آسیب پذیری‌های پایگاه داده

(قسمت دوم)

در این مطلب در ادامه ی قسمت قبل، به بررسی مهم ترین موارد آسیب پذیری در پایگاه های داده می پردازیم:

تزریق کدها:

وقتی بستر نرم افزاری یا پلت فرم پایگاه داده شما نتواند ورودی ها را پاکسازی نماید، مهاجمان قادر به اجرای تزریق SQL شبیه به روشی که در حملات مبتنی بر وب انجام می دهند خواهند بود، که در نهایت به آنها این امکان را می دهد که امتیازات کاربری خود را بالاتر برده و به طیف گسترده ای از عملکرد های درونی سیستم یا شبکه دسترسی یابند.

بسیاری از توسعه دهندگان امنیتی به طور مرتب وصله هایی را برای جلوگیری از بروز این مشکلات منتشر می کنند، اما این اصلاحات نمی تواند برای شما کار چندانی انجام دهد اگر: سیستم مدیریتی پایگاه داده یا DBMS شما بدون وصله شدن به حال اولیه رها شده باشد.

البته امروزه با پیشرفت فایروال ها تا حدودی می توان از تزریق کدها جلوگیری کرد در صورتی که پایگاه داده ما در محیط DMZ قرار داشته باشد و دسترسی چه از داخل چه از خارج از طریق فایروال ها صورت بگیرد. خاطر نشان می شود که فایروال ها تا حدودی نه مطلق، می توانند جلوی این خطرها و نفوذ ها را بگیرند.

اعطای حق دسترسی گسترده و زیاد به گروه ها و کاربران:

لازم است سازمانها و ادارات از این مسئله اطمینان حاصل کنند که امکانات دسترسی کاربران خود به کسانی که در نهایت قرار است از آنها همان استفاده ای کنند که یک سرایدار با جمع آوری کلیدهای مختلف روی دسته کلید و ساختن شاه کلید، اعطا نشود. (به عبارت دیگر بسیاری از امکانات مهم دسترسی برای همه کاربران کاربرد ندارد.) در عوض توصیه می شود تنها کاربران معینی را در گروهها یا پست ها مشخص شده ای سازماندهی کرده و امتیازات و سطوح تعریف شده ای از دسترسی به سیستم را به آن نقش ها اعطا کنیم، که این امر مدیریت جمعی و بالابردن امنیت کلی را بسیار آسان تر از حالتی می کند که به طور مستقیم به همه کاربران حق و حقوقی بیش از حد نیازشان اعطا کنیم.

تجربه نشان داده که همیشه در سازمان افرادی بودند که از روی کنجکاوی و یا تضاد با سیاست های شرکت خود، می خواستند با نفوذ به پایگاه داده از اطلاعات سایر همکاران خود و یا درآمدهای شرکت سر در بیاورند و از آنها به نفع خود و برای پیشبرد کار خود استفاده نمایند.

از این رو دسترسی های دقیق می تواند یک قدم ما را به امنیت بیشتر نزدیکتر نماید.

عدم فعال کردن امکانات و ویژگی های پایگاه داده:

در هنگام نصب هر بانک اطلاعاتی همراه با ملزومات، بسته های افزونه یا به کلام ساده تر امکانات اضافه در اشکال و اندازه های مختلف مشاهده می شوند که اکثر آنها در عمل برای برخی از سازمان ها و ارگان ها بلااستفاده محسوب می شوند. از آنجا که قاعده بازی در بحث امنیت پایگاه داده عبارت است از کاهش سطح حملات، شرکت ها باید به دنبال بسته هایی باشند که از آن هیچ گونه بهره برداری نمی شود و آنها را غیر فعال کرده و یا به طور کامل حذف کنند.

این امر نه تنها باعث کاهش خطرات ناشی از حملات اولیه از طریق این بردارها می شود، بلکه در عین حال مدیریت وصله ها (patch management) را نیز ساده تر می کند. هنگامی که این قبیل بسته ها نیاز به سرهم بندی و پچ کردن نداشته باشند، سازمان نیازی به تقلا و کوشش زیاد نخواهد برای بروز رسانی این امکانات اضافه و مدیریت آنها نخواهد داشت.

عدم مدیریت تنظیمات از هم گسیخته:

به طور مشابه، پایگاه های داده کاملاً مجهز به گزینه های مختلف تنظیمات و ملاحظات در مورد آنالیزورهای پایگاه داده یا DBA برای تنظیم بهینه عملکردها و ویژگی های ارتقا یافته می باشند. لازم است سازمانها و شرکت ها مواظب اعمال تنظیمات ناامن در پایگاه داده باشند که می تواند به طور پیش فرض فعال بوده و یا به منظور سهولت برای کار با DBA ها یا توسعه دهندگان نرم افزاری این تنظیمات ضعیف اما سهل الوصول توسط افراد ناآگاه فعال گردد.

برنامه های تهیه گزارش مانند  Crystal report و مشابه آنها نیاز به تنظیماتی به منظور دسترسی و تهیه گزارش دارند که این امکان شاید به صورت پیش فرض بر روی پایگاه داده فعال باشد در حالی که شرکت نخواهد از این برنامه ها استفاده کند. پس نصب پیش فرض و تنطیمات پیش فرض حتماً و حتماً می بایست مورد بازبینی دقیق قرار بگیرد.

بخش دانش و زندگی تبیان