لزوم امن سازی پایگاه داده و به کار گیری Database Firewall

امروزه فناوری اطلاعات به عنوان بخش جدانشدنی هر کسب و کاری شده است همزمان با گسترس استفاده فناوری اطلاعات در سازمان ها می بایست به همان نسبت در صدد به کارگیری راهکار های مختلف امنیتی جهت مقابله با تهدیدات این حوزه مد نظر قرار گیرد.بر اساس تحقیقات صورت گرفته نزدیک به ۹۰ درصد سرقت های سایبری به دلیل نشت اطلاعات پایگاه داده و یا تعییرات غیر مجاز داده و حتی از بین رفتن داده ها بوده در سطح پایگاه های داده(فقدان Database firewall) گزارش شده است. برای مقابله با این نوع حملات می بایست از راهکاری محافظت از داده ها در سطح پایگاه های داده استفاده کرد.

امنیت پایگاه داده به مجموعه ای از اقدامات، ابزارهای مختلف، اقدامات کنترلی و اقدامات برای اطمینان از محرمانه بودن، در دسترس بودن و یکپارچگی پایگاه داده ها اطلاق می شود. هدف از رویه های امنیتی پایگاه داده نه تنها محافظت از آن، بلکه همچنین هر برنامه مرتبطی است که با آن تعامل دارد. در این فرآیندها، ترکیب راحتی و در دسترس بودن پایگاه داده مهم است. هرچه پایگاه داده راحت‌تر و در دسترس‌تر باشد، حساسیت آن در برابر نفوذ، حملات و تهدیدات احتمالی بیشتر می‌شود. هرچه در برابر حملات و تهدیدات آسیب پذیرتر باشد، دسترسی و استفاده از آن دشوارتر است.فرآیندهای نادرست، آسیب‌پذیری‌ها، ضعف‌ها یا پیکربندی‌های نادرست می‌تواند منجر به نقض امنیت شود.

انواع تهدیدات پایگاه‌های داده

تهدیدات داخلی

تهدیدات داخلی یکی از مهمترین آسیب های هر سرویس است که پایگاه های داده نیز از آن مستثنی نیستند که شامل و نه محدود به موارد ذیل می شود:

کارکنان ناراضی که در صدد تخریب و یا آسیب رساندن به سرویس های سازمانی هستند.
خطاهای داخلی غیر عمدی که در طراحی پایگاه داده و یا به دلیل سهل انگاری پایگاه های داده را تهدید می کنند.
سوء استفاده نفوذکر به واسته مهندسی اجتماعی از کارکنان سازمان که منجر به دسترسی نفوذگر به پایگاه های داده می گردد.

خطاهای انسانی

خطای انسانی علت اکثر حملات است. که اکثر آنها به دلیل سهل انگاری و یا استفاده از رمزهای عبور ضعیف، رمزهای عبور یکسان برای همه منابع، حساب های فراموش شده / قدیمی و رمزهای عبور در متن ساده (ویکی داخلی، مخزن git و غیره) باشند.

آسیب پذیرهای پایگاه داده

مهاجمان در حال تلاش برای یافتن نسخه نرم افزار مورد استفاده برای دستیابی به آسیب پذیری های موجود و برنامه ریزی مراحل بعدی حمله هستند. آسیب‌پذیری‌های جدید هر روز کشف و گزراش می‌شوند، تولیدکنندگان نرم‌افزار پایگاه‌ های داده تجاری مرتباً برای مقابله با آسیب پذیری ها وصله های امنیتی را منتشر می‌کنند. با این حال، اگر این وصله های امنیتی را به اندازه کافی سریع نصب نکنید، پایگاه داده شما ممکن است مورد حمله قرار گیرد. برای مثال، می‌توانید با اشتراک‌های Vulners مشترک به‌روزرسانی‌های نرم‌افزار خود شوید و مرتباً اطلاعاتی درباره به‌روزرسانی‌های آتی با آسیب‌پذیری‌های جدید دریافت کنید.

SQL/NoSQL Injection Attacks

حملات SQL Injection نیز یکی از رایج ترین تهدیدات پایگاه داده است و همیشه بخشی مهمترین حملات در گزارشات OWASP است. اگر سازمان‌ها به روش‌های امن توسعه برنامه‌های کاربردی وب در SDK (چرخه عمر توسعه نرم‌افزار) خود پایبند نباشند و آزمایش مناسب برنامه‌های وب را انجام ندهند، در برابر این حملات به شدت آسیب پذیر هستند.

حملات Buffer Overflow

سرریز بافر (Buffer overflow) یک آسیب‌پذیری نرم افزاری متداول است که بر اثر مقداردهی بیش از حد به بافر ایجاد می‌شود. زمانی که مقدار بیشتری از ظرفیت بافر به آن اعمال شود اطلاعات در فضای بیرون از بافر نوشته می‌شود و ممکن است اطلاعات قبلی از بین برود.مهاجمان می توانند از داده های اضافی ذخیره شده در آدرس های حافظه همسایه به عنوان نقطه شروع برای حمله استفاده کنند.

حملات Denial of Service DoS and DDoS

حمله DoS عمل ایجاد آسیب از طریق غیرقابل دسترس کردن سیستم هدف، مانند پایگاه داده یا برنامه برای کاربران نهایی است. به طور معمول، مهاجمان تعداد زیادی بسته یا درخواست ایجاد می کنند که در نهایت سیستم هدف را بارگذاری می کنند. برای حمله انکار سرویس توزیع شده (DDoS)، مهاجم از بسیاری از منابع هک شده یا کنترل شده (BotNet) استفاده می کند. این می تواند دستگاه های IoT مانند تلویزیون، روتر و سایر دستگاه های خانه هوشمند با دسترسی به اینترنت باشد.

بد افزارها

نرم افزار مخرب نرم افزاری است که برای سوء استفاده از آسیب پذیری ها یا آسیب رساندن به پایگاه های داده طراحی شده است. بدافزارها می توانند به طرق مختلف از پایگاه داده با اطلاعات جمع آوری شده سوء استفاده کنند. حفاظت از بدافزار در هر سیستم هدفی مهم است، اما به دلیل ارزش و حساسیت بالای سرورهای پایگاه داده باید توجه ویژه ای شود.

محیط های در حال توسعه و تغییر مداوم

توسعه نرم افزاری و افزودن ویژگی های جدید پایگاه‌های داده را در برابر تهدیدات مستعدتر می‌کند. روندهایی را در نظر بگیرید که ممکن است منجر به تهدیدات جدیدی برای پایگاه‌های داده شود یا ممکن است به اقدامات حفاظتی جدیدی نیاز داشته باشد: حجم عظیمی از داده ها. جمع آوری، ذخیره سازی و پردازش داده ها تقریباً در همه سازمان ها به طور تصاعدی در حال رشد است. هر ابزار یا روش امنیت داده باید در آینده نزدیک مقیاس پذیر باشد. رشد زیرساخت. محیط‌های شبکه پیچیده‌تر می‌شوند، به‌ویژه زمانی که شرکت‌ها بار کاری را به معماری‌های ابری چند ابری یا ترکیبی انتقال می‌دهند، که انتخاب، استقرار و مدیریت راه‌حل‌های امنیتی را دشوارتر می‌کند. الزامات نظارتی دقیق وضعیت انطباق جهانی همچنان پیچیده تر می شود و پیروی از همه مقررات و روش ها را دشوار می کند. کمبود مهارت های امنیت سایبری یک مشکل جهانی است. متأسفانه، بیشتر سازمان‌ها تنها پس از نقض، نقض داده‌ها یا رویدادهای دیگر شروع به توجه دقیق به امنیت سایبری می‌کنند. این لحظه یک تهدید مستقیم برای دارایی های زیرساخت حیاتی مانند پایگاه های داده است.

Database Firewall به عنوان موثرترین لایه دفاعی در مقابل حملات و حفاظت پایگاه داده می تواند ضمن کنترل دسترسی و پایش ترافیک پایگاه داده به صورت برخط، با نظارت و اعمال سیاست های امنیتی از سرقت و یا خراب کاری های خواسته و یا ناخواسته در پایگاه داده سازمان جلوگیری به عمل آورد.

Database Firewall

Database Firewall به عنوان موثرترین لایه دفاعی در مقابل حملات و حفاظت پایگاه داده می تواند ضمن کنترل دسترسی و پایش ترافیک پایگاه داده به صورت برخط، با نظارت و اعمال سیاست های امنیتی از سرقت و یا خراب کاری های خواسته و یا ناخواسته در پایگاه داده سازمان جلوگیری به عمل آورد.

در این راهکار Database Firewall به عنوان واسط ارتباطی بین نرم افزار های و کاربران با پایگاه های داده قرار داده می شود و کلیه Query های نرم افزار ها و کاربران پس از بررسی های لازم توسط Database Firewall به سمت پایگاه های داده ارسال می شود.

Database Firewall بدون نیاز در تغییر ساختار فعلی نرم افزار ها و پایگاه داده براحتی در مسیر ترافیک ها ورودی و خروجی قرار می گیرد و در صورتی که سیستم هرگونه رفتار مشکوکی در سطح دسترسی و یا Query مخربی به سمت پایگاه داده ارسال شود شناسایی و مسدود می گردد.

با توجه به مدل پیاده سازی Database Firewall توانایی پایش کلیه ترافیک ها و Query های پایگاه داده را داشته و به همین واسطه قابلیت گزارش دهی و اعلان هشدارهای امنیتی را داد.

خصوصیات کلیدی Database Firewall

انعطاف‌پذیری در پیاده‌سازی مدل‌های نظارتی و مسدود‌سازی
سیاست‌های مبتنی بر لیست سفید، لیست سیاه، و لیست استثنائات
معماری بسیار مقیاس‌پذیر برای برنامه‌های سازمان
ده‌ها گزارش پیش‌ساخته با قابلیت شخصی‌سازی
هشدارهای امنیتی آنی
پشتیبانی از اوراکل، MySQL، Microsoft SQL Server، Sybase و IBM DB2
پشتیبانی از TDE امنیتی پیشرفته اوراکل

امنیت پایگاه‌داده مبتنی بر شبکه

Database Firewall با آزمودن گرامر عبارت SQL فرستاده‌شده به پایگاه داده، معنی آن را بررسی کرده و سیاست‌های امنیتی مناسب برای اعمال را تشخیص می‌دهد. دسته‌بندی گرامری و پروفایل سازی بر اساس فاکتورهای Session شیوه‌ی قدرتمندی برای ردیابی دسترسی به پایگاه‌داده است. بدین ترتیب Database Firewall قادر به تشخیص تغییر در رفتار معمول، نظیر حملات SQL Injection بر روی برنامه‌ها و جلوگیری از حملات، قبل از رسیدن به پایگاه‌داده می‌باشد. این شیوه‌ی بسیار دقیق درجه بسیار بالاتری از حفاظت را نسبت به نسل اولیه فناوری‌های نظارتی پایگاه‌داده که بر اساس تشخیص امضای تهدیدهای امنیتی شناخته‌شده بود، فراهم می‌آورد.

سیاست‌های امنیتی انعطاف‌پذیر

Database Firewall از سیاست‌های گوناگونی نظیر لیست سفید، لیست سیاه و لیست استثنائات، پشتیبانی می‌کند.

لیست سفید، یک گروه از عبارات SQL تأییدشده است که دیوار آتش انتظار دارد آن‌ها را ببیند. آن‌ها را می‌تواند به‌مرورزمان فرابگیرد یا از طریق محیط‌های آزمایشی گسترش یابد. لیست سیاه شامل الگوها، جداول، کاربران و عبارات SQL ای است که اجازه فرستاده شدن به پایگاه‌داده را ندارند. سیاست‌های مبتنی بر لیست استثنائات، انعطاف‌پذیری بیشتری را فراهم می‌سازد که می‌تواند جایگزین سیاست‌های مبتنی بر لیست سفید و لیست سیاه شود. سیاست‌ها می‌توانند بر اساس خصوصیاتی مانند دسته‌بندی SQL، زمان، برنامه، کاربر و آدرس IP اعمال شوند. Oracle Database Firewall می‌تواند درخواست‌ها را ثبت کند، هشداری را نمایش دهد، ورودی دستورات SQL را مسدود سازد یا با یک دستور SQL بی‌خطر جایگزین کند. این انعطاف‌پذیری، به همراه بررسی پیشرفته گرامر SQL، راه‌حلی برای مواجه با درخواست‌های غیرمجاز است.

گزارشات و هشدارهای قابل شخصی‌سازی

Database Firewall شامل ده‌ها گزارش است که می‌توانند به‌سادگی برای مقرراتی مانند Sarbanes-Oxley (SOX) Act, Payment Card Industry Data Security Standard (PCI DSS), وHealth Insurance Portability and Accountability Act (HIPAA) شخصی‌سازی شوند. همچنین هشدارهای آنی می‌توانند برای پاسخ‌گویی سریع به هر سیاست ایجاد شوند.

نحوه پیاده سازی

Database Firewall را می توان بر اساس نیاز در دو حالت DPE یا DAM پیاده سازی کرد.

DAM: در این حالت DF فقط ترافیک های SQL را مانیتور کرده و نمی تواند هیچ یک از عبارات SQL را مسدود سازد.

DPE: در این حالت DF علاوه بر مانیتور کردن ترافیک های SQL توانایی مسدود سازی عبارات SQL را بر اساس سیاست های امنیتی تعریف شده مسدود سازد.