10 principais causas de ataques a banco de dados
Segundo a IDC, menos de 5% dos 27 bilhões de dólares gastos em produtos de segurança são destinados diretamente a segurança de dados.
Bancos de dados são um dos ativos mais comprometidos de acordo com o Relatório sobre Violação de Dados da Verizon de 2014. As razões porque as bases de dados são cada vez mais atacadas é bastante simples: elas são os corações de qualquer organização, pois armazenam os registros de clientes e outros dados de negócios confidenciais. Mas por que os banco de dados são tão vulneráveis a violações? Uma razão é que as organizações não estão protegendo estes ativos cruciais bem o suficiente. Quando hackers e funcionários mal intencionados ganham acessos a dados sensíveis, eles podem rapidamente extrair valor, alterar dados ou impactar as operações de negócios.
Além da perda financeira ou dano da reputação, estas ações podem resultar em violações de regulamentações, multas e honorários advocatícios. No entanto, a boa notícia é que a grande maioria de incidentes - mais de 97% de acordo com o Trust Alliance on-line (OTA) em 2013 - poderiam ter sido evitados através da implementação de medidas simples e seguindo melhores práticas de controles internos.
Conheça o IBM Guardium, a solução mais completa e utilizada do mercado para combater as principais ameças contra segurança de banco de dados.
As dez principais ameaças descritas neste artigo não se aplicam apenas aos tradicionais bancos de dados, mas também para tecnologias de Big Data. Embora a tecnologia de NoSQL Big Data é diferente de SQL, ela possuí os mesmos pontos de falha - tais como campos de entrada. Estes pontos de injeção fornecem uma avenida para attackers acessarem os componentes de dados do Big Data. A seção de Input Injection deste artigo descreve os fundamentos para este tipo de ataque Big Data.
10 principais causas de ataques a banco de dados: 2013 versus 2015
Como você verá abaixo, as 10 principais causas não alteraram, apenas o nome SQL Injection foi substituido para Input Injection.
| Posição | 2013 - Principais Ameaças | 2015 - Principais Ameças |
|---|---|---|
| 1 | Privilégios excessivos ou esquecidos. | Privilégios excessivos ou esquecidos. |
| 2 | Abuso de privilégio | Abuso de privilégio |
| 3 | SQL Injection | Input Injection |
| 4 | Malware | Malware |
| 5 | Auditoria fraca | Auditoria fraca |
| 6 | Exposição de mídia de storage | Exposição de mídia de storage |
| 7 | Exploração de vulnerabilidades e configurações fracas de banco de dados | Exploração de vulnerabilidades e configurações fracas de banco de dados |
| 8 | Dados sensíveis sem politicas de segurança. | Dados sensíveis sem politicas de segurança. |
| 9 | DoS - Negação de Serviço | DoS - Negação de Serviço |
| 10 | Pouca experiência dos profissionais na área de segurança. | Pouca experiência dos profissionais na área de segurança. |
Ao abordar estas dez ameaças, as organizações podem cumprir os requisitos de conformidade globais e as melhores práticas da indústria relacionadas com proteção de dados e mitigação de riscos.
Detalhes das 10 principais ameaças de ataques a banco de dados.
1 - PRIVILÉGIOS EXCESSIVOS OU ESQUECIDOS
Quando alguém recebe privilégios de banco de dados que excedem as exigências da sua função de trabalho, esses privilégios podem ser usados de forma abusiva. Por exemplo, um funcionário do banco, cujo trabalho requer a capacidade de alterar apenas as informações de contato da conta do titular, poderá aproveitar de privilégios excessivos de banco de dados para aumentar o saldo da conta poupança de um colega. Além disso, quando alguém troca de funções dentro de uma organização ou troca de emprego, muitas vezes, os seus direitos de acesso aos dados sensíveis não mudam. Neste último caso, se estes trabalhadores partem em condições ruins, eles podem usar seus antigos privilégios para roubar dados de alto valor ou provocar danos.
Como os usuários acabam ganhado estes privilégios excessivos? Normalmente, é porque os mecanismos para controle de privilégio para funções de trabalho não existir ou não estão sendo bem gerenciados. Como resultado, os usuários podem ganhar privilégios de acesso genéricos que excedem em muito seu trabalho específico, ou podem simplesmente acumularem-se ao longo do tempo cada vez mais privilégios. Isso cria um risco desnecessário.
2 - ABUSO DE PRIVILÉGIO
Os usuários podem abusar de privilégios legítimos de banco de dados para fins não autorizados.
Considere um aplicativo de assistência médica interna usado para visualizar registros de pacientes individuais através de uma interface web personalizado. A aplicação web normalmente limita os usuários a visualização de um paciente individual sobre seu histórico de saúde - vários registros de pacientes não podem ser visualizados simultaneamente e cópias eletrônicas não são permitidas. No entanto, um usuário mal intencionado pode ser capaz de contornar essas restrições conectando-se ao banco de dados usando um cliente alternativo como o MS-Excel. Usando o Excel com suas credenciais de login legítima, o usuário poderá recuperar e salvar todos os registros de pacientes ao seu laptop. Uma vez que os registros de pacientes estiverem na máquina do cliente, os dados tornam-se então susceptível a uma vasta variedade de cenários de violação.
3 - INPUT INJECTION(SQL INJECTION) OU ATAQUES DE ENTRADA
Existem dois principais tipos de ataques de injeção de banco de dados:
1) Injeção SQL que tem como alvo os sistemas de banco de dados tradicionais e
2) NoSQL Injeção que tem como alvo plataformas de Big Data.
Ataques de injeção de SQL geralmente envolvem a inserção (ou "injetar") de instruções SQL não autorizadas ou mal-intencionadas para os campos de entrada de aplicações web.
Por outro lado, os ataques de injeção NoSQL envolvem a inserção de instruções maliciosas em componentes de grandes dados (por exemplo, Hive ou MapReduce).
Em ambos os tipos, um ataque de injeção de entrada bem sucedida pode conceder a um attacker acessos sem restrições a um banco de dados inteiro. Um ponto crucial para perceber aqui, é que, embora seja tecnicamente verdade que as soluções de Big Data são impermeáveis aos ataques de injeção de SQL - porque eles realmente não usam qualquer tecnologia baseada em SQL - são, na verdade, ainda suscetíveis à mesma classe fundamental de ataque (isto é, entrada de injeção).
4 - MALWARE
Os cibercriminosos, hackers patrocinados pelo Estado e espiões usam ataques avançados que combinam múltiplas táticas - como spear phishing e-mails e malwares - para penetrar nas organizações e roubar dados confidenciais. Sem saber que o malware tenha infectado o dispositivo, os usuários legítimos se tornam um canal para esses grupos acessarem seus dados sensíveis.
5 - POUCA OU NENHUMA AUDITORIA
Gravação automática de transações de banco de dados envolvendo dados sensíveis deveria fazer parte de qualquer implementação de sistemas de banco de dados. A falha em coletar registros de auditoria detalhadas de atividade de banco de dados representa um risco organizacional sério em muitos níveis.
Organizações com mecanismos de auditoria de banco de dados fracos (ou, por vezes, inexistentes) estarão cada vez mais em desacordo com as exigências regulamentares da indústria e do governo. Por exemplo, Sarbanes-Oxley (SOX), que protege contra erros de contabilidade e práticas fraudulentas, e a Lei de Portabilidade e Responsabilidade de Informação de Saúde (HIPAA) no sector da saúde, são apenas dois exemplos de regulamentos com os requisitos de auditoria do banco de dados claros.
Mecanismos de auditoria de banco de dados nativos são conhecidos por consumir CPU e recursos de disco, obrigando muitas organizações a reduzir ou eliminar a auditoria completamente.
Muitas empresas buscarão por ferramentas de auditoria nativas fornecidas pelos seus fabricantes de banco de dados ou confiarão nas soluções ad-hoc e manuais. Estas abordagens não conseguem registrar detalhes necessários para suporte de auditoria, detecção de ataques e análise forense. Além disso, os mecanismos de auditoria de banco de dados nativos são conhecidos por consumir CPU e recursos de disco, obrigando muitas organizações a reduzir ou eliminar a auditoria completamente. E por último, a maioria dos mecanismos de auditoria nativas são exclusivos para uma única plataforma de servidor de banco de dados.
Por exemplo, registros de Oracle são diferentes do MS-SQL, e os registros MS-SQL são diferentes de DB2. Para organizações com ambientes de banco de dados heterogêneos, isso impõe um obstáculo significativo à implementação uniforme e escalável.
Quando os usuários acessam o banco de dados através de aplicações web empresariais (tais como SAP, Oracle E-Business Suite ou PeopleSoft) pode ser desafiador identificar a pessoa responsável pela execução daquela instrução, já que a maioria dos mecanismos de auditoria não conseguem identificar quem são os usuários finais, já que toda a atividade está associada ao nome da aplicação web.
Além disso, os usuários com acesso administrativo ao banco de dados, seja legitimamente ou maliciosamente obtido, pode desligar a auditoria nativa do banco de dados para esconder atividades fraudulentas. As funcionalidades e responsabilidades de auditoria devem, idealmente, ser separadas de ambos, os administradores de banco de dados e das plataformas de servidores de banco de dados para garantir uma forte separação das políticas de direitos.
6 - EXPOSIÇÃO DE MÍDIA DE STORAGE
Mídias de armazenamento de backup são muitas vezes completamente desprotegidas contra ataques. Como resultado, numerosas quebras de segurança têm envolvido o roubo de discos de backup de banco de dados e fitas. Além disso, a falta de auditar e monitorar as atividades dos administradores que têm acesso de baixo nível para informação sensível pode colocar seus dados em risco. Tomando as medidas adequadas para proteger cópias de segurança de dados sensíveis e para monitorar usuários privilegiados, não é apenas uma boa prática de segurança de dados, mas também é requisito obrigatório para diversos regulamentos.
7 - EXPLORAÇÃO DE VULNERABILIDADES E CONFIGURAÇÕES FRACAS DE BANCO DE DADOS
É comum encontrar bancos de dados vulneráveis e sem patches, ou descobrir bases de dados que ainda possuem contas e configurações de parâmetros padrões. Os hackers sabem como explorar essas vulnerabilidades para lançar ataques contra sua organização. Infelizmente, é comum as organizações lutarem para ficar atualizadas e manter seus bancos e dado configurados de maneira segura, alegando alta carga de trabalho ou dificuldade para encontrar janelas de manutenção.
De acordo com a Pesquisa de Segurança de dados da Independent Oracle User Group (IOUG) de 2014, 36% dos usuários Oracle demoraram mais de seis meses para aplicar um patch de atualização crítica, enquanto outros 8% nunca aplicaram nenhum patch.
8 - DADOS SENSÍVEIS SEM POLÍTICAS DE SEGURANÇA
Muitas empresas lutam para manter um inventário preciso das suas bases de dados e de suas tabelas de dados críticas. Bancos de dados esquecidos podem conter informações sigilosas, e novos bancos de dados podem surgir em visibilidade à equipe de segurança - por exemplo, em ambientes de teste de aplicativos. Os dados sensíveis nestes bancos de dados serão expostos a ameaças se os controles e permissões necessárias não forem implementados.
9 - ATAQUE DE NEGAÇÃO DE SERVIÇO - DoS
Ataque de negação de serviço(Denial of Service - DoS) é uma categoria de ataque em que o acesso a aplicações de rede ou dados é negado a usuários pretendidos. Ataques DoS podem ser criados através de muitas técnicas.
A técnica mais comum usada em ambientes de banco de dados é a sobrecarga do servidor. Recursos como memória e CPU ou envio excessivo de consultas, ou com um menor volume mais bem trabalhado consultas que consomem uma quantidade desproporcional de recursos do sistema. O resultado em ambos os casos é o mesmo; os servidores sedentos de recursos deixam de responder e, em alguns casos, até mesmo travar. As motivações por trás de ataques de negação de serviço são muitas vezes ligadas a fraudes de extorsão em que um hacker exije que a vítima atenda às suas demandas para parar o ataque. Seja qual for a fonte, DoS representa uma séria ameaça para muitas organizações.
10 - POUCA EXPERIÊNCIA DOS PROFISSIONAIS NA ÁREA DE SEGURANÇA.
Controles internos de segurança não estão acompanhando o crescimento de dados e muitas organizações não estão preparadas para lidar com a violação de dados. Muitas vezes isso é devido à falta de conhecimentos necessários para implementar controles de segurança, aplicar políticas, e conduzir processos de resposta a incidentes. De acordo com o estudo sobre Custo da Violação de Dados do Instituto Ponemon 2014, para 30 por cento dos incidentes de violação de dados, a principal causa raiz foi o "fator humano" - em outras palavras, um funcionário ou um terceiro negligente.
COMO COMBATER ESTAS AMEAÇAS
Conheça o IBM Guardium, a solução mais completa e utilizada do mercado para combater as principais ameças contra segurança de banco de dados.
As nove principais ameaças podem ser tratadas por meio de uma solução DAP(Database Audit and Protection), Proteção e Auditoria de Banco de Dados, esta plataforma tem como objetivo melhorar a segurança, simplificar a conformidade, e aumentar a eficiência operacional da segurança dos bancos de dados.
