Monitoring na straży baz danych

Kontrola aktywności użytkowników sieci LAN to ważny element bezpieczeństwa, bo ponad 70% włamań do baz danych wykonywanych jest przez pracowników zatrudnionych w firmach.

Aktywność pod lupą

Zaawansowane rozwiązania do monitorowania baz danych pozwalają na podgląd, agregację i raportowanie komunikatów z baz danych w ramach całego przedsiębiorstwa. Wiele rozwiązań dostarcza także funkcjonalności biznesowych, takich jak audytowanie czy zgodność z prawem, generując alarm przy każdym potencjalnym zagrożeniu bezpieczeństwa lub złamania prawa.

Bezpieczeństwo baz danych i najlepsze praktyki związane ze zgodnością z prawem wymagają monitoringu wobec znanych zagrożeń. Zwykle odwołują się do proaktywnej kontroli, monitoringu baz danych w czasie rzeczywistym, co zapewnia, że bazy danych są chronione w czasie pomiędzy znalezieniem luki a wynalezieniem odpowiedniej metody zabezpieczenia jej. Firmy powinny proaktywnie wdrażać systemy monitoringu aktywności, aby upewnić się, że mają najwyższy możliwy poziom bezpieczeństwa baz danych.

Efektywne rozwiązanie do monitoringu baz danych umożliwia obserwowanie całej aktywności baz danych. Aby to zrobić, specjalne sensory, zainstalowane w sieci na serwerach baz danych, monitorują wszystkie pakiety wysyłane przez owe bazy. Sensory sieciowe pełnią rolę policji - kontrolują każdy pakiet wychodzący i przychodzący do bazy danych. W tym przypadku analizie nie podlega działalność wykonana bezpośrednio na serwerze baz danych, stworzono więc oddzielne sensory, instalowane właśnie tam. Przechwycone dane są agregowanie, analizowane i filtrowane przez scentralizowaną konsolę zarządzającą, odpowiedzialną za korelację danych i raportowanie.

Działania te mają szczególne znaczenie w najbardziej skomplikowanych, heterogenicznych, rozproszonych środowiskach bazodanowych. Tam, gdzie w ciągu sekundy wędrują miliony bitów, konieczne jest centralne zarządzanie monitoringiem, połączone z identyfikacją intruzów, alarmowaniem i raportowaniem najważniejszych wydarzeń, naruszeń prawa czy nawet podejrzanej działalności. Ale równocześnie bardzo ważna jest analiza stanu sieci, aby jak najszybciej wykryć jej podatność na różne zagrożenia. Bez tej wiedzy monitorowanie systemów będzie nieskuteczne o tyle, że nie będzie możliwe skojarzenie występujących zdarzeń z potencjalnie znanymi zagrożeniami, takimi jak SQL Slammer Worm, ataki na bazy SQL, przepełnienie bufora czy dziury w nieodpowiednio zaktualizowanym systemie.

Monitoring aktywności to kluczowa część każdego skomplikowanego środowiska bazodanowego, umożliwiająca zapewnienie bezpieczeństwa i jednocześnie świadcząca o stosowaniu najlepszych praktyk. Monitorowanie i alarmowanie pozwala firmom wykrywać niecodzienną aktywność w bazach danych lub naruszanie polityk bezpieczeństwa i generować odpowiednie alarmy. Kompleksowe podejście, łączące analizę podatności bazy danych na zagrożenia i monitoring aktywności w czasie rzeczywistym, jest konieczne, aby zapewnić skuteczny audyt bezpieczeństwa i spełnić wymagania prawne. Adresując te obszary z troską o dzisiejsze skomplikowane środowiska bazodanowe, firmy mogą zminimalizować ryzyko i ograniczyć podatność na zagrożenia w swojej infrastrukturze IT.

Wykrycie ataku trudniejsze niż ochrona

Zabezpieczenie korporacyjnych systemów przed atakującymi nie jest proste. Ale zdaniem ekspertów wykrycie faktu włamania może być jeszcze trudniejsze. Wskazują na to przypadki wielu amerykańskich firm (spółki publiczne mają tam obowiązek informowania o fakcie wycieku danych z ich systemów), gdzie często o ataku administratorzy nie wiedzą nawet przez kilka miesięcy.

Długość tego okresu nie powinna jednak dziwić, skoro atakujący mają tak wiele dróg do osiągnięcia swojego celu - uzyskania dostępu do systemu. Atak może nastąpić z bardzo wielu stron. Można to porównać do faktu, że trudno spodziewać się, aby złodziej włamał się przez okno na ósmym piętrze w dwudziestopiętrowym budynku. W kontekście bezpieczeństwa systemów IT jest to możliwe. Dlatego jedyną metodą na wykrycie intruzów jest ciągłe analizowanie w czasie rzeczywistym każdej transakcji, która występuje w ruchu sieciowym.