לוקח להאקר ממוצע בערך עשר שניות כדי לפרוץ לבסיס נתונים - זמן קצר בהרבה משלוקח ל-DBA אפילו לשים לב שמישהו חדר.
גנבים יעשו הכל כדי להשיג את המידע הנמצא בבסיס הנתונים של הארגון, על מנהלי אבטחת המידע בכל הארגונים, מכל הענפים ובכל גודל צריכים לדעת היכן נמצאות הפרצות ולפחות על מה צריך להגן.
לפיכך אין זו הפתעה עד כמה מתקפות על בסיסי נתונים עוברות בלי שמישהו בארגון ירגיש, ויקח לרוב זמן רב עד שמישהו ישים לב שמישהו פגע בנתונים.
מומחים רבים קובעים כי בסיס הנתונים - המקום שבו מוחזק היהלום שבכתר של כל ארגון עדיין לא מאובטח דיו בארגונים רבים. האקרים עוינים משתמשים לעיתים בשיטות תקיפה פשוטות כדי לפרוץ את בסיסי הנתונים כגון ניצול סיסמאות חלשות וקונפיגורציה שהושארה בברירת המחדל של היצרנים ומנצלים פגיעויות מוכרות שלא הותקן הטלאי המגן מפניהם.
וכמובן שלא לדבר על המגיפה של אובדן טייפי הגיבוי - אם הטייפ הגנוב לא מוצפן, הארגון עשוי לקרוס אם מישהו רע מחזיק בו. אין צורך בפריצה.
אחת הבעיות הגדולות היא שמתקפות בסיסי נתונים אינם אפילו ידועים - אומר נואל יוהנה, אנליסט בכיר בפורסטר. "בסיס נתונים מריץ 15-20 אלף קשרים בשניה, זה לא מעשי להכיר מה כל הקשרים הללו עושים.
ששת מתקפות בסיסי הנתונים הנפוצות ביותר על פי ה-Dark Reading (מקבוצת אינפורמישן וויק העולמית) הם:
1. פיצוח עם או בלי הפעלת כוח של ססמאות ברירת מחדל או ססמאות חלשות אחרות.
2. הגדלה של סמכויות על ידי בעל גישה לבסיס הנתונים
3. ניצול שירותים ותכונות של בסיסי נתונים שהם מיותרים או שאינם בשימוש
4. התמקדות בפגיעויות מוכרות בבסיסי נתונים שבעליהם לא טרחו להלביש עליהם טלאים
5. SQL injection
6. גניבת סרטי גיבוי לא מוצפנים
תובנות איי פי וי סקיוריטי
כפי שנאמר - המידע אשר נמצא בבסיסי הנתונים הוא היהלום שבכתר הארגוני; זהו המידע הקריטי ביותר, אשר פגיעה בו או דליפה שלו עלולה להביא לתוצאות קשות עבור הארגון.
נוסף על כך, אבטחת בסיסי הנתונים הינה נושא שבמרבית הארגונים נופל בין הכסאות עקב חוסר מודעות ואי-הגדרה מסודרת של אחריות על נושאי האבטחה שלהם באופן ספציפי. ה-DBA אינו מומחה אבטחת מידע ואילו מומחה אבטחת המידע אינם DBA.
קיימים כלים ייעודיים לאיתור פרצות אבטחה אפליקטיביות במסדי הנתונים הנפוצים והמובילים; אחד הכלים שבשימושינו מאפשר תוך פרק זמן של ימים בודדים לזהות ולתעדף את החשיפות של בסיסי הנתונים הנפוצים.
חשוב לציין כי כלי איתור ייעודיים לסריקת בסיסי נתונים מאפשרים זיהוי של חשיפות אשר כלים כדוגמת הסורק של Nessus או דומיו אינם מזהים מכיוון שהינם מתמקדים בפרצות של מערכות הפעלה ואפליקציות ספציפיות.
שאלה קוראים
האם ידוע לכם על פריצה שאירעה אל תוך אחד מבסיסי הנתונים שלכם? האם בדקתם בעבר את בסיסי הנתונים שלכם לאיתור פרצות אבטחה? האם אתם מתקינים את טלאי האבטחה שמוציאות החברות מעת לעת? האם ידוע לכם באם קיימים משתמשים ו/או סיסמאות ברירת מחדל על בסיסי הנתונים שלכם? שילחו לנו הצעות לפתרונות ורעיונות.
