СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Главное
CISOCLUB
08.10.2024
#Интервью #Dev#ИБ#Инфра#Облака

Интервью с Сергеем Полуниным («Газинформсервис») про защиту СУБД

Интервью с Сергеем Полуниным (Газинформсервис) про защиту СУБД

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин

Редакция CISOCLUB поговорила с Сергеем Полуниным, руководителем группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», на тему безопасности систем управления базами данных (СУБД). В интервью эксперт раскрыл ключевые аспекты выбора СУБД в условиях санкционных ограничений, рассмотрел отечественные разработки и их место на российском рынке. Сергей также отметил важность выбора базы данных с учетом информационной безопасности, совместимости с регуляторными требованиями и поддержкой операционных систем.

Интервью охватило важные вопросы, связанные с угрозами безопасности СУБД. Спикер подробно рассказал о том, что основные уязвимости чаще всего возникают не в самих базах данных, а в прикладном программном обеспечении, взаимодействующем с ними. Сергей также поделился своими наблюдениями о возможных векторах атак на базы данных, включая атаки на отказ в обслуживании, утечку данных и сценарии с участием инсайдеров.

Отдельное внимание было уделено практическим мерам по защите СУБД. Эксперт описал ключевые классы средств защиты — от шифрования данных и мониторинга до инструментов управления доступом и предотвращения утечек. Сергей подробно остановился на вопросах организации резервного копирования, защиты каналов связи и возможных недостатков в планировании мер безопасности, подчеркивая важность комплексного подхода.

Какие основные СУБД доступны в России с учетом санкционных ограничений и новых разработок отечественных вендоров? Какие особенности выбора между ними?

На самом деле основные СУБД на базе открытого исходного кода продолжают быть доступными для российских пользователей, а это крайне популярные решения, которые применяет даже крупный бизнес – MySQL, MariaDB, Firebird, SQLite и многие другие. Основная проблема – это отсутствие технической поддержки и проблемы с ее приобретением. Но и российские разработки постепенно завоёвывают свою нишу. Таки решения как Jatoba, Ред БД и ProximaBD хоть и базируются на открытом исходном коде, считаются отечественными разработками. При выборе такой базы данных следует учитывать несколько факторов – поддержка нужной вам операционной системы, требования информационной безопасности и наличие необходимых сертификатов регуляторов.

Как функционируют СУБД с точки зрения архитектуры и безопасности? Какие уязвимости могут возникать на различных этапах работы с базами данных?

В самих СУБД довольно редко может встретить критические уязвимости. Дело в том, что СУБД довольно редко работают напрямую, в основном взаимодействие осуществляется через прикладное программное обеспечение, в котором в свою очередь и возникают уязвимости – всевозможные SQL-инъекции и некорректная настройка прав. Но и саму СУБД можно тоже настроить некорректно – например, отсутствие, резервных копий или хранение данных в незашифрованном виде – это проблема настройки самой СУБД.

Какие критерии используют компании для выбора СУБД, особенно с точки зрения информационной безопасности?

Как правило, если не рассматривать организации, в которых требования устанавливает регулятор, то так вопрос вообще не ставится. У людей принимающих решение есть свои представления о прекрасном, а также определенный бюджет, и именно эти соображения ложатся в основу принимаемого решения. Если в принятие решения принимают участия безопасники, то они могут написать перечень конкретных требований – наличие шифрования, инструменты для контроля целостности, совместимость с существующими средствами информационной безопасности и тому подобные вещи.

Какие основные угрозы информационной безопасности связаны с работой СУБД? Можно ли говорить только об утечках данных или существуют другие векторы атак?

Конечно нет. Если брать триаду безопасности — целостность, доступность, конфиденциальность, то для каждого аспекта будут свои векторы атаки. Для нарушения доступности можно осуществить атаку на отказ в обслуживании, а для нарушения целостности подойдут всевозможные шифровальщики и подобные техники.

Кто является потенциальным нарушителем при угрозе безопасности СУБД? Какие сценарии атак чаще всего рассматриваются?

Как правило основный нарушитель – это пользователь информационной системы, которая подключена к базе данных. Именно через этот канал осуществляется большинство атак. Но кроме этого можно рассмотреть и инсайдера, который используя непосредственный доступ к серверу СУБД может осуществлять определенные действия.

Какие классы средств защиты информации существуют для обеспечения безопасности СУБД?

Трудно сделать исчерпывающую классификацию, но можно рассмотреть следующие направления:

  • Инструменты управления доступом, которые обеспечивают безопасный доступ к данным в базе
  • Инструменты шифрования, которые обеспечивают безопасность данных на уровне хранения и передачи
  • Инструменты мониторинга, обеспечивающие наблюдение и аудит
  • Инструменты предотвращения утечек, они же DLP
  • Инструменты управления уязвимостями, которые призваны обнаруживать уязвимости и предлагать способы их устранения

Это далеко не полный перечень, однако инструментарий для маскировки данных или управления политиками применяется крайне редко.

Как шифрование СУБД помогает защитить данные? В каких случаях шифрование является обязательным и какие технологии для этого используются?

Шифрование данных необходимо для предотвращения потери и утечки данных при хранении и передаче. Соответственно в идеале, осуществляется шифрование как самих файлов базы данных на диске сервера, таки шифрование канала связи при передаче данных из СУБД.

Как правильно организовать резервное копирование СУБД, чтобы обеспечить конфиденциальность и целостность данных?

Это очень зависит от требований и имеющегося бюджета. Очевидно, что высоконагруженной системе, где данные обновляются часто — требования будут иными нежели в какой-то системе, где изменения нечастые. Для резервного копирования существуют специализированные наложенные средства, которые создают полные или частичные копии данных по определенному расписанию, а затем сохраняют их на системах хранения данных или даже в облачных сервисах.

Какие меры следует предпринять для защиты инфраструктуры, на которой функционирует СУБД, чтобы минимизировать риски компрометации?

Необходим комплексный подход, который должен начаться с разработки модели нарушителя. Тогда будут понятны как риски, так и основные векторы атаки. Затем для каждого риска разрабатываются свои меры защиты. Единого плана действий быть не может, потому что каждая ИТ инфраструктура уникальна по-своему.

Как защитить каналы связи между СУБД и другими системами? Какие технологии и протоколы используются для обеспечения безопасности передачи данных?

Обычно трафик баз данных шифруется вместе остальным трафиком. При этом используется как популярный сегодня VPN, так и собственный средства СУБД. При этом как правило используются те же механизмы, что для защиты прочих прикладных систем – протокол TLS прекрасно работает для защиты подключений к SQL-серверам.

Какие аспекты защиты СУБД часто упускают при планировании мер информационной безопасности? Какие дополнительные меры стоит учитывать для максимальной защиты данных?

Очень часто из-за некорректной модели нарушителя администраторы упускают крупные векторы атаки. Например, тех же инсайдеров редко рассматривают в ИТ инфраструктурах, где основные пользователи находятся снаружи защищаемого периметра. Но тут нужно понимать, что понятие максимальной защиты, как правило, идет в разрез с удобством работы с СУБД. Можно включить все механизмы защиты и получить относительную гарантию безопасности, однако пользоваться такой системой будет почти невозможно.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Рассказываем все самое интересное про ИТ, ИБ.
Комментарии: