您现在的位置是: 首页 > 专栏 >

针对小型企业的10个数据库安全提示

  • 2020-01-09 18:00:54

最近广为宣传的数据泄露有何共同点?除了丢失的笔记本电脑,被抢走的手持设备,垃圾箱潜水员,或从办公室实际割破PC的人之外,所有违规行为都涉及一个共同的实体:数据库。

“在过去两年中,超过2亿个人记录遭到泄露的个人记录中,至少有三分之一是从数据库中获取的,”应用安全营销和策略副总裁泰德·朱利安(Ted Julian)引用了隐私权交换所的数据泄露统计数据。此外,违规的频率和严重性正在增加。根据圣地亚哥的身份盗窃资源中心的数据,2007年,其个人信息被盗的美国人是2006年的四倍。

不要让数据库欺骗您。当然,它们的名称听起来可能很庄重(Oracle,Ingres)或纯真的(MySQL,SQL Server,Sleepycat)。但是,没有开箱即用的数据库是安全的。此外,由于数据库将大量潜在的有利可图的信息集中在一处,因此它们是主要目标。Enterprise Strategy Group的分析师Mark Bowker指出:“数据库确实是存储企业最重要的东西的地方。”这与公司的规模无关。

但是,由于其运营规模,大型组织确实获得了更多的数据违规关注。例如,9月,Ameritrade披露了一项涉及630万以上客户数据的违规行为。同时,TJX公司(零售商店TJ Maxx和Marshalls的所有者)最近提出了一项大规模集体诉讼,该诉讼因其不当存储和未能保护4570万客户的信用卡数据而引起。

虽然存储敏感或受管制的信息会使任何公司面临风险,但较小的企业可能会遭受更多损失。Imperva战略营销高级总监Mark Kraynak表示:“对于小型企业来说,数据丢失的影响要大得多,因为它们的基础设施较少。”“他们可能没有备份,也没有组织资金或响应团队来处理重大的公共违规行为或遭到起诉。”

那么,中小型组织如何才能确保其数据库最终不会破坏业务呢?专家提供10条提示来保护您的数据库:

1.知道您面临风险

没有包含连接到Internet的敏感信息的数据库吗?您仍然处于危险之中。Forrester Research估计,所有数据库漏洞中有70%是内部产生的,不需要Internet连接。不幸的是,检测内部攻击者可能非常困难,特别是因为构成最大威胁的人就是实际的数据库管理员(DBA)。

Forrester Research的分析师Noel Yuhanna指出:“ DBA可以在工作中享有一定程度的自由,这使得不好的DBA难以捉摸。”特别是,“由于DBA拥有对数据库中所有数据的完全访问权限,因此他们有可能在任何人不知情的情况下更改或删除数据。”

因此,对于DBA以及具有特权访问权限的任何其他用户,理想情况下,“您应该有一种安全的方式来记录他们所做的事情,因为您想确保他们没有做他们不应该做的事情,” Kraynak说。不过,大多数数据库专家都承认,数据库监视工具在很大程度上属于大型企业的领域。中小型公司通常需要首先关注更基本的问题。

2.优先考虑安全性

如果DBA有安全隐患,则还需要仔细检查其安全习惯。实际上,Yuhanna估计DBA在数据库安全性上平均仅花费其时间的7%。

对数据库安全性的关注很少,不足为奇。ESG的Bowker指出:“在SMB中,这全都在于退出该应用程序,退出该数据库,确保该数据库保持联机和可用状态以及保持适当的性能。”“不幸的是,安全性通常落在列表的底部。”

将数据库安全性添加到DBA作业描述中。

3.启用安全功能

默认情况下,数据库出厂时几乎没有启用安全控制。实际上,大多数数据库对于用户和管理员帐户都具有较弱的身份验证控制和众所周知的默认密码。

这是一种改进:Yuhanna说,某些较旧的数据库(尤其是Sybase和SQL Server)默认情况下不需要密码即可进行完整的数据库访问。但是,今天的数据库可以本地处理他所说的“三个A”:身份验证,授权和访问控制。启用此类功能。

4.修补数据库

在将任何数据放入数据库之前,“检查补丁程序级别,查看其配置方式,并查看哪些默认值可能容易受到攻击-从默认用户到默认打开的功能,”喀拉喀邦。“因此,您想对数据库进行评估并修复它们-这听起来并不容易。”

要获得帮助,请查看商业数据库漏洞扫描工具或免费选项,例如Imperva的Scuba。

5.限制数据库访问

接下来,在需要了解的基础上,限制对生产数据库以及基础硬件的数据库访问。

鲍克说,管理员密码经常是“开放的IT机密”,他以前经营一家中型公司的IT商店时就认罪了。“说实话,即使是像HR数据库这样简单的东西,所有IT人士都可以访问它,并且可以查询薪水和这类信息,只是因为我们没有诸如访问之类的前期控件。对数据库所在计算机的限制。”

6.禁止批发数据库复制

生产数据库通常具有指定的所有者或网守。但是,谁在复制数据库后监视数据库?简而言之,数据库的任何副本很可能都是不安全的,因此“这是内部威胁”,鲍克尔说。“ DBA,这些类型的人,那时他们都具有root用户访问权限,并且基本上可以读取任何内容。”不允许未经检查的数据库重复。

7.库存现有

数据库开箱即用地锁定数据库并禁止批量复制听起来不错,但是如何保护已经很大的数据库和副本呢?

公司必须定期查找和库存所有现有数据库。知道一个生产数据库可能隐藏许多副本。“通常,在许多企业中,您都有生产数据库,但是请猜,该数据库通常具有很多副本(例如,开发人员具有副本),并且许多数据库相互对应并相互调用,”鲍克。

大型组织经常使用自动发现工具来查找并持续监控数据库,以确保敏感信息不会以未加密的格式存储。专家说,但是,较小的组织可能已经知道哪些数据库包含敏感信息。

8.保护现有数据库的安全首先

使用数据库清单来处理风险最大的数据库。“有了这些信息,大多数SMB会发现它们可以消除某些[数据],掩盖某些信息,等等,从而最大程度地减少了它们的暴露,同时简化了他们需要进行的安全性改进,” Application的Julian说安全。

还评估数据库中的已知漏洞和补丁程序级别。Imperva的Kraynak说:“一旦完成了评估,就应该每季度重新进行一次评估,或者定期确保您有检查这些内容的流程,因为情况会发生变化。”

最后,研究用户帐户;Forrester估计30%的数据库帐户是重复帐户或无效帐户。为了防止心怀不满的前雇员,请定期清除闲置和重复的帐户。

9.扰乱共享数据

如果公司限制制作数据库副本,那么开发人员将如何获得开发和测试新应用程序所需的数据?销售经理如何在客户关系管理系统上培训新代理商?对于此类情况,Bowker建议使用Applimation,HP OuterBay,IBM Princeton Softech或Solix Technologies等公司的工具来对数据库进行子集化。

子集允许DBA(或敏感数据指定的守卫者)在首先删除,转换或伪造任何敏感信息之后,根据数据库子集的使用方式有选择地共享数据库的某些部分。例如,开发人员和测试人员可能会要求伪造的数据(例如信用卡号和社会保险号)仍然足够(就应用程序逻辑而言)足以代表真实的事物。

10.规划数据库退休

最后,请记住,数据库不会永远存在。Bowker说:“如果您要使用该术语,数据库的确会淘汰-或'废除'。”通常,这涉及使用带有标签的XML格式写出数据库,以方便以后的搜索或满足保留要求。与所有敏感数据一样,限制对这些XML文件的访问。

新的破损方程式

让业务经理签字同意上述提示可能需要改变态度。Kraynak说:“通常授予DBA使其工作并使其快速运行的任务。”“如果破裂,业务就会破裂,如果发展速度不够快,则本质上业务仍然会破裂。”

现在,只需将数据泄露因素纳入该破坏方程即可。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
Top