Nusiritus duomenų vagysčių bangai, viešojoje erdvėje daug dėmesio sulaukia duomenų bazių saugumo klausimai. Vis dėlto „Blue Bridge“ kibernetinio saugumo specialistai primena, kad duomenų bazės nėra vienintelė vieta, iš kurios galima pavogti jautrius duomenis ir konfidencialią informaciją. Vidinės ir išorinės sistemos, bendraujančios su duomenų bazėmis, darbuotojų kompiuteriai ir net spausdintuvai, kuriais skenuojami svarbūs dokumentai, gali tapti jautrių duomenų šaltiniu. Tad kokios priemonės gali padėti užtikrinti ne dalinį, o kompleksinį duomenų saugumą?

Tikslinga ir greita pagalba – duomenų bazių saugumo auditai

Algirdas Lunys, Blue Bridge

Algirdas Lunys, „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas

Duomenų bazės neabejotinai gali būti laikomos didžiausiu piktavalių prizu ir galutiniu kibernetinių atakų taikiniu. To priežastis akivaizdi – duomenų bazėse vienoje vietoje saugomi visi svarbiausi duomenys.

Viena iš labiausiai paplitusių priemonių tikslingai stiprinti duomenų bazių saugumą – duomenų bazių saugumo auditai, kurie gali būti apjungiami su greitaveikos įvertinimu. Kaip paaiškina „Blue Bridge“ Infrastruktūros valdymo sprendimų skyriaus vadovas Algirdas Lunys, dažniausiai tokie saugumo auditai padeda nustatyti, kas gali prieiti prie duomenų bazių ir kokius veiksmus juose atlikti, pavyzdžiui, redaguoti, atsisiųsti dokumentus iš duomenų bazės, juos spausdinti ir t. t. Be to, įvertinamas ir duomenų bazių atsparumas labiausiai paplitusioms kenkėjiškoms programos.

„Pavyzdžiui, atlikdami populiarios „SQL Server“ infrastruktūros saugumo vertinimą, vadovaujamės gamintojo pateikiamomis „Microsoft Security Center for SQL Server“ saugumo politikomis bei taisyklėmis. Taip pat – savo skaitmeniniais įrankiais, kurie detaliai nustato silpnąsias duomenų bazių saugumo vietas. Atlikdami vertinimą ne tik identifikuojame „SQL Server“ duomenų bazės saugumo spragas, bet ir įvertiname jų kritiškumą ir pateikiame rekomendacijas, kaip šias rizikas valdyti“, – sako A. Lunys ir priduria, kad toks vertinimas gali būti atliktas per trumpiau nei mėnesį ir yra vienas iš prieinamiausių būdų nustatyti duomenų bazių saugumo situaciją.

Prieigos teisių valdymas – pirmas žingsnis kompleksinio saugumo link

Nepaisant duomenų bazių reikšmės, negalima pamiršti, kad jos – ne vienintelis svarbios informacijos šaltinis. Daug svarbių duomenų įvairaus dydžio dalimis yra „pasklidę“ ir kitur, pavyzdžiui, bylose failų serveriuose, darbuotojų asmeniniuose kompiuteriuose, bendradarbiavimo programose, vidinėse sistemose ir vidinio tinklo kataloguose ir t. t.

Nors ne duomenų bazėse esančių duomenų kiekiai dažniausiai yra mažesni, vis dėlto, ir čia galima rasti finansinių duomenų, vidinių susirašinėjimų, darbuotojų ir įmonės klientų asmens dokumentų kopijų, įvairių sutarčių ir anketų, kuriose nurodomi asmens vardas, pavardė, namų adresas, gimimo data ir t. t.

Toks, platesnis požiūris į duomenų saugojimo vietas leidžia efektyviau parinkti kompleksines apsaugos priemones. Šių priemonių visumos ašis turėtų būti prieigos teisių kontrolė. Kaip rodo „Blue Bridge“ patirtis, būtent perteklinės prieigos teisės, kartu su privilegijuotų ir eilinių naudotojų paskyrų administravimo problemomis, yra dažniausios ir pavojingiausios saugumo spragos.

Pamatyti organizaciją hakerių akimis – įsilaužimų testai

Povilas Kaminskas, Blue Bridge

Povilas Kaminskas, „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas

Prioritetinė užduotis stiprinant visapusį duomenų saugumą yra informacijos, kas ir prie kokių duomenų gali prieiti, surinkimas. Kaip primena „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas Povilas Kaminskas, peržiūrint prieigos teises rekomenduojama laikytis esminio principo „daugiau yra mažiau“, t. y. darbuotojai turėtų turėti prieigą tik prie tų duomenų, kurių jiems reikia tiesioginiam darbui.

„Kaip rodo praktika, tvarkingai „inventorizuoti“ kas kokias prieigos teises turi yra ganėtinai sudėtinga, tačiau stengtis kaupti šią informaciją tikrai reikėtų. Viena iš populiariausių priemonių, leidžiančių tai padaryti ir nustatyti perteklinių teisių egzistavimą, yra įsilaužimų testai. Jų metu imituojama kibernetinė ataka ir tikrinama, kokiais keliais galima pasiekti jautrius duomenis, kad ir kur jie būtų“, – paaiškina P. Kaminskas.

Kompleksinis įsilaužimų testavimas padeda nustatyti ne tik teisių, paskyrų ir slaptažodžių valdymo klaidas, dažniausiai lemiančias duomenų vagystes, bet įvertinti visus organizacijos saugumo lygius – nuo kompiuterinių darbo vietų, serverių, duomenų bazių, išorinio bei vidinio tinklų iki kritinės reikšmės aplikacijų saugumo. Pagal poreikį galima pasirinkti ir tik vieną įsilaužimų testavimų tipą, pavyzdžiui, tik bevielio tinklo ar WEB aplikacijų įsilaužimų testavimą.

Darbuotojų atsparumo socialinės inžinerijos metodams vertinimas

Rūpinantis duomenų saugumu vieną svarbiausių vaidmenų vaidina darbuotojų sąmoningumas. Kaip pastebi P. Kaminskas, nors darbuotojų lojalumo patikrinti neįmanoma, jų atsparumą plačiai paplitusiems socialinės inžinerijos būdams – galima.

„Būtent žmonės ir netyčinė žmogiškoji klaida dažniausiai lemia tai, kad visi kiti organizacijos saugumo pažeidžiamumai, nuo duomenų bazių iki sistemų saugumo spragų, išsirikiuoja į vadinamą atakos grandinėlę ir leidžia piktavaliams „išlošti aukso puodą“ – prieiti prie organizacijos duomenų. Atlikus atsparumo socialinei inžinerijai testą, gali paaiškėti, kad net pagal geriausias praktikas sustyguotą saugumo politiką galima apeiti parašius vieną suklastotą el. laišką su kenksmingu programiniu kodu prisegtuke arba tiesiog paskambinus darbuotojui telefonu ir paprašius konfidencialios informacijos“, – pastebi pašnekovas.

Atsparumo socialinei inžinerijai testai taip pat atskleidžia, kaip praktiškai organizacijoje veikia slaptažodžių politika, dviejų faktorių autentifikavimas ir kitos apsaugos priemonės, kurių jau imtasi.

Apsaugokite savo duomenis su „Blue Bridge” saugumo specialistais! Susisiekite: