آسیب پذیری‌های پایگاه داده

(قسمت اول)

بعنوان مثال فردی را در نظر بگیرید که مسئول کنترل ورود و خروج کارکنان سازمان می باشد. این شخص براحتی می تواند از اعتمادی که سازمان به او دارد سوء استفاده کرده و با دسترسی غیرمجاز ساعت های کارکرد و ورود و خروج کارکنان را به نفع شخصی تغییر دهد. حال اگر دسترسی به پایگاه داده دارای ضرایب امنیتی باشد احتمال اینکار بی نهایت پائین و یا غیر ممکن است.

تجربه نشان داده بیشترین مواردی که به سیستم ها آسیب رسانده و یا اطلاعات ما را دچار مشکل کرده است، ضعف های مدیریتی و سهل انگاری ها در شیوه های مدیریتی می باشد. متاسفانه بسیاری از مدیران شبکه محافطت از اطلاعات در پایگاه داده را امری ساده تلقی می کنند و یا در بهترین حالت دید امنیتی خود را متمرکز بر حملات حرفه ای کرده و روش های ساده حملات و رخنه را از یاد می برند.

دانستن و رعایت نکات کلیدی امنیتی در پایگاه داده، حفظ و نگهداری داده ها را تا بالاترین ضریب امنیتی برای ما به ارمغان می آورد. نکته مهم دیگری که باید به آن اشاره کرد این است که با یکبار پیکربندی پیچیده و حرفه ای و رعایت اصول اولیه نمی توان 100% امنیت را تضمین کرد. همان طور که می دانیم امنیت یک سیستم دائمی می باشد که مرتب می بایست بصورت دوره ای بررسی و در صورت لزوم مجدد پیکربندی شود، زیرا نقاط ضعف پایگاه های داده به مرور پدیدار می شود و روش های نفوذ نیز دائم تغییر و بروز رسانی می شود. پس اولین نکته مهم این است که یک بار پیکربندی قوی و حرفه ای نمی تواند تا مدت های زیاد امنیت را تضمین نماید.

در این بین آموزش کارکنان، مدیران و مدیران پایگاه داده نیز امری ضروری و لازم می باشد. به آنها می بایست یاد دهیم که اطلاعات غیر ضروری را دسته بندی و یا از روی سیستم به جای دیگر منتقل کنند. سرویس های اضافی غیر فعال شوند تا فاکتور های نفوذ به کمترین حد برسند.

این را هم می بایست در نظر داشته باشیم که نفوذ کننده صرفا یک شخص خارجی نیست بلکه می تواند یک کارمند مورد اعتماد سازمان باشد که به راحتی می تواند دسترسی های مجاز برای انجام کارها بگیرد و یا این دسترسی ها را برای خود ایجاد نماید.پس یک مدیر امنیتی حرفه ای با فرض نفوذ ار داخل و خارج سیستم پایگاه داده خود را امن می نماید.

نکته دیگر در امن کردن پایگاه داده نصب وصله های امنیتی ای که بصورت دوره انتشار می یابند است تا بتوان ضعف های سیستم پایگاه داده را از بین برده و ضریب امنیتی را در آن بالا برد. از طرفی دسترسی به اطلاعات و پایگاه داده می بایست با جدیدترین روش های احراز هویت و همچنین عملیات تهیه گزارش از دسترسی ها و تغییرات همراه باشد که در صورت تغییر و یا دسترسی غیر مجاز بتوان ردیابی های مورد نظر را انجام داد.

بعنوان مثال می توان تلاش های یک تیم امنیت را نام برد که پس از تحقیقات زیاد درباره ضعف های پایگاه داده متوجه شدند که حدود نیمی از آسیب های وارده به پایگاه داده مستقیم یا غیر مستقیم به سهل انگاری در مدیریت وصله های امنیتی در پایگاه داده می باشد.در برخی موارد مدیران پایگاه داده به صورت دوره های زیاد مثلا 3 ماه و یا حتی یک سال پایگاه داده خود را با وصله های امنیتی بروز کرده اند که این یک فاجعه بزرگ می باشد.

حال با توجه به موارد بالا به بررسی مهمترین موارد آسیب پذیری در پایگاه های داده می پردازیم:

به کارگیری نام کاربری/رمز عبور پیش فرض یا خالی یا از نظر امنیتی ضعیف

ممکن است در سازمان های بزرگ، پیگیری صدها یا هزاران پایگاه های داده، وظیفه ای طاقت فرسا و دلهره آور باشد. اما از بین بردن نام کاربری و رمز ورود به سیستم که هنوز در حالت پیش فرض، خالی (blank) یا از نظر امنیتی ضعیف هستند، اولین مرحله مهم برای پر کردن حفره های زره محافظ بانک اطلاعاتی سازمان می باشد. افراد نفوذگر همواره در گام اول نفوذ به دنبال پیگیری حساب هایی هستند که نام کاربری و رمز عبوری پیش فرض دارند، و هر زمانی که این امکان برایشان میسر شود لحظه ای در نفوذ به سیستم ها تردید نخواهند کرد.

متاسفانه بسیاری از مدیران پایگاه داده پس از راه اندازی آن و برای سهولت در کار پیکربندی و اتصال به پایگاه داده از رمزهای ساده و یا بدون رمز استفاده می کنند. یک نفوذگر می داند که معمولا کلمه کاربری Administrator و یا Systemadmin و مشابه آن است پس یک قدم جلوست. حال با چک کردن پسوردهای ساده شروع به تلاش برای دسترسی به پایگاه داده می کند. در قبل اشاره شد که سیستم های کنترل دسترسی مانند Event Log ها در این موارد بسیار به کمک ما می آیند و تلاش برای دسترسی را به ما نشان می دهند.

  ادامه دارد...