Οι προβληματισμοί σχετικά με την ασφάλεια αφορούν σήμερα σχεδόν κάθε τμήμα μιας σύγχρονης επιχείρησης. Οι περισσότεροι από αυτούς τους προβληματισμούς επικεντρώνονται γύρω από την αύξηση των παραβιάσεων από χάκερ, μια απειλή που συνεχίζει να ξεπερνά κατά πολύ άλλες μορφές επιθέσεων, και η οποία έχει αυξηθεί αναλογικά παράλληλα με τη σημερινή επικερδή μαύρη αγορά πληροφοριών. Από το λογισμικό υποκλοπής στοιχείων από τη RAM (RAM scraper) μέχρι το κακόβουλο λογισμικό κρυπτογράφησης, οι παραβιάσεις από χάκερ έχουν εξαπλωθεί ακόμα πιο γρήγορα καθώς στις τάξεις τους προστίθεται ένα κύμα μιμητών που εφαρμόζουν καινοτόμες μεθόδους. Αυτή η τάση έχει κάνει τις εταιρείες, και ειδικότερα τις σχεσιακές βάσεις δεδομένων τους, πιο ευπαθείς από ποτέ σε μια επίθεση. Και όμως, μια εξέταση του τρόπου με τον οποίο οι τυπικοί οργανισμοί επενδύουν στην ασφάλεια αποκαλύπτει ότι η βάση δεδομένων δεν αποτελεί προτεραιότητα. Αυτή η προσέγγιση δεν μπορεί να συνεχιστεί άλλο. Είναι καιρός οι επιχειρήσεις να προστατεύσουν τα δεδομένα τους εκεί όπου χρειάζεται περισσότερο.
Μια πρόσφατη έρευνα έδειξε ότι οι βάσεις δεδομένων είναι ο δεύτερος σε συχνότητα στοχοποίησης πόρος από ανθρώπους μέσα σε έναν οργανισμό , με πρώτους τους προσωπικούς υπολογιστές. Οι υπεύθυνοι λήψης αποφάσεων για το IT στο Independent Oracle Users Group (IOUG) συμφωνούν σε ποσοστό 58% ότι η βάση δεδομένων αποτελεί τη μεγαλύτερη ευπάθεια για την ασφάλεια. Πράγματι, η βάση δεδομένων γίνεται ολοένα πιο δημοφιλής στόχος των χάκερ για επιθέσεις με προσθήκη κακόβουλου κώδικα SQL (SQL injection), οι οποίες ενσωματώνουν εντολές SQL μέσα σε ερωτήματα με σκοπό την ανάκτηση και τροποποίηση πληροφοριών που υπάρχουν στη βάση δεδομένων. Καθώς οι βάσεις δεδομένων έχουν γίνει πιο προσβάσιμες μέσω του δικτύου και απευθείας μέσω εφαρμογών web, έχουν γίνει πιο ευπαθείς από ποτέ σε επιθέσεις με προσθήκη κακόβουλου κώδικα SQL (SQL injection). Τέτοιου είδους επιθέσεις είχαν κατά καιρούς ως θύματα ολόκληρους πίνακες με εγγραφές εργαζόμενων και πελατών, ενώ κάποιες φορές συμμετείχαν και εταιρικοί κατάσκοποι ως εργαζόμενοι, οι οποίοι καταχώρισαν τους εαυτούς τους στις βάσεις δεδομένων του HR.
Προκαλεί, λοιπόν, έκπληξη το γεγονός ότι οι επιχειρήσεις δε βάζουν ψηλά στις προτεραιότητές τους την προστασία των βάσεων δεδομένων. Σύμφωνα με την έρευνα του IOUG, οι εταιρείες στην πλειοψηφία τους (65%) επενδύουν περισσότερο σε απλά μέτρα ασφάλειας δικτύου, με επόμενους τους servers (57%) και, τέλος, τις βάσεις δεδομένων (56%).
Επιπλέον, η διαχείριση των επιθέσεων με προσθήκη κακόβουλου κώδικα SQL (SQL injection) κρύβει πολλές προκλήσεις, αφού τέτοιες επιθέσεις είναι απλές στην εκτέλεσή τους από τους χάκερ, αλλά η πρόληψή τους είναι δύσκολη. Για να προστατευτεί πλήρως ένας οργανισμός, θα έπρεπε να εξετάσει ολόκληρη τη βάση κώδικα των εφαρμογών και να αντικαταστήσει τον υπάρχοντα ευπαθή κώδικα SQL. Αυτή η δυσκολία ίσως εξηγεί το γιατί μόνο το 38% των οργανισμών έχουν κάνει βήματα για την πρόληψη επιθέσεων SQL injection.
Υπάρχουν στρατηγικές ασφάλειας που μπορούν να βοηθήσουν τους διαχειριστές βάσεων δεδομένων να προστατεύσουν αυτούς τους πολύτιμους πόρους. Για παράδειγμα, τείχη προστασίας (firewalls) για βάσεις δεδομένων, που επιτρέπουν στους διαχειριστές να παρακολουθούν και να μπλοκάρουν τον κακόβουλο κώδικα SQL, μπορούν να βοηθήσουν ώστε να μειωθούν σημαντικά τέτοιου τύπου επιθέσεις.
Απαιτείται, επίσης, μια προσέγγιση της ασφάλειας των δεδομένων με πιο προληπτικό χαρακτήρα. Πολύ συχνά, δυστυχώς, οι πληροφορίες στις οποίες στοχεύουν οι επιθέσεις βρίσκονται εκτεθειμένες σε περιβάλλοντα δοκιμών και ανάπτυξης, με σχετικά χαμηλή προστασία. Για παράδειγμα, οι προγραμματιστές που τεστάρουν εφαρμογές σε περιβάλλοντα μη παραγωγής συνήθως έχουν πρόσβαση στα ίδια ευαίσθητα δεδομένα που χρησιμοποιούνται σε περιβάλλοντα παραγωγής: προσωπικά αναγνωρίσιμες πληροφορίες, οικονομικά στοιχεία, αριθμοί κοινωνικής ασφάλισης και κάρτες πληρωμών. Αν οι οργανισμοί προστατεύσουν τις εφαρμογές, αλλά αφήσουν αφύλακτες τις βάσεις δεδομένων, διακινδυνεύουν να υποκύψουν σε επιθέσεις που παρακάμπτουν τις εφαρμογές. Σύμφωνα με την έρευνα του IOUG, το 71% των οργανισμών δεν έχει εφαρμόσει μέτρα για την πρόληψη τέτοιων τύπων επιθέσεων. Για να βοηθηθεί η πρόληψη τέτοιων τύπων επιθέσεων, η ασφάλεια των εφαρμογών πρέπει να συμβαδίζει με την ασφάλεια των βάσεων δεδομένων.
Ως μέρος αυτής της πιο προληπτικής προσέγγισης της ασφάλειας των δεδομένων, οι διαχειριστές βάσεων δεδομένων θα πρέπει να προσδιορίσουν τα σημεία εκείνα στα οποία υπάρχουν ευαίσθητα δεδομένα, σε οποιοδήποτε σημείο του οργανισμού και σε κάθε περιβάλλον. Από μόνη της αυτή η εργασία δεν είναι καθόλου ευκαταφρόνητη, αν αναλογιστούμε ότι οι εταιρείες εφαρμόζουν ολοένα μεγαλύτερα και πιο πολύπλοκα συστήματα IT. Σε ποσοστό 39%, οι συμμετέχοντες στην έρευνα του IOUG παραδέχονται ότι δε θα μπορούσαν να αναφέρουν όλες τις βάσεις δεδομένων του οργανισμού τους στις οποίες βρίσκονται ευαίσθητα δεδομένα που υπόκεινται σε κανονισμούς.
Αφού πραγματοποιηθεί μια άσκηση χαρτογράφησης των δεδομένων, η κρυπτογράφηση καθίσταται κρίσιμη γραμμή άμυνας για την προστασία των πολύτιμων πληροφοριών που φιλοξενούνται στη βάση δεδομένων. Προκαλεί, λοιπόν, προβληματισμό το γεγονός ότι μόνο το 18% των οργανισμών κρυπτογραφούν τα αδρανή δεδομένα σε όλες τις βάσεις δεδομένων, ενώ το 51% δε διαθέτει καν μέσα πρόληψης αθέλητης βλάβης στις βάσεις δεδομένων ή στις κρίσιμες εφαρμογές. Οι διαχειριστές βάσεων δεδομένων και οι επαγγελματίες της ασφάλειας πρέπει να κάνουν την κρυπτογράφηση προτεραιότητά τους αν θέλουν να προστατεύσουν αποτελεσματικά τα πιο ευπαθή στοιχεία του συστήματος IT.
Τέλος, είναι ιδιαίτερα σημαντικό για τις επιχειρήσεις να παρακολουθούν τις βάσεις δεδομένων για τυχόν ανωμαλίες που θα μπορούσαν να υποδεικνύουν ύποπτη δραστηριότητα. Αυτή η προληπτική προσέγγιση είναι ζωτικής σημασίας για τον εντοπισμό και την εξουδετέρωση απειλών πριν αυτές προλάβουν να έχουν σημαντική επίπτωση στα δεδομένα της εταιρείας. Όμως, ενώ το 48% των επιχειρήσεων διαθέτει εργαλεία παρακολούθησης για ανωμαλίες, μόνο το 32% το κάνει αυτό τακτικά και αυτοματοποιημένα. Η διαρκής εποπτεία είναι κρίσιμη για την ασφάλεια των βάσεων δεδομένων και οι διαχειριστές τους θα πρέπει να βεβαιωθούν ότι χρησιμοποιούν τις τεχνολογίες που διαθέτουν για να γίνεται αυτό τακτικά.
Η δημιουργία μιας στρατηγικής για την ασφάλεια της βάσης δεδομένων αποτελεί το πρώτο βήμα για να διασφαλίσει μια εταιρεία ότι έχει καλύψει όλα τα θέματα σχετικά με την ασφάλεια. Ακόμα κι αν παραβιαστεί το περιμετρικό δίκτυο ενός οργανισμού, η εφαρμογή μέτρων ασφάλειας γύρω από τα ευαίσθητα δεδομένα, ο εντοπισμός και η αποτροπή επιθέσεων SQL injection, η παρακολούθηση της δραστηριότητας στις βάσεις δεδομένων, η κρυπτογράφηση των δεδομένων όταν είναι αδρανή και κατά τη μεταφορά τους, η επιλεκτική απόκρυψη (redact) ευαίσθητων δεδομένων εφαρμογών, και η απόκρυψη (mask) βάσεων δεδομένων μη παραγωγής, είναι τρόποι με τους οποίους οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο μη εξουσιοδοτημένης μεταφοράς δεδομένων (exfiltration). Ενώ η ολοκληρωτική εξάλειψη των παραβιάσεων είναι ένας μη εφικτός στόχος, οι οργανισμοί μπορούν και πρέπει να σταματήσουν τη μη εξουσιοδοτημένη μεταφορά ευαίσθητων πληροφοριών μέσω της βάσης δεδομένων.
Ανδρέας Συρίγος
ECEMEA Fusion Middleware Sales Director, Oracle
