Warning: session_start(): open(/var/cpanel/php/sessions/ea-php54/sess_c516prmuei1l6t2fpu2o4vabd7, O_RDWR) failed: No space left on device (28) in /home/itextreme/public_html/index.php on line 3
IT-Extreme - Oracle adatbázis-biztonság: a vállalati adatkiszivárgás megakadályozása a forrásnál

Lap tetejére
Hirek Tesztek RSS facebook
IT-Extreme hírportál
Érdekességek
MaxRay - 2008-04-30

A szervezetek nagy többsége számára a legértékesebb eszközöket a tárolt információk, a szellemi tulajdon, az adatbázisokban tárolt adatok jelentik, nem a fizikai javak.

 
Az érzékeny információkat védő megoldások iránti keresletet eredetileg az olyan iparágak táplálták, amelyeknek meg kellett felelniük különböző állami és iparági szabályozásoknak (pl. a pénzügyi szolgáltatások, a bankszféra és az egészségügy). Miután azonban 2006-ban és 2007-ben egymás után számos olyan, nagy nyilvánosságot kapott incidens történt, amelyek során ügyféladatok és bizalmas információk szivárogtak ki (vagy elvesztették/ellopták őket), a szigorúan szabályozott iparágakon kívül is robbanásszerüen megnőtt az igény az ilyen megoldások iránt. Az adatvédelmi hibák, sőt, csupán annak a gyanúja, hogy az ügyféladatok védelme elégtelen, bizalomvesztéshez vezethet az ügyfelek részéről, kihathat az ügyfélmegtartásra és jelentős mértékben ronthatja a márka és a vállalat hírnevét.
 
A tétek rendkívül magasak az olyan szervezetek esetében, amelyek betegadatokat, társadalombiztosítási számokat, hitelkártyaszámokat vagy egyéb, védett, személyes adatokat kezelnek. Ezeket a cégeket az állami és iparági szabályozások arra kényszerítik, hogy megfelelő megoldásokat vezessenek be a személyes adatok kiszivárgásának megakadályozására. A bizalmas és személyes adatok elvesztése pereket vonhat maga után az ügyfelek/páciensek részéről, lehetőséget ad a személyi azonosítók eltulajdonítására és gyakran jóvátehetetlen kárt okozhat a szervezet hitelességének és jó hírnevének.
 
Minden olyan szervezet, amely érzékeny személyes vagy pénzügyi adatokat kezel, potenciális célpont. A támadások új irányai az „üzleti ütőeret” veszik célba. A bünözők a vállalkozáson belülről hajtanak végre célzott támadásokat a pénzügyi eszközök, a jó hírnév vagy az érzékeny, a vállalat tulajdonát képező adatok ellen. Egy szélsőséges esetben az újonnan felvett alkalmazottakat kifejezetten azzal a céllal építették be, hogy ellopják az ügyfelek hitelképességi adatait. Az ilyen új, kreatív támadásokat részben azért nehéz felfedni, mert több, összefüggő biztonsági hiányosságot használnak ki, részben pedig azért, mert a vállalaton belül tevékenykedő, megbízhatónak tekintett személyektől erednek.
 
A kritikus információkhoz való belső hozzáféréssel kapcsolatos növekvő aggodalom miatt a vállalatoknak korlátozniuk kell a belső személyek, különösen az adminisztrátorok hozzáférési jogosultságait. Az Oracle Database Vault olyan mechanizmus, amely megvédi az információt a belső fenyegetésektől. A felhasználói jogok korlátozása miatt azonban a dolgozók úgy érezhetik, hogy a vállalat nem bízik meg bennük. Az Oracle-nek „meg kell nyernie” az ügy számára az adatbázis-adminisztrátorokat, akik adott esetben nem lelkesednek túlságosan az ilyen biztonsági megoldások iránt. Az IDC szerint az adatbázis-adminisztrátorok hajlandók lesznek elfogadni a változásokat, mihelyst megértik, hogy esetleges incidensek esetén éppen ez tisztázza őket a gyanú alól.
 
 
Belső kontra külső fenyegetések
 
Az IDC 2007-es Vállalatbiztonsági felmérése (Enterprise Security Survey), amelyben 433 észak-amerikai információtechnológiai szakember vett részt, arról tanúskodik, hogy a belső forrásokat veszélyesebb fenyegetésnek tekintik a vállalatokra nézve, mint a külsőket.  A belső és külső fenyegetésekkel kapcsolatos aggodalmak mértéke közötti különbség sokkal markánsabb a nagyvállalatok esetében. A belső fenyegetésekkel kapcsolatos aggodalom erősödése nem meglepő, hiszen a vállalatok figyelmüket elsősorban a külvilággal szembeni védekezésre fordították – arra, hogy miként tudják kívül tartani az illetéktelen személyeket –, és eközben lényegesen gyengébb, vagy akár egyáltalán nem létező védelemmel rendelkeznek az olyan információ-tárházak tekintetében, mint az adatbázisok. Ha valaki egyszer bejutott, az már gyakorlatilag korlátlanul hozzáférhet az információhoz. Úgy tünik, fokozódik az igény az adatok belső fenyegetésekkel szembeni védelmének megerősítése iránt.
 
 
 
Az IDC-felmérés további megállapításai, amelyek az adatok belső fenyegetésekből adódó veszélyeztetettségét illusztrálják:
 
-    [%TAB%]A nagyon nagy (10 000-nél több alkalmazottat foglalkoztató) szervezetek 80%-a, a nagy (1000–9999 alkalmazottat foglalkoztató) szervezeteknek pedig 52%-a mondott már fel alkalmazottaknak vagy alvállalkozóknak a belső biztonsági szabályok megszegése miatt.
-    [%TAB%]A nagyon nagy (10 000-nél több alkalmazottat foglalkoztató) szervezetek 31%-a, a nagy (1000–9999 alkalmazottat foglalkoztató) szervezeteknek pedig 15%-a indított már pert alkalmazott ellen a belső biztonsági szabályok megszegése miatt.
 
A szervezett támadók elsősorban az illegálisan megszerzett adatok értékesítésére utaznak; ők maguk általában nem követnek el visszaéléseket. A lopott hitelkártyák és más azonosítók kereskedelme mára virágzó üzletággá vált. Az IDC becslése szerint 2006-ban a lopott és feltört személyi azonosítók adásvételének forgalma 900 millió dollár volt. A belső fenyegetések rohamosan egyre feljebb kerülnek a vállalati fenyegetések prioritási listáján; mára a vállalatokkal szembeni 10 legkomolyabb fenyegetés közül három ezekkel kapcsolatos.
 
A biztonság kezelésében alapvető változást jelent, hogy a biztonsággal kapcsolatos intézkedések jelentős részére nem azért kerül sor, hogy megvédjék a hálózatot a támadóktól, hanem azért, hogy a vállalatok megfeleljenek az állami szabályozásoknak és az iparág szabványainak. E szabályozások bevezetésére egy-egy törvénysértés vagy látványos hiba nyomán került sor. Az állami és iparági szabályozások továbbra is kulcsfontosságú motivációs erőt jelentenek az adatvédelmi és ellenőrzési (IPC) megoldások bevezetésében.
 
Az IDC kutatása azonosította azokat a csapdákat, amelyek megfelelőségi hibákhoz vezetnek. Ilyenek, egyebek között:
-    [%TAB%]A feladatmegosztás megoldatlansága, ami óhatatlanul teljes jogosultsággal rendelkező („superuser”) felhasználók létrehozásához vezet.
-    [%TAB%]Az éles adatbázisokhoz teljes jogú felhasználási jogosultsággal rendelkező felhasználók számának ellenőrizetlensége.
-    [%TAB%]Az adatok nem megfelelő biztonsága az egyedi fejlesztésü alkalmazásokban.
-    [%TAB%]A manuális folyamatok nem megfelelő dokumentálása és egyeztetése az alkalmazott informatikai rendszerekkel.
-    [%TAB%]Az operációs rendszerekhez és a vállalati pénzügyi alkalmazásokat és tranzakciókat támogató adatbázisokhoz való hozzáférés biztonságának elégtelensége.
-    [%TAB%]A különleges jogokkal rendelkező felhasználók által végzett tevékenységek nyomon követésének elmulasztása.
 

Warning: Unknown: open(/var/cpanel/php/sessions/ea-php54/sess_c516prmuei1l6t2fpu2o4vabd7, O_RDWR) failed: No space left on device (28) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/var/cpanel/php/sessions/ea-php54) in Unknown on line 0