуктов, использование которых позволяет повысить защищенность информационных ресурсов организации.
Практика показывает, что во многих российских компаниях защита корпоративных СУБД не обеспечивается в полной мере. Отсутствие контроля при передаче данных, несоблюдение политик безопасности и халатность персонала приводят к неприятным инцидентам, связанным с похищением конфиденциальной информации. Например, одна из самых распространенных ошибок – слабые пароли, причем ее допускают не только рядовые пользователи, но даже администраторы СУБД.
Эксперты Positive Technologies продемонстрировали уязвимости, которые используют злоумышленники для проникновения во внутреннюю сеть компании, и показали, каким образом происходит типовая атака на СУБД. Очень часто слабым звеном в системе защиты выступает веб-сервер компании – используя уязвимости веб-приложений, киберпреступник может запустить вредоносный код и получить доступ к нужной информации.
Также Positive Technologies рассмотрели еще один уязвимый элемент инфраструктуры, которым пользуются злоумышленники, – тестовые системы. В процессе тестирования к данным получают доступ не только администраторы и разработчики внутри компании, но и посторонние специалисты – консультанты, разработчики, партнеры. Причем многие компании не используют рекомендуемые разработчиками методы защиты, например, маскирование или урезание данных.
Алексей Юдин, руководитель отдела безопасности баз данных и бизнес-приложений Positive Technologies так прокомментировал сложившуюся ситуацию: «В условиях слабого контроля тестовых систем и недостаточного обезличивания данных киберпреступники получают широкое поле для деятельности. Мы сталкивались с ситуациями, когда в качестве тестовых данных передавалась информация о зарплатах сотрудников все лишь полугодовой давности. При неблагоприятных сценариях такое небрежное отношение приводит к масштабным утечкам критически важных данных».
Целью злоумышленника чаще всего является кража данных. При этом в первую очередь киберпреступников интересует информация о номерах кредитных карт, аутентификационные и персональные данные. Кибершпионаж, массовое заражение, злоупотребление полномочиями и даже месть бывшего сотрудника – тоже не редкость. Также взломанные СУБД могут использоваться в качестве плацдарма для атак на другие системы.
Что необходимо предпринять компании, чтобы обезопасить свои информационные ресурсы? Прежде всего, нужно выполнить ряд практических шагов – установить сетевые средства защиты, организовать поиск уязвимостей сайта с использованием как автоматизированных средств, так и ручного анализа, проводить регулярный аудит и контроль сетевого трафика, а также своевременно реагировать на все инциденты, связанные с проникновением в информационные ресурсы организации.
На семинаре было продемонстрировано, как совместное использование продуктов Oracle и Positive Technologies позволяет отразить атаку злоумышленников на сервер базы данных. Так, система контроля защищенности и соответствия стандартам MaxPatrol от Positive Technologies позволяет выявить факт взлома сервера базы данных, а встроенный специализированный брэндмауэр Database Firewall от Oracle на основе полученной информации предотвращает последующие атаки на сервер.