Podnikové databázy v minulosti patrili k systémom, ktoré nebývali vzdialene prístupné. S tým, ako podniky svojim zamestnancom aj partnerom umožňujú vzdialený prístup k stále širšej skupine aplikácií, sa však situácia mení.
Navyše aj samotné podnikové aplikácie sa prevádzkujú v cloude a podporujú vzdialenú správu. Útokom z prostredia internetu, predovšetkým SQL injection, sú tak dnes vystavené prakticky všetky databázy, bez ohľadu na to, aké konkrétne aplikácie sa nad nimi prevádzkujú. Insideri potom majú databázy za druhý najčastejší cieľ vôbec (po PC ostatných zamestnancov).
Zabezpečenie databáz v súčasnej praxi podnikového IT predstavuje často boľavé miesto. Prieskum Independent Oracle Users Group (IOUG) ukázal, že 58 % respondentov považuje práve databázy za aktuálne hlavnú bezpečnostnú slabinu. Pritom však najviac investícií mieri do zabezpečenia na úrovni sietí, nasledujú servery a databázy sa nachádzajú až na treťom mieste.
Dáta uložené v databázach bývajú cenné, motivácia útočníkov je preto veľká, a to v poslednom čase vrátane tvorcov ransomwaru; odvetvie kybernetického zločinu je veľmi inovatívne. V prípade zraniteľností zneužiteľných cez SQL injection k tomu navyše pristupuje fakt, že útočníci môžu tieto akcie pomerne ľahko (bez veľkých nákladov alebo špeciálnych technických prostriedkov) vykonávať a jednoducho na internete takto zraniteľné databázové inštancie vyhľadávať. Z druhej strany je pre podniky vzhľadom na zložitosť databázových aplikácií a množstvo existujúceho kódu pomerne ťažké sa pred týmito útokmi chrániť, všetok kód auditovať, eventuálne nahradiť. Nejakú systematickejšiu obranu proti SQL injection má nasadenú iba 37 % organizácií. Pritom administrátori databáz majú však k dispozícii štandardné nástroje, ktoré im umožňujú bezpečnosť prostredia podstatne zvýšiť – príkladom sú databázové firewally, ktoré umožňujú sledovať a filtrovať (blokovať) určité SQL dopyty aj ďalšiu komunikáciu medzi databázou a okolím.
Bezpečnostná stratégia by mala tiež brániť použitiu citlivých dát v testovacích a vývojových prostrediach, ktoré bývajú relatívne menej chránené. Prax, keď sa testovanie vykonáva napr. s nijako neošetrenými dátami o zákazníkoch a zamestnancoch z hlavného systému (tabuľky obsahujú platobné karty, osobné identifikačné údaje a pod.), je stále celkom bežná. Až 71 % organizácií z prieskumu IOUG pritom nepoužíva žiadne techniky maskovania dát, ktoré by tomu zabránili – útočníci potom vo výsledku môžu obchádzať aj napr. robustné zabezpečenie hlavného systému. Kľúčové je, aby správcovia mali nad infraštruktúrou databáz aj dát, ktoré obsahujú, prehľad – 39 % respondentov pritom pripustilo, že nemajú k dispozícii žiadny zoznam databáz, v ktorých sa ukladajú kritické alebo regulácii podliehajúce dáta. V prostredí súčasných informačných systémov nemusí byť zaistenie 100 % viditeľnosti jednoduché, ukazuje sa tým okrem iného aj význam prístupov, ktoré znižujú zložitosť prostredia IT ako celku.
Po identifikácii databáz s citlivými dátami by mala ihneď nasledovať implementácia šifrovania, a to tak pre uložené dáta „v pokoji“, ako aj na zabezpečenie dát, s ktorými sa pracuje alebo ktoré sa presúvajú. Aj tu sa naráža na problém so zložitosťou rôznych systémov, ktoré spolu pritom musia komunikovať; šifrovanie je, samozrejme, potrebné nasadiť tak, aby pri tom nedošlo k riziku náhodného poškodenia alebo nedostupnosti kritických dát a aplikácií. Iba 51 % organizácií z prieskumu verí, že majú tieto riziká zvládnuté.
Samozrejmosťou by mal byť proaktívny prístup k bezpečnosti databáz a monitoring ich prevádzky, schopný včas upozorniť na podozrivú aktivitu; tento prístup by napr. mohol výrazne znížiť aj škody spôsobované ransomwarom. Aj keď nástroje na sledovanie anomálií pri prevádzke databáz má k dispozícii 48 % organizácií, iba 32 % ich používa sústavne a automatizovaným spôsobom.
Pre databázy rovnako ako pre iné systémy je dôležité včasné nasadzovanie záplat – čo sa často nedeje kvôli neochote zasahovať do produkčného prostredia. Za zváženie preto stojí prevádzkovať databázové aplikácie aspoň čiastočne v režime služby, keď za nasadzovanie bezpečnostných opráv aj zabezpečenie prostredia ako celku preberá zodpovednosť poskytovateľ. Samozrejmosťou by malo byť zohľadniť bezpečnosť aj pri voľbe dodávateľa databázovej technológie. V neposlednom rade je dôležité aj nastavenie kompetencií: databázy alebo nad nimi postavené podnikové aplikácie typu ERP majú často vlastných správcov a nepatria pod právomoci oddelenia bezpečnosti IT ako celku; má to svoje dôvody, ale prináša aj riziká. Organizácia firemného IT môže mať mnoho podôb, ale na možnosť, že práve zabezpečenie databázy môže v dôsledku toho predstavovať slabý bod, je potrebné pamätať.
Zhrnuté, bezpečnosť databáz by pre podniky dnes mala byť prioritou. Týmto spôsobom je možné často ochrániť citlivé dáta aj pri prieniku útočníkov cez perimeter, t. j. ochranu oddeľujúcu firemné IT od okolia. Dôležité je vybudovať ďalšiu vrstvu ochrany priamo na úrovni kritických dát, čo najbližšie k ich zdroju. Detekcia útokov SQL injection, ochrana proti nim, mapovanie citlivých dát, ich šifrovanie a maskovanie pri použití mimo produkčného prostredia – týchto niekoľko techník a ich správne používanie (napr. formou osvedčených postupov – best practices) dokáže bezpečnostné riziká spojené s databázami výrazne obmedziť.
Autor: Jaroslav Kmeť, Country Technology Leader, Oracle Slovensko
