- Narzędzia monitorowania baz danych nie wykryją ataku polegającego na wstrzyknięciu kodu SQL. Zanim dotrze on do miejsca, w którym będzie mógł zostać wykryty, wygląda jak kolejne zapytanie przesyłane przez aplikację – mówi Kevin Johnson, dyrektor wykonawczy w firmie Secure Ideas zajmującej się realizacją testów penetracyjnych.

W zapobieganiu naruszeniom dużo bardziej wydajne i skuteczne są właśnie testy penetracyjne przeprowadzane na wszystkich aplikacjach biznesowych. Zasada jest prosta: nie można zapobiec skutkom błędów, jeśli w pierwszej kolejności nie wie się o ich istnieniu. Zapewnienie właściwego poziomu bezpieczeństwa wymaga dużo więcej wysiłku niż sam monitoring baz danych.

Zobacz również:

• Cyberobrona? Mamy w planach

- Moim zdaniem, najlepiej sprawdza się podejście wielopłaszczyznowe, które wymaga stosowania zapory sieciowej baz danych w połączeniu ze stałym monitoringiem baz danych i ruchu sieciowego. Pozwala to na redukcję zagrożeń wynikających ze wstrzyknięcia kodu SQL – mówi Paul Henry, starszy instruktor w Instytucie SANS.

Niemal 6 na 10 uczestników badania przeprowadzonego przez Instytut Ponemona stwierdziło, że ataki na takie firmy, jak Target, polegały na wstrzyknięciu kodu SQL. Wymaga to jednak wstrzyknięcia złośliwego polecenia w pole edycyjne. Jeśli to się uda, baza może dopiero zacząć zasysać dane do atakującego.

Ani Target, ani pozostali właściciele sieci detalicznych nie ujawnili, czy ataki, do których doszło w ostatnim roku, polegały na wstrzyknięciu kodu SQL czy nie. Opinie respondentów badania bazowały na ich własnych doświadczeniach. Niemal 7 na 10 z nich pracowało w organizacjach zobowiązanych do przestrzegania standardu bezpieczeństwa kart kredytowych PCI DSS. Każda sieć detaliczna musi spełniać wymagania tej normy, ale uzyskać zgodę banków na przyjmowanie płatności kartą.

- Można podejrzewać, że doszło do wstrzyknięcia kodu SQL ze względu na jego przeważającą obecność, ale przy braku wystarczających danych nie wyciągałbym pochopnych wniosków – mówi Paul Henry.

Właściciel amerykańskiej sieci detalicznej Target ujawnił że skradziono dane podwykonawcy umożliwiające dostęp do wewnętrznej sieci firmy. Co więcej, złośliwe oprogramowanie, które posłużyło do kradzieży 40 milionów numerów kart kredytowych, zasysało dane z pamięci elektronicznych kas. Firma Target dysponowała danymi osobowymi swoich klientów znajdującymi się na 70 milionach kont.