Какие вирусы обычно поражают банк данных и базы данных
Обновлено: 24.04.2024
ИНФОРМАТИКА- НАУКА, ИЗУЧАЮЩАЯ СПОСОБЫ АВТОМАТИЗИРОВАННОГО СОЗДАНИЯ, ХРАНЕНИЯ, ОБРАБОТКИ, ИСПОЛЬЗОВАНИЯ, ПЕРЕДАЧИ И ЗАЩИТЫ ИНФОРМАЦИИ.
ИНФОРМАЦИЯ – ЭТО НАБОР СИМВОЛОВ, ГРАФИЧЕСКИХ ОБРАЗОВ ИЛИ ЗВУКОВЫХ СИГНАЛОВ, НЕСУЩИХ ОПРЕДЕЛЕННУЮ СМЫСЛОВУЮ НАГРУЗКУ.
ЭЛЕКТРОННО-ВЫЧИСЛИТЕЛЬНАЯ МАШИНА (ЭВМ) ИЛИ КОМПЬЮТЕР (англ. computer- -вычислитель)-УСТРОЙСТВО ДЛЯ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИНФОРМАЦИИ. Принципиальное отличие использования ЭВМ от всех других способов обработки информации заключается в способности выполнения определенных операций без непосредственного участия человека, но по заранее составленной им программе. Информация в современном мире приравнивается по своему значению для развития общества или страны к важнейшим ресурсам наряду с сырьем и энергией. Еще в 1971 году президент Академии наук США Ф.Хандлер говорил: "Наша экономика основана не на естественных ресурсах, а на умах и применении научного знания".
В развитых странах большинство работающих заняты не в сфере производства, а в той или иной степени занимаются обработкой информации. Поэтому философы называют нашу эпоху постиндустриальной. В 1983 году американский сенатор Г.Харт охарактеризовал этот процесс так: "Мы переходим от экономики, основанной на тяжелой промышленности, к экономике, которая все больше ориентируется на информацию, новейшую технику и технологию, средства связи и услуги.."
2. КРАТКАЯ ИСТОРИЯ РАЗВИТИЯ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ.
Вся история развития человеческого общества связана с накоплением и обменом информацией (наскальная живопись, письменность, библиотеки, почта, телефон, радио, счеты и механические арифмометры и др.). Коренной перелом в области технологии обработки информации начался после второй мировой войны.
В вычислительных машинах первого поколения основными элементами были электронные лампы. Эти машины занимали громадные залы, весили сотни тонн и расходовали сотни киловатт электроэнергии. Их быстродействие и надежность были низкими, а стоимость достигала 500-700 тысяч долларов.
Появление более мощных и дешевых ЭВМ второго поколения стало возможным благодаря изобретению в 1948 году полупроводниковых устройств- транзисторов. Главный недостаток машин первого и второго поколений заключался в том, что они собирались из большого числа компонент, соединяемых между собой. Точки соединения (пайки) являются самыми ненадежными местами в электронной технике, поэтому эти ЭВМ часто выходили из строя.
В ЭВМ третьего поколения (с середины 60-х годов ХХ века) стали использоваться интегральные микросхемы (чипы)- устройства, содержащие в себе тысячи транзисторов и других элементов, но изготовляемые как единое целое, без сварных или паяных соединений этих элементов между собой. Это привело не только к резкому увеличению надежности ЭВМ, но и к снижению размеров, энергопотребления и стоимости (до 50 тысяч долларов).
История ЭВМ четвертого поколения началась в 1970 году, когда ранее никому не известная американская фирма INTEL создала большую интегральную схему (БИС), содержащую в себе практически всю основную электронику компьютера. Цена одной такой схемы (микропроцессора) составляла всего несколько десятков долларов, что в итоге и привело к снижению цен на ЭВМ до уровня доступных широкому кругу пользователей.
СОВРЕМЕННЫЕ КОМПЬТЕРЫ- ЭТО ЭВМ ЧЕТВЕРТОГО ПОКОЛЕНИЯ, В КОТОРЫХ ИСПОЛЬЗУЮТСЯ БОЛЬШИЕ ИНТЕГРАЛЬНЫЕ СХЕМЫ.
90-ые годы ХХ-го века ознаменовались бурным развитием компьютерных сетей, охватывающих весь мир. Именно к началу 90-ых количество подключенных к ним компьютеров достигло такого большого значения, что объем ресурсов доступных пользователям сетей привел к переходу ЭВМ в новое качество. Компьютеры стали инструментом для принципиально нового способа общения людей через сети, обеспечивающего практически неограниченный доступ к информации, находящейся на огромном множестве компьюторов во всем мире - "глобальной информационной среде обитания".
6.ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ В КОМПЬЮТЕРЕ И ЕЕ ОБЪЕМ.
ЭТО СВЯЗАНО С ТЕМ, ЧТО ИНФОРМАЦИЮ, ПРЕДСТАВЛЕННУЮ В ТАКОМ ВИДЕ, ЛЕГКО ТЕХНИЧЕСКИ СМОДЕЛИРОВАТЬ, НАПРИМЕР, В ВИДЕ ЭЛЕКТРИЧЕСКИХ СИГНАЛОВ. Если в какой-то момент времени по проводнику идет ток, то по нему передается единица, если тока нет- ноль. Аналогично, если направление магнитного поля на каком-то участке поверхности магнитного диска одно- на этом участке записан ноль, другое- единица. Если определенный участок поверхности оптического диска отражает лазерный луч- на нем записан ноль, не отражает- единица.
ОБЪЕМ ИНФОРМАЦИИ, НЕОБХОДИМЫЙ ДЛЯ ЗАПОМИНАНИЯ ОДНОГО ИЗ ДВУХ СИМВОЛОВ-0 ИЛИ 1, НАЗЫВАЕТСЯ 1 БИТ (англ. binary digit- двоичная единица). 1 бит- минимально возможный объем информации. Он соответствует промежутку времени, в течение которого по проводнику передается или не передается электрический сигнал, участку поверхности магнитного диска, частицы которого намагничены в том или другом направлении, участку поверхности оптического диска, который отражает или не отражает лазерный луч, одному триггеру, находящемуся в одном из двух возможных состояний.
Итак, если у нас есть один бит, то с его помощью мы можем закодировать один из двух символов- либо 0, либо 1.
Если же есть 2 бита, то из них можно составить один из четырех вариантов кодов: 00 , 01 , 10 , 11 .
Если есть 3 бита- один из восьми: 000 , 001 , 010 , 100 , 110 , 101 , 011 , 111 .
1 бит- 2 варианта,
2 бита- 4 варианта,
3 бита- 8 вариантов;
Продолжая дальше, получим:
4 бита- 16 вариантов,
5 бит- 32 варианта,
6 бит- 64 варианта,
7 бит- 128 вариантов,
8 бит- 256 вариантов,
9 бит- 512 вариантов,
10 бит- 1024 варианта,
N бит - 2 в степени N вариантов.
В обычной жизни нам достаточно 150-160 стандартных символов (больших и маленьких русских и латинских букв, цифр, знаков препинания, арифметических действий и т.п.). Если каждому из них будет соответствовать свой код из нулей и единиц, то 7 бит для этого будет недостаточно (7 бит позволят закодировать только 128 различных символов), поэтому используют 8 бит.
ДЛЯ КОДИРОВАНИЯ ОДНОГО ПРИВЫЧНОГО ЧЕЛОВЕКУ СИМВОЛА В КОМПЬЮТЕРЕ ИСПОЛЬЗУЕТСЯ 8 БИТ, ЧТО ПОЗВОЛЯЕТ ЗАКОДИРОВАТЬ 256 РАЗЛИЧНЫХ СИМВОЛОВ.
СТАНДАРТНЫЙ НАБОР ИЗ 256 СИМВОЛОВ НАЗЫВАЕТСЯ ASCII ( произносится "аски", означает "Американский Стандартный Код для Обмена Информацией"- англ. American Standart Code for Information Interchange).
ОН ВКЛЮЧАЕТ В СЕБЯ БОЛЬШИЕ И МАЛЕНЬКИЕ РУССКИЕ И ЛАТИНСКИЕ БУКВЫ, ЦИФРЫ, ЗНАКИ ПРЕПИНАНИЯ И АРИФМЕТИЧЕСКИХ ДЕЙСТВИЙ И Т.П.
A - 01000001, B - 01000010, C - 01000011, D - 01000100, и т.д.
Таким образом, если человек создает текстовый файл и записывает его на диск, то на самом деле каждый введенный человеком символ хранится в памяти компьютера в виде набора из восьми нулей и единиц. При выводе этого текста на экран или на бумагу специальные схемы - знакогенераторы видеоадаптера (устройства, управляющего работой дисплея) или принтера образуют в соответствии с этими кодами изображения соответствующих символов.
Набор ASCII был разработан в США Американским Национальным Институтом Стандартов (ANSI), но может быть использован и в других странах, поскольку вторая половина из 256 стандартных символов, т.е. 128 символов, могут быть с помощью специальных программ заменены на другие, в частности на символы национального алфавита, в нашем случае - буквы кириллицы. Поэтому, например, передавать по электронной почте за границу тексты, содержащие русские буквы, бессмысленно. В англоязычных странах на экране дисплея вместо русской буквы Ь будет высвечиваться символ английского фунта стерлинга, вместо буквы р - греческая буква альфа, вместо буквы л - одна вторая и т.д.
ОБЪЕМ ИНФОРМАЦИИ, НЕОБХОДИМЫЙ ДЛЯ ЗАПОМИНАНИЯ ОДНОГО СИМВОЛА ASCII НАЗЫВАЕТСЯ 1 БАЙТ.
Очевидно что, поскольку под один стандартный ASCII-символ отводится 8 бит,
Остальные единицы объема информации являются производными от байта:
1 КИЛОБАЙТ = 1024 БАЙТА И СООТВЕТСТВУЕТ ПРИМЕРНО ПОЛОВИНЕ СТРАНИЦЫ ТЕКСТА,
1 МЕГАБАЙТ = 1024 КИЛОБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 500 СТРАНИЦАМ ТЕКСТА,
1 ГИГАБАЙТ = 1024 МЕГАБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 2 КОМПЛЕКТАМ ЭНЦИКЛОПЕДИИ,
1 ТЕРАБАЙТ = 1024 ГИГАБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 2000 КОМПЛЕКТАМ ЭНЦИКЛОПЕДИИ.
Обратите внимание, что в информатике смысл приставок кило- , мега- и других в общепринятом смысле выполняется не точно, а приближенно, поскольку соответствует увеличению не в 1000, а в 1024 раза.
СКОРОСТЬ ПЕРЕДАЧИ ИНФОРМАЦИИ ПО ЛИНИЯМ СВЯЗИ ИЗМЕРЯЕТСЯ В БОДАХ.
1 БОД = 1 БИТ/СЕК.
В частности, если говорят, что пропускная способность какого-то устройства составляет 28 Килобод, то это значит, что с его помощью можно передать по линии связи около 28 тысяч нулей и единиц за одну секунду.
7. СЖАТИЕ ИНФОРМАЦИИ НА ДИСКЕ
ИНФОРМАЦИЮ НА ДИСКЕ МОЖНО ОБРАБОТАТЬ С ПОМОЩЬЮ СПЕЦИАЛЬНЫХ ПРОГРАММ ТАКИМ ОБРАЗОМ, ЧТОБЫ ОНА ЗАНИМАЛА МЕНЬШИЙ ОБЪЕМ.
Существуют различные методы сжатия информации. Некоторые из них ориентированы на сжатие текстовых файлов, другие - графических, и т.д. Однако во всех них используется общая идея, заключающаяся в замене повторяющихся последовательностей бит более короткими кодами. Например, в романе Л.Н.Толстого "Война и мир" несколько миллионов слов, но большинство из них повторяется не один раз, а некоторые- до нескольких тысяч раз. Если все слова пронумеровать, текст можно хранить в виде последовательности чисел - по одному на слово, причем если повторяются слова, то повторяются и числа. Поэтому, такой текст (особенно очень большой, поскольку в нем чаще будут повторяться одни и те же слова) будет занимать меньше места.
Сжатие информации используют, если объем носителя информации недостаточен для хранения требуемого объема информации или информацию надо послать по электронной почте
Программы, используемые при сжатии отдельных файлов называются архиваторами. Эти программы часто позволяют достичь степени сжатия информации в несколько раз.
Приглашаем всех желающих на вебинар «Туры в исследовательском тестировании». На этом открытом уроке рассмотрим основные туры исследовательского тестирования, благодаря чему можно систематизировать подходу к тестированию больших задач.
Несмотря на то, что у нас так много внутренних и внешних угроз для баз данных, в этом учебнике мы рассмотрим лишь некоторые из них.
Обычно это происходит, когда пользователям базы данных предоставляются многочисленные привилегии в системе, что приводит к злоупотреблению привилегиями, которое может быть чрезмерным, законным или неиспользуемым. Это действие может быть совершено как действующими, так и бывшими сотрудниками компании.
Существуют некоторые меры контроля, которые должны быть реализованы, как показано ниже:
Приложите все усилия для внедрения очень строгой политики контроля доступа и контроля привилегий.
Убедитесь, что вы не предоставляете и не утверждаете чрезмерные привилегии всем сотрудникам, и постарайтесь, насколько это возможно, выделить время для немедленной деактивации любых устаревших привилегий.
Этот тип атаки внедрения SQL-кода происходит, когда вредоносный код внедряется через фронт-энд веб-приложения и затем передается в бэк-энд. Этот процесс позволяет злоумышленнику получить абсолютный доступ к информации, хранящейся в базе данных.
Целью этого всего обычно является кража данных или их повреждение. Внедрение SQL-кода нацелено на традиционные базы данных, а Внедрение NoSQL кода - на базы BIG Data
Согласно некоторым стандартам безопасности, каждое событие в базе данных должно быть записано для целей аудита. Если вы не можете представить доказательства наличия журнала аудита базы данных, то это может представлять собой очень серьезный риск для безопасности, поскольку в случае вторжения невозможно будет провести расследование.
Каждой организации необходим очень хороший план резервного копирования, но когда резервные копии доступны, они становятся открытыми для компрометации и кражи. У нас было много случаев нарушения безопасности, которые были успешными только потому, что резервная копия базы данных была открыта.
Шифрование и аудит производственных баз данных и резервных копий - лучшая форма защиты корпоративных конфиденциальных данных.
Некоторые из угроз, встречающихся в базе данных, являются результатом их неправильной конфигурации. Злоумышленники обычно пользуются базой данных, которая имеет стандартную учетную запись и настройки конфигурации.
Это тревожный сигнал, что при настройке базы данных не должно быть ничего похожего на учетную запись по умолчанию, а параметры должны быть настроены таким образом, чтобы злоумышленнику было сложно что-либо сделать.
Если не хватает опыта в области безопасности и отсутствуют основные правила безопасности базы данных, то это может привести к утечке данных. Сотрудникам службы безопасности может не хватать знаний, необходимых для внедрения средств контроля безопасности и других политик безопасности.
Это тип атаки, который влияет на доступность сервиса, он влияет на производительность сервера базы данных и делает сервис базы данных недоступным для пользователей.
Например, если есть запрос на очень важные финансовые данные, а база данных недоступна из-за DoS, то это может привести к потере денег.
Некоторые корпоративные организации не умеют правильно управлять своими конфиденциальными данными, они не ведут их точную инвентаризацию, и таким образом некоторые из этих конфиденциальных данных могут попасть в чужие руки. Если не провести надлежащую инвентаризацию новых данных, добавленных в базу, то они могут стать уязвимыми.
Поэтому очень важно шифровать данные в состоянии покоя и применять необходимые разрешения и средства контроля.
Тестирование безопасности базы данных
Зачем мы проводим тестирование безопасности базы данных? Этот тест проводится для обнаружения любых слабых мест или уязвимостей в конфигурации безопасности базы данных и для смягчения последствий любого нежелательного доступа к базе данных.
Все конфиденциальные данные должны быть защищены от злоумышленников, поэтому регулярные проверки безопасности очень важны и обязательны.
Ниже перечислены основные причины, по которым тестирование безопасности базы данных является обязательным:
Этот процесс включает в себя тестирование различных уровней на основе бизнес-требований. К тестируемым уровням относятся бизнес-уровень, уровень доступа и уровень пользовательского интерфейса.
Процесс тестирования базы данных
Подготовка (например, среды)
Типы тестирования безопасности баз данных
Тест на проникновение: Это процесс имитации кибер-атаки на сеть, компьютерную систему или веб-приложение для обнаружения в них любых уязвимостей.
Сканер уязвимостей: Это использование сканера для сканирования системы на наличие известных уязвимостей с целью их устранения и исправления.
Аудит безопасности: Это процесс оценки реализации и соответствия политик и стандартов безопасности организации.
Оценка рисков: Это общий процесс выявления всех опасностей и рисков, способных нанести серьезный вред системе.
Преимущества использования инструмента для тестирования баз данных
Основная причина, по которой мы используем инструмент, заключается в том, что он быстрее выполняет задачи, что позволяет экономить время. Большинство современных методов тестирования выполняются с помощью некоторых из этих инструментов.
В Интернете есть как платные, так и бесплатные инструменты тестирования, которые можно использовать, и которые очень просты для понимания и эффективного использования. Эти инструменты можно разделить на инструменты тестирования нагрузки и производительности, инструменты генерации тестовых данных и инструменты на основе SQL.
Поскольку существует большая вероятность того, что в базе данных может быть обнаружена какая-то нестабильность, это обуславливает необходимость проведения БД тестирования (базы данных) перед запуском приложения.
Это тестирование должно проводиться на самом раннем этапе жизненного цикла разработки программного обеспечения, чтобы иметь представление об уязвимостях, существующих в системе баз данных, а использование некоторых из этих инструментов поможет обнаружить их эффективно и действенно.
Если произойдет сбой базы данных, то это сделает все приложение или систему бесполезной, что может привести к более серьезным последствиям. Причина, по которой периодическое тестирование важно, заключается в том, что оно обеспечивает производительность системы.
Список нескольких лучших инструментов для тестирования баз данных:
Генератор данных DTM
Oracle SQL Developer
Техники тестирования безопасности баз данных
При тестировании безопасности базы данных могут применяться различные техники тестирования. Ниже мы рассмотрим некоторые из этих методов:
Это преднамеренная атака на систему с целью найти уязвимости в системе безопасности, благодаря которым злоумышленник может получить доступ ко всей системе, включая базу данных. Если слабая сторона найдена, то немедленным действием является устранение и ослабление любой угрозы, которую может вызвать такая уязвимость.
Это процесс проведения оценки риска для определения уровня риска, связанного с типом внедренной конфигурации безопасности базы данных, и возможности обнаружения уязвимости. Такая оценка обычно проводится экспертами по безопасности, которые могут проанализировать степень риска, связанного с тем или иным процессом.
Это включает в себя надлежащую санацию значений, которые вставляются в базу данных. Например, ввод специального символа ',' или ключевых слов типа SELECT должен быть запрещен в любом приложении.
Если такая проверка не предусмотрена, то база данных, распознающая язык запросов, будет воспринимать запрос как правильный.
Если на входе появляется ошибка базы данных, это означает, что запрос поступил в базу данных и был выполнен либо с положительным, либо с отрицательным ответом. При таком сценарии база данных очень уязвима для SQL-внедрения.
SQL-внедрение является основным вектором атаки сегодня, поскольку с его помощью злоумышленник получает доступ к базе данных приложения, содержащей очень важные данные.
Интерфейсом, через который обычно осуществляется эта атака, являются формы ввода в приложении, и чтобы решить эту проблему, необходимо сделать соответствующую очистку ввода. Проверка на SQL -внедрение должна проводиться для каждой скобки, запятой и кавычек, используемых в интерфейсе ввода.
Во время тестирования всегда очень важно убедиться, что в системе поддерживается строгая политика паролей. Поэтому при проведении тестирования на проникновение очень важно проверить, соблюдается ли эта политика паролей. Мы можем сделать это, ведя себя как хакер, который использует инструмент для взлома паролей или угадывает другое имя пользователя/пароль.
Компании, которые разрабатывают или используют финансовые приложения, должны убедиться в том, что они установили строгую политику паролей для своей системы управления базами данных.
Необходимо регулярно проводить аудит безопасности, чтобы оценить политику безопасности организации и выяснить, соблюдаются ли стандарты или нет.
Существуют различные предприятия со своими особыми стандартами безопасности, и если эти стандарты установлены, то от них уже нельзя отказаться. Если кто-то не соблюдает какой-либо из этих стандартов, то это будет считаться серьезным нарушением. Одним из примеров стандарта безопасности является ISO 27001.
Часто задаваемые вопросы
Вопрос №1) Какие существуют виды тестирования безопасности?
Ответ:
Тест на проникновение
Ответ:
Неограниченные привилегии базы данных
Плохой аудиторский след
Открытые резервные копии баз данных
Отсутствие опыта в области безопасности
Неправильная конфигурация базы данных
Отказ в обслуживании
Вопрос № 3) Что такое инструменты тестирования безопасности?
Ответ: Это такие инструменты тестирования, которые используются для обнаружения уязвимостей, угроз и рисков в приложении, и их немедленное устранение для предотвращения любой вредоносной атаки.
Вопрос № 4) Как проводится тестирование безопасности?
Ответ:
Тестирование точек доступа.
Тестирование вредоносного скрипта.
Тестирование уровня защиты данных.
Тестирование обработки ошибок.
Заключение
Каждая организация должна сделать безопасность базы данных неотъемлемой частью своей повседневной деятельности, поскольку данные - это ключ к успеху. Они не должны думать о стоимости, которая будет потрачена на создание структуры, а должны думать о рентабельности.
Существуют различные инструменты тестирования, которые компания может начать использовать и включить их в свой план тестирования безопасности.
Когда вы убедитесь в том, как плохое обеспечение безопасности баз данных влияет на некоторые организации, вы увидите, какой хаос происходит и как некоторые так и не смогли выжить. Поэтому совет заключается в том, чтобы очень серьезно относиться к безопасности вашей базы данных.
В финансовом секторе в базах данных хранится информация о клиентах, их счетах, денежных транзакциях, в нефтегазовом секторе – показатели добычи, транспортировки, хранения и отгрузки нефтепродуктов.
Автор: Юрий Бутузов, эксперт в области средств защиты информации компании «ICL Системные технологии»
Возрастающая роль информации в жизни современных компаний привела к взрывному росту объемов данных. Более половины из них хранятся в формате баз данных. И очень часто в общей массе присутствуют в том числе и «критичная» информация. В финансовом секторе в базах данных хранится информация о клиентах, их счетах, денежных транзакциях, в нефтегазовом секторе – показатели добычи, транспортировки, хранения и отгрузки нефтепродуктов.
ВОЗМОЖНЫЕ РИСКИ И ПРИМЕРЫ РЕАЛЬНЫХ ИНЦИДЕНТОВ
К базам данных постоянно приковано пристальное внимание злоумышленников, как внутренних, так и внешних.
Ежедневно в российских компаниях происходит множество инцидентов нарушения политик безопасности.
Пример атаки изнутри:
Администратор безопасности в финансовой организации, используя свои права, осуществлял перемещение денежных средств между счетами. Операция выполнялась в самой базе данных, при этом журнал регистрации действий отключался, либо производилась его чистка.
Пример атаки извне:
Данные при их передаче между подразделениями компании не защищались при помощи криптографии, оставляя возможность их прослушивания и снятия копии с сетевого оборудования.
МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАЗ ДАННЫХ
Почти все крупные производители систем управления базами данных направляют свои усилия на преодоление существующих и уже известных уязвимостей, реализацию основных моделей доступа и рассмотрение вопросов, специфичных для конкретной СУБД. Такой подход обеспечивает решение конкретных задач, но не способствует появлению общей концепции безопасности для такого класса ПО, как СУБД. Это значительно усложняет задачу по обеспечению безопасности баз данных.
Для обеспечения защиты баз данных необходим целый комплекс мер, обеспечивающих их защиту. Условно их можно разделить на основные и дополнительные.
Контроль доступа
Контроль доступа обеспечивает защиту не только от внешних и внутренних злоумышленников, но в том числе позволяет защититься от ошибок персонала, приводящих к потерям эквивалентным реализации атаки злоумышленником. Он реализуется исходя из принципа минимального уровня привилегий и строится для двух основных категорий пользователей: администраторы и пользователи.
Для администратора в каждой БД указываются только те права, которые необходимы ему для выполнения рабочих функций. Даже если все задачи администрирования реализуются единственным сотрудником, разделение прав доступа должно применяться.
Криптографическая защита
С точки зрения баз данных следует выделить две составляющие: обеспечение защиты данных при их передаче и обеспечение защиты данных при их хранении. Однако ни в коем случае не следует рассматривать криптографическую защиту как решение способное обеспечить противодействие всем угрозам.
Аудит
Аудит позволяет контролировать активность пользователей/администраторов, чтобы они не использовали данные им права доступа в корыстных целях. Причем рекомендуется проводить централизацию данных аудита на внешней системе, поскольку это существенным образом снижает риски того, что данные аудита могут быть изменены.
Разделение компонент
Разделение баз данных на типы в зависимости от выполняемых на них задач – промышленная, тестовая, для разработки - является общепризнанной практикой устоявшейся в течении множества лет.
Если в процессе разработки возникла ситуация, связанная с необходимостью разбора проблем в рабочем окружении, рекомендуется применить маскирование данных. Оно позволяет для данных, указанных как критические, проводить замену реальной информации, на эквивалентную, но отличающуюся от реальной, сохраняя при этом структуру данных. Этот механизм безопасен и обеспечивает полную функциональность в среде разработки и тестирования.
Безопасное конфигурирование
Создание автоматизированной среды обеспечения безопасной работы с базами данных должно включать в себя: выявление баз данных, сканирование по профилям безопасности, фиксация конфигураций и т.п.
Даже в случае если база данных прошла процедуру настройки параметров безопасности, это не исключает постоянного контроля её состояния, ввиду того, что пользователи своими действиями могут снижать защищённость, неосознанно открывая возможности для проникновения злоумышленника и эксплуатации уязвимостей.
ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАЗ ДАННЫХ
Обеспечение безопасности Web-приложений
Ввиду того что Web-приложения являются неотъемлемой частью практически любой базы данных, мероприятия, направленные на их защиту, позволяют за сравнительно короткий срок, без влияния на сам процесс работы с базами данных, повысить их защищённость от проникновений из внешней среды.
В условиях работы в рамках требований Российского законодательства, одним из неотъемлемых требований является наличие действующего сертификата ФСТЭК.
На рынке РФ наиболее часто встречаются решения компании Imperva и Positive Technologies. Также можно выделить решения таких производителей как Код Безопасности, Radware и F5 (последние два решения не имеют сертификатов ФСТЭК).
Возможности WAF позволяют реализовать практически любую конфигурацию, в том числе и для высоконагруженных систем.
Физическое разделение компонент БД, контроль доступа на сетевом уровне
Разделение компонент баз данных на сетевом уровне должно производиться при помощи межсетевых экранов, обеспечивающих контроль доступа с проверкой состояния сессии и желательно с проверкой пользователей по их учётным данным (интеграция с LDAP, Active Directory и пр.).
Помимо реализации функций разделения, желательно чтобы межсетевой экран обладал функционалом обнаружения и предотвращения вторжений.
Наличие наглядных средств администрирования и визуализации событий в межсетевых экранах, является несомненным плюсом ввиду прямого влияния на операционные расходы, связанные с расследованием инцидентов. В качестве возможных вариантов для решения данной задачи являются продукты компании Check Point Software Technologies, PaloAlto Networks, Cisco Systems, Инфотекс, Код Безопасности и т.п.
Контроль доступа и аудит действий пользователей и администраторов
Реализация функций по контролю доступа, разделению прав, и выполнению аудита всех действий, может быть выполнена встроенными средствами БД. Однако, следует отметить, что включение функций по встроенному аудиту, как того требуют задачи по обеспечению безопасности (т.е. не только базовый набор команд), приводит к возрастанию нагрузки на аппаратные ресурсы от 10 до 30% в зависимости от базы данных, что в свою очередь влечёт неэффективную растрату дорогих аппаратных ресурсов. Реализация функций аудита встроенными средствами БД, в любом случае оставляет возможность администратору отключить этот аудит.
В связи с этим наиболее рациональным путём является вынесение задач по аудиту на внешнюю систему, обеспечивающую запись всех действий, выполняемых в БД пользователями и администраторами.
В качестве подобного решения возможно применение продуктов компаний Imperva Inc, МФИ Софт. Применительно к продуктам компании Imperva Inc, то помимо функций по внешнему аудиту, они позволяют в том числе реализовывать задачи по разграничению доступа в том числе доступа к отдельным таблицам, содержащим критические данные.
В общем виде, решение сможет состоять из нескольких компонент обеспечивающих реализацию различных функций, в частности:
Сервер управления – для управления и сбора данных со всех компонент решения;
Шлюз – реализующий функции разграничения доступа и аудита для сетевых обращений;
Агент – реализующий функции разграничения доступа и аудита для операций, выполняемых непосредственно с БД (данный способ работы должен быть максимально ограничен).
Обычный межсетевой экран не позволяет работать с данными на уровне sql – запросов, разбирая их и выстраивая для них профиль защиты. Именно это и привело к появлению решений подобных решениям от компаний Imperva и МФИ Софт.
Разделение компонент
Разделение базы данных на среды разработки, тестирования и промышленную среду, является обязательным требованием и неотъемлемой частью всех рекомендаций по безопасности. Однако это, в свою очередь рождает проблемы своевременного получения обновлений, данных из промышленной среды в тестовую и разработки, быстрого восстановления и обслуживания нескольких копий среды разработки и тестирования (ввиду того, что одни и те же обновления могут проверяться как одновременно разными сотрудниками и разработчиками, так и для разных состояний одной и той же базы данных). Таким образом, быстрый перенос данных из одной среды в другую, восстановление копий баз данных и их администрирование начинает существенно влиять на операционные расходы.
Решить данные проблемы можно с помощью продуктов компании DelphiX, которые также позволяют параллельно решить задачу маскирования данных в среде тестирования и разработки.
DelphiX позволяет виртуализовать базу данных, быстро и эффективно работать с копиями баз данных и информацией в ней (восстанавливая/откатывая/удаляя данные и состояние базы данных на желаемый момент времени), а также обеспечить изменение данных переносимых из промышленной базы данных в среды разработки и тестирования выполнив тем самым их маскирование.
Немаловажной задачей является проверка устанавливаемых на базу данных и её компоненты обновлений ПО. Необходимость постоянного обновления баз данных и её компонент с одной стороны может быть вызвана требованиями бизнеса (по добавлению нового функционала), а с другой стороны требованиями безопасности (устранение выявленных уязвимостей). Решить данную задачу в том числе возможно путём отработки изменений на виртуальных копиях базы данных.
Постоянный контроль за изменениями, происходящими с базами данных и их компонентами, анализ их защищённости и подверженности уязвимостям должен быть выделен в отдельный процесс, осуществляемый администраторами компании, администраторами баз данных и разработчиками.
Для обнаружения и анализа уязвимостей в базах данных следует использовать сканеры безопасности (MaxPatrol от компании Positive Technologiees, Nessus от компании Tenable Network Security, Inc и пр.), при этом их применение должно выполняться в строго согласованные технологические “окна” c соблюдением требований по предварительному резервированию текущих конфигураций в базе данных.
Сканирование при помощи технического инструментария должно выполняться по заранее подготовленным профилям сканирования актуальным для выполняемой задачи. Результаты сканирования должны разбираться и интерпретироваться соответствующими специалистами, чтобы с одной стороны максимально точно настроить профиль сканирования, а с другой чётко обозначить выявленные недостатки в конфигурациях баз данных, уязвимости и недостающие обновления.
Результатом проводимой работы должно явиться поддержание неизменности настроек безопасности в базах данных и её компонентах, выявление отклонений от утверждённых профилей безопасности и своевременное устранение выявляемых уязвимостей путём обновления соответствующих компонент.
Выявление отклонений в поведении пользователей/администраторов
Решения, анализирующие профиль поведения пользователей и администраторов, позволяют в том числе эффективно бороться с мошенническими действиями злоумышленников даже в том случае, если у них по каким-либо причинам оказались легитимные учётные записи.
В качестве подобных решений могут применяться системы UBA (User Behavioral Analysis), принцип работы которых строиться на основании составления профиля поведения для каждого контролируемого субъекта при его операциях с объектами доступа. При этом следует учитывать факты срабатывания подобных систем в случаях появления дополнительных полномочий у субъектов доступа, изменения их прав и добавления новых объектов с которыми осуществляется работа.
Ввиду вышесказанного наиболее целесообразным является применение систем UBA в связке с другими системами, фиксирующими правомерность изменения прав субъектов доступа, создание новых объектов доступа и т.п.
ОПЕРАЦИОННЫЕ МЕРЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ БАЗ ДАННЫХ И ИХ КОМПОНЕНТ
Обязательной составляющей обеспечения безопасности баз данных и их компонент является создание непрерывного рабочего процесса, состоящего из шести шагов.
Выявление – на данном шаге проводиться выявление всех компонент системы, их инвентаризация.
Классификация – проводится выявление ценных данных, оценивается их влияние на бизнес процессы, и подверженность требованиям регуляторов.
Оценка – проведение сканирования на предмет выявления неправильных настроек, появления лишних прав или пользователей, выявление уязвимостей и недостающих обновлений, изменений относительно предыдущих сканирований или базовых требований.
Приоритезация – совмещение информации полученной на шагах классификации и оценки с тем, чтобы определить, что требуется устранить, для чего необходимо принять компенсирующие меры (в виде отслеживания) и в каком порядке что выполнять.
Устранение замечаний – создание и выполнение процедур, устраняющих выявленные недостатки, применение обновлений ПО, создание политик по отслеживанию и контролю доступа, применение компенсирующих мер.
Отслеживание – аудит и контроль привилегированного доступа. Доступа к ценным данным. Отслеживание (monitoring) применения эксплоитов и другого вредоносного ПО, выявление отклонений в действиях субъектов от обычных профилей поведения.
ЗАКЛЮЧЕНИЕ
В заключении хочу сказать, что безопасность баз данных - их компонент и содержимого - является комплексной задачей, для решения которой следует подходить с учётом множества составляющих, не ограничиваясь фрагментарными мерами, закрывающими отдельно взятую задачу.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Что такое вредоносное ПО?
Malware – программное обеспечение, которое может быть использовано для компрометации компьютера, кражи данных, контроля доступа, или причинения вреда компьютеру. Вредоносное ПО – это широкий термин, обозначающий множество вредоносных программ. В этом посте будут определены несколько наиболее распространенных типов вредоносных программ; рекламное ПО, боты, ошибки, руткиты, шпионское ПО, троянские кони, вирусы и черви.
Adware
Adware или advertising-supported software (рекламное ПО) – это тип вредоносного ПО, которое автоматически доставляет рекламные объявления. Распространенные примеры рекламного ПО включают всплывающие окна с рекламой на веб-сайтах и рекламные объявления, отображаемые программным обеспечением. Часто программное обеспечение и приложения предлагают «бесплатные» версии, которые поставляются вместе с рекламным ПО. Большинство рекламного ПО спонсируется или создается рекламодателями и служит инструментом получения дохода. Хотя некоторое рекламное ПО предназначено исключительно для доставки рекламы, нередко рекламное ПО поставляется в комплекте со шпионским ПО (см. ниже), способным отслеживать активность пользователей и красть информацию. Из-за дополнительных возможностей шпионского ПО пакеты рекламного/шпионского ПО значительно опаснее, чем сами по себе рекламные программы.
Bot (бот)
Боты – это программы, созданные для автоматического выполнения определенных операций. Хотя некоторые боты создаются для относительно безобидных целей (видеоигры, интернет-аукционы, онлайн-конкурсы и т. д.), становится все более распространенным злонамеренное использование ботов. Ботов можно использовать в ботнетах (коллекциях компьютеров, которые будут контролироваться третьими сторонами) для DDoS-атак, в качестве спам-ботов, отображающих рекламу на веб-сайтах, в качестве веб-пауков, которые очищают данные сервера, и для распространения вредоносных программ, замаскированных под популярные элементы поиска на сайтах загрузки. Веб-сайты могут защищать от ботов с помощью тестов CAPTCHA, которые проверяют пользователей как людей.
Bug
В контексте программного обеспечения баг (ошибка) – это недостаток, приводящий к нежелательному результату. Эти недостатки обычно являются результатом человеческой ошибки и обычно присутствуют в исходном коде или компиляторах программы. Незначительные баги лишь незначительно влияют на поведение программы и, как следствие, могут сохраняться в течение долгого времени, прежде чем будут обнаружены. Более серьезные баги могут вызвать сбой или зависание. Ошибки безопасности являются наиболее серьезным типом ошибок и могут позволить злоумышленникам обойти проверку подлинности пользователя, переопределить права доступа или украсть данные. Баги можно предотвратить с помощью инструментов обучения разработчиков, контроля качества и анализа кода.
Ransomware (программы-вымогатели)
Rootkit (Руткит)
Руткит представляет собой тип вредоносного программного обеспечения для удаленного доступа или управления компьютером без обнаружения пользователей или программ безопасности.
После установки руткита злоумышленник, стоящий за руткитом, может удаленно запускать файлы, получать доступ / красть информацию, изменять конфигурации системы, изменять программное обеспечение (особенно любое программное обеспечение безопасности, которое может обнаруживать руткит), устанавливать скрытые вредоносные программы или управлять компьютером как частью ботнета. Предотвращение, обнаружение и удаление руткитов может быть затруднено из-за их скрытой работы. Поскольку руткит постоянно скрывает свое присутствие, обычные продукты безопасности неэффективны для обнаружения и удаления руткитов. В результате для обнаружения руткитов используются ручные методы, такие как мониторинг поведения компьютера на предмет нерегулярной активности, сканирование сигнатур и анализ дампа хранилища. Организации и пользователи могут защитить себя от руткитов, регулярно исправляя уязвимости в программном обеспечении, приложениях и операционных системах, обновляя описания вирусов, избегая подозрительных загрузок и выполняя сканирование со статическим анализом.
Spyware (Шпионское ПО)
Шпионское ПО – это тип вредоносного ПО, которое отслеживает действия пользователей без их ведома. Эти возможности шпионажа могут включать в себя мониторинг активности, сбор нажатий клавиш , сбор данных (информация об учетной записи, логины, финансовые данные) и многое другое. Шпионское ПО также часто имеет дополнительные возможности, от изменения настроек безопасности программного обеспечения или браузеров до вмешательства в сетевые соединения. Шпионское ПО распространяется, используя уязвимости программного обеспечения, связывая себя с законным ПО или троянами.
Trojan Horse (Троянский конь)
Троянский конь, широко известный как «троян», представляет собой тип вредоносного ПО, которое маскируется под обычный файл или программу, чтобы обманом заставить пользователей загрузить и установить вредоносное ПО. Троянец может предоставить злоумышленнику удаленный доступ к зараженному компьютеру. Как только злоумышленник получает доступ к зараженному компьютеру, он может украсть данные (логины, финансовые данные, даже электронные деньги), установить больше вредоносных программ, изменить файлы, контролировать активность пользователей (просмотр экрана, ведение кейлоггеров и т. компьютер в ботнетах и анонимизирует интернет-активность злоумышленника.
Virus (Вирус)
Вирус – это разновидность вредоносного ПО, которое способно копировать себя и распространяться на другие компьютеры. Вирусы часто распространяются на другие компьютеры, присоединяясь к различным программам и выполняя код, когда пользователь запускает одну из этих зараженных программ. Вирусы также могут распространяться через файлы сценариев, документы и уязвимости межсайтового сценария в веб-приложениях. Вирусы можно использовать для кражи информации, нанесения вреда хост-компьютерам и сетям, создания бот-сетей, кражи денег, отображения рекламы и многого другого.
Worm (Червь)
Компьютерные черви – один из самых распространенных видов вредоносного ПО. Они распространяются по компьютерным сетям, используя уязвимости операционной системы. Черви обычно наносят вред своим хост-сетям, потребляя пропускную способность и перегружая веб-серверы. Компьютерные черви также могут содержать «полезные данные», которые повреждают хост-компьютеры. Полезные нагрузки — это фрагменты кода, написанные для выполнения действий на пораженных компьютерах, помимо простого распространения червя. Полезные нагрузки обычно предназначены для кражи данных, удаления файлов или создания ботнетов. Компьютерные черви можно классифицировать как тип компьютерных вирусов, но есть несколько характеристик, которые отличают компьютерных червей от обычных вирусов. Основное отличие состоит в том, что компьютерные черви обладают способностью к самовоспроизведению и независимому распространению, в то время как вирусы распространяются через человеческую деятельность (запуск программы, открытие файла и т. д.). Черви часто распространяются путем массовой рассылки писем с зараженными вложениями в контакты пользователей.
Симптомы вредоносного ПО
Хотя эти типы вредоносных программ сильно различаются по способам распространения и заражения компьютеров, все они могут вызывать схожие симптомы. Компьютеры, зараженные вредоносным ПО, могут проявлять любые из следующих симптомов:
Предотвращение и удаление вредоносного ПО
Существует несколько общих рекомендаций, которым должны следовать организации и отдельные пользователи для предотвращения заражения вредоносными программами. Некоторые случаи вредоносного ПО требуют специальных методов профилактики и лечения, но выполнение этих рекомендаций значительно повысит защиту пользователя от широкого спектра вредоносных программ:
- Установите и запустите антивирусное программное обеспечение и брандмауэр. При выборе программного обеспечения выберите программу, которая предлагает инструменты для обнаружения, помещения в карантин и удаления нескольких типов вредоносных программ. Как минимум, антивирусное ПО должно защищать от вирусов, шпионского, рекламного ПО, троянов и червей. Сочетание антивирусного программного обеспечения и брандмауэра гарантирует, что все входящие и существующие данные будут сканироваться на наличие вредоносных программ и что вредоносное ПО может быть безопасно удалено после обнаружения.
- Обновляйте программное обеспечение и операционные системы с помощью текущих исправлений уязвимостей. Эти патчи часто выпускаются для исправления ошибок или других недостатков безопасности, которые могут быть использованы злоумышленниками.
- Будьте бдительны при загрузке файлов, программ, вложений и т. д. Загрузки, которые кажутся странными или происходят из незнакомого источника, часто содержат вредоносное ПО.
Спам
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Основная черта компьютерного вируса - это способность к саморазмножению.
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы - заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.
Классификация
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ. В настоящее время не существует единой системы классификации и именования вирусов. Принято разделять вирусы:
- по поражаемым объектам;
- по поражаемым операционным системам и платформам (DOS,Microsoft Windows, Unix, Linux);
- по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
- по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
- по дополнительной вредоносной функциональности (бэкдоры, кейлогеры, шпионы, ботнеты и др.).
Пример классификации: по поражаемым объектам
Механизм распространения компьютерных вирусов
Основные цели любого компьютерного вируса - это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера).
Механизм
Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем может быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.
Каналы распространения
Последствия заражений компьютерными вирусами
Последствия инфицирования компьютера вредоносной программой могут быть как явными , так и неявными . К неявным обычно относят заражения программами, которые по своей сути являются вирусами, однако из-за ошибок в своем коде или нестандартному программному обеспечению целевого компьютера, вредоносную нагрузку выполнить не могут. При этом свое присутствие в системе они никак не выражают. Класс явных последствий с ростом числа вирусов постоянно увеличивается. Можно выделить следующие действия:
Самые распространенные вирусы
Черви
В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".
Типы червей в зависимости от способа проникновения в систему
После проникновения на компьютер, червь должен активироваться - иными словами запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя и тех, кто его не требует . На практике это означает, что бывают черви, которым необходимо, чтобы владелец компьютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами, например, используя ошибки в настройке или бреши в системе безопасности операционной системы. Отличительная особенность червей из первой группы - это использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя. В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии. Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).
Трояны
Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться. Это программы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий : кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.
Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет.
Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну. После проникновения на компьютер, трояну необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.
Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы - организаторы DDoS-атак.
Автор статьи
Читайте также: