Файл: Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование.pdf

24
– подтверждение подлинности информации;
– преобразование (шифрование, кодирование) информации при ее пере- даче;
– преобразование (шифрование, кодирование) информации при ее хране- нии;
– блокирование неиспользуемых сервисов;
– мониторинг целостности ПО, конфигурации ИС;
– мониторинг атак на ИС и разрушающих воздействий;
2. Классификация решений для защиты баз данных
Существует шесть основных категорий программных решений для обес- печения безопасности баз данных. Все они предназначены для выполнения оп- ределенных задач:
– средства обнаружения и оценки. Выявляют уязвимости базы данных и местонахождение критически важных данных;
– средства для управления правами доступа. Идентифицируют излишние права доступа к конфиденциальной информации;
– средства мониторинга и блокирования. Защищают базы данных от взлома, неавторизованного доступа и похищения информации;
– средства аудита. Помогают подтвердить соответствие информацион- ной системы отраслевым стандартам безопасности;
– средства защиты данных. Поддерживают целостность и конфиденци- альность данных;
– меры безопасности нетехнического характера. Повышают культуру обращения с конфиденциальными данными и степень готовности к угрозам.
Ниже приводятся практические рекомендации по применению решений каждого типа для защиты баз данных.
1. Средства обнаружения и оценки
1.1. Проводите поиск уязвимостей
Знание уязвимостей, подвергающих БД риску инъекций в поле ввода
(input-инъекций), является основой политики безопасности. Хакерские про- граммы часто эксплуатируют широко известные уязвимости, поэтому база дан- ных, не обновленная должным образом, является легкой мишенью.
Слабые механизмы аутентификации позволяют хакерам проводить DoS- атаки на уровне приложений, поскольку открывают беспарольный доступ к БД.
Используйте специализированные программы для выявления уязвимостей, ошибок в конфигурациях и отсутствующих патчей. Оценка должна основы- ваться на существующих отраслевых стандартах безопасности, таких как DISA
STIG и CIS.
1.2. Определяйте степень риска
Величина риска зависит от степени критичности уязвимостей для базы данных и конфиденциальности информации. При оценке критичности следует
4 / 10

25
использовать известные алгоритмы расчета, такие как Common Vulnerability
Scoring System (CVSS).
Знание величины риска помогает выделять приоритетные риски и иссле- довать вызывающие их уязвимости. В данном случае высокая степень риска обусловлена уязвимостью к input-инъекциям.
1.3. Снижайте критичность уязвимостей
Если в базе данных обнаружена уязвимость, а разработчик СУБД не ус- пел выпустить патч, можно применять виртуальные патчи. Этот метод позволя- ет блокировать попытки эксплуатации уязвимостей, не устанавливая реальные патчи и не изменяя текущую конфигурацию сервера.
Виртуальные патчи помогут защитить БД от вторжения до выпуска раз- работчиками нового патча. В данном случае также необходимо сосредоточить- ся на устранении наиболее критических уязвимостей, делающих БД уязвимой к
DoS-атаке или input-инъекции.
1.4. Идентифицируйте уязвимые БД
Проводите анализ рисков и выделяйте приоритетные действия по устра- нению угроз. Отчеты и аналитические данные помогают оценить риски и выде- лить приоритетные направления работы по устранению уязвимостей.
1.5. Проводите поиск серверов БД
Для того чтобы построить, обслуживать ваши системы хранения данных и изолировать содержащуюся в них конфиденциальную информацию, необхо- димо в первую очередь создать каталог доступных БД. Используйте специаль- ные решения по поиску и обнаружению для сканирования корпоративной сети и идентификации активных БД. Отдавайте предпочтение решениям, снижаю- щим время сканирования благодаря применению фильтрации по IP-адресам и диапазонам IP-адресов, а также фильтрации по конкретным типам БД (напри- мер, Oracle, MS-SQL, IBM DB2 и т. д.). Периодически проводите повторное сканирование для обнаружения новых баз данных или изменений в старых.
1.6. Анализируйте результаты поиска
Просматривайте результаты поиска и классификации БД и устанавливай- те, какая БД, хранящая конфиденциальные данные, должна подвергаться мони- торингу. Идентифицируйте и классифицируйте конфиденциальные данные следующим образом:
Создав каталог баз данных, необходимо выяснить, какие именно БД со- держат конфиденциальные данные. Сканируйте объекты, строки и колонки БД для уточнения местоположения конфиденциальных данных.
1.7. Используйте решения для классификации,
способные распознавать такие типы данных, как номера кредитных карт,
адреса электронной почты и идентификационные номера
Отдавайте предпочтение решениям, способным работать с пользователь- скими типами данных. Результаты классификации должны содержать IP-адрес и имя хоста БД и указывать на наличие в ней конфиденциальных данных. Ав- томатическая идентификация конфиденциальных данных и персональной ин-
5 / 10

26
формации помогает точнее направлять усилия по защите и соответствию стан- дартам.
1.8. Управление правами доступа
Проводите агрегацию прав пользователей. Сканируйте базы данных и со- бирайте информацию о степени доступа пользователей к объектам БД. Отчеты должны включать информацию о предоставлении непосредственных прав дос- тупа (например, SELECT, DELETE, CONNECT и т. д.), лицах, обладающих та- кими правами, и лицах, предоставивших им эти права, а также объектах БД, доступ к которым эти права предоставляют. Агрегация прав пользователей в единый репозиторий позволяет систематизировать процесс отчетности и анали- за доступа пользователей к конфиденциальным данным.
1.9. Детализируйте отчеты о правах доступа, включая в них данные
о пользовательских ролях и уровне конфиденциальности данных
Собирайте детальную информацию о пользователях: их имена, отдел, проведенные операции с БД, уровень конфиденциальности объектов БД, с ко- торыми они работали, последнее время доступа к БД и т. д. Это поможет усо- вершенствовать процесс анализа пользовательских прав, распределить риски и свести к минимуму возможность злоупотребления правами.
1.10. Идентифицируйте и устраняйте излишние привилегии
и неактивные учетные записи
Идентифицируйте пользователей, обладающих излишними правами дос- тупа, а также пользователей, не пользующихся своими правами. Это позволит определить, правильно ли распределены привилегии, добиться распределения ролей и устранить излишние права доступа, которые не требуются им для рабо- ты. Дело в том, что хакеры могут воспользоваться учетной записью какого- либо пользователя для доступа к хранилищам конфиденциальных данных. Та- ким образом, устранение излишних привилегий помогает защититься от на- правленных атак и взлома с применением вредоносного ПО.
1.11. Пересматривайте, подтверждайте или отклоняйте права
отдельных пользователей. Организуйте проверку достаточности уровня
пользовательских привилегий
Проверяющие должны подтверждать, отклонять права или передавать их на проверку другому лицу, а администраторы могут следить за ходом проверки.
При проверке прав пользователей необходимо руководствоваться принципом минимальной осведомленности, что позволит соблюдать требования по безо- пасности данных и сократить возможные риски. Используйте решения, извест- ные как Universal User Tracking (UUT), для сопоставления информации о поль- зователях с операциями, проводимыми в отношении БД. Результаты проверки могут включать в себя уникальные имена пользователей клиентских приложе- ний.
6 / 10

27
2. Мониторинг и блокирование
2.1. Применяйте оповещение и блокирование в режиме реального времени
Проводите мониторинг обращений к БД и паттернов поведения пользова- телей в режиме реального времени для обнаружения утечек данных, неавтори- зованных операций с SQL и Big Data, атак на протокол и систему. При обнару- жении попытки несанкционированного доступа генерируйте оповещения или прерывайте сеанс пользователя. Используйте решения, реализующие политики, как стандартные, так и пользовательские, направленные на сканирование тра- фика БД для идентификации паттернов, соответствующих известным атакам, таким как DoS-атаки, и неавторизованной деятельности. Политики безопасно- сти полезны не только для обнаружения злоупотребления излишними привиле- гиями внутренних нарушителей, взломанными или неактивными пользователя- ми, но также для предотвращения большей части угроз, описанных в данной статье.
2.2. Выявляйте аномальную активность
Сформируйте исчерпывающий профиль нормального поведения для каж- дого пользователя БД. Мониторинг отклонений от этих паттернов позволяет обнаружить DoS-атаку, вредоносное ПО, input-инъекции и аномальную актив- ность. Если какой-либо пользователь инициирует действие, не соответствую- щее его профилю, зафиксируйте данный факт, сгенерируйте оповещение или заблокируйте пользователя. Составление и изучение профилей активности пользователей повышает вероятность обнаружения попыток неправомерного доступа к конфиденциальной информации.
2.3. Блокируйте вредоносные веб-запросы
Поскольку веб-приложения являются одной из наиболее популярных це- лей атаки с помощью input-инъекций, еще одной важной линией обороны ста- нет ваш файрвол для веб-приложений (Web Application Firewall, WAF). WAF распознает и заблокирует попытки воздействия input-инъекциями на веб- приложения. Для защиты от input-инъекций WAF должен выполнять следую- щее:
– проверять значения параметров HTTP на наличие специальных симво- лов, таких как апострофы и скобки, и определять, свидетельствуют ли данные символы о проведении атаки;
– учитывать сигнатуры приложений и политики известных паттернов input-инъекций при принятии решений об оповещении и блокировании.
2.4. Проводите мониторинг активности локальной БД
Решения класса DAP (Database audit and protection, аудит и защита БД) могут проводить аудит и мониторинг активности ваших наиболее привилегиро- ванных пользователей — администраторов БД и системных администраторов.
Эти пользователи получают наиболее полный доступ к вашим БД и поэтому требуют особого внимания. Независимо от того, злоупотребили ли они своими правами или их учетные записи были взломаны, риск кражи данных и нанесе-
7 / 10

28
ния урона вашей организации возрастает. Внедрите меры по контролю соеди- нений.