С каждым годом повышается значимость электронных баз данных как хранилищ, позволяющих систематизировать и оптимизировать информацию. Но нахождение данных в одном месте повышает интерес злоумышленников к поискам уязвимостей в БД. В связи с этим становится актуальным формирование модели угроз безопасности баз данных.
Специалисты по информационной безопасности ежегодно составляют перечень рисков, актуальных для той или иной отрасли экономики или направленных на определенные информационные системы. Сформирован такой перечень и для баз данных.
Основные проблемы:
Такая ситуация приводит к тому, что БД становятся открытыми к внешним целевым атакам и не защищенными от несанкционированных действий внутренних пользователей. Часто утечка информации из баз данных чревата не только репутационными рисками. В США и Евросоюзе такие ошибки в организации систем безопасности данных становятся основанием для назначения штрафов, размеры которых иногда превышают сотни тысяч долларов. При этом, исходя из исследования, опубликованного Online Trust Alliance (OTA), 97 % утечек компании могли избежать, если бы своевременно приняли меры безопасности.
Основные уязвимости фиксируются для баз данных, использующих систему управления SQL. Но в последние годы, в связи с повсеместным распространением решений, использующих Big Data, участились случаи взлома и этих ресурсов. Функции приложений, используемые, например, для ввода данных клиентов, которые обычно используют хакеры для ввода SQL-инъекций, есть и в системах больших данных. Поэтому этот перечень актуален для баз данных всех типов.
В стандартах безопасности информационных систем, от Оранжевой книги США до отечественных ГОСТов, подчеркивается необходимость сокращать привилегии пользователей и администраторов до минимально допустимого уровня. Однако на практике эта задача не решается. При этом привилегиями для хищения данных могут воспользоваться злоумышленники, завладевшие чужой учетной записью.
Есть в этом случае и инсайдерские риски. Иногда системные администраторы забывают отключить учетку с привилегиями при переводе сотрудника на другую должность или увольнении. В итоге он сохраняет доступ к базе данных, может копировать, изменять или уничтожать информацию в ней.
При переходе сотрудника на другие позиции объем неснятых привилегий накапливается, если это не контролировать, причем некоторые работники еще на испытательном сроке получают доступ к ценной информации, например, к персональным данным. Это приводит к реализации такой угрозы безопасности баз данных как злоупотребление правами. Часто это приводит к утечкам, например, сведений из баз данных ГИБДД, банков, телефонных операторов, в результате чего конфиденциальные данные оказываются на теневом рынке.
Базы данных часто страдают от действий инсайдеров: сотрудники после конфликта с руководством удаляют из БД критически важные данные, взламывают базу, чтобы украсть данные клиентов на продажу. Как защититься?
Введение SQL-кода в поле ввода веб-приложений БД – самый распространенный способ их взлома. Для доступа к базам с Big Data используют модифицированные средства взлома – NoSQL-инъекции. При реализации этой угрозы безопасности баз данных вредоносный код вводится в компоненты Hive или MapReduce.
Вредоносные программы, направленные на хищение информации, создаются постоянно. Многие нацелены на базы данных. Часто они проникают в информационную систему через фишинговые письма с вложениями, которые злоумышленники рассылают персоналу.
Информационная система, включающая базы данных, должна регулярно подвергаться проверке на соответствие правилам безопасности. Все действия сотрудников должны протоколироваться, а сведения, сохраняемые в журналах, – становиться основой для аудита, выявляющего угрозы. При этом системы аудита несовершенны, не все из них способны быстро вычислить виновника утечки, а некоторые из них создают излишнюю нагрузку на систему.
После того как информация с сервера скопирована на ноутбук, мобильное устройство или съемный носитель, уровень ее защиты резко снижается. Необходимо регламентировать копирование сведений из БД, использование съемных носителей и обеспечить безопасность данных, сохраняемых на мобильные устройства сотрудников. В ряде случаев, если речь идет о персональных данных, выполнение этих требований регламентируется государственными органами.
Установка программного обеспечения для управления БД с открытым кодом без изменения его конфигурации и настроек защиты является одной из основных угроз безопасности баз данных. Необходимо постоянно обновлять ПО и индивидуализировать настройки защиты, выставленные по умолчанию. Проблема в том, что обновление требует отключения всей информационной системы, а это не всегда возможно на предприятиях непрерывного цикла.
Если данные в компании не структурированы, и никто точно не знает, где именно хранится конфиденциальная информация, крайне сложно установить повышенный уровень защиты для сведений ограниченного доступа. Информационный аудит, классификация и перемещение данных в каталоги, которые не видны обычным пользователям, снизят остроту проблемы.
Эта проблема является системной, и она даже названа в качестве одной из основных угроз в национальной Доктрине информационной безопасности РФ. Повышение квалификации кадров стало одной из главных задач в нацпроекте «Цифровая Россия».
***
Понимание всех названных угроз поможет повысить уровень безопасности и настроить комфортную и безотказную работу баз данных.
12.08.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных