Η κυβερνοασφάλεια ήταν, είναι και θα είναι υπερβολικά σημαντική για την προστασία δεδομένων, δικτύων και συστημάτων. Ας δούμε τα στατιστικά: από μόνο μερικές χιλιάδες κυβερνοεπιθέσεις στο τελευταίο χρόνο, έχουν πέσει θύμα εκατοντάδες εκατομμύρια άτομα! Κάθε επίθεση έχει τίμημα το οποίο φτάνει εκατομμύρια δολάρια. Ο συγκεκριμένος κλάδος παρουσιάζει εγγενής δυσκολία ως προς την κατανόηση και φυσικά, στην εφαρμογή.
Η τήρηση των πρακτικών του database security αποτελεί τόσο ζήτημα του εκάστοτε οργανισμού όσο και ατομικό. Στη σύγχρονη εποχή, κάθε επαγγελματίας οφείλει να γνωρίζει τουλάχιστον τα βασικά για την προστασία ευαίσθητων δεδομένων και βάσεων. Για τον λόγο αυτό, θα τα αναφέρουμε περιληπτικά παρακάτω.
Ξεκινώντας με τα προφανή, πρέπει να υπάρχει περιορισμένη πρόσβαση στον εξοπλισμό ο οποίος έχει αποθηκευμένα ευαίσθητα δεδομένα, όπως και τακτική αλλαγή των κωδικών πρόσβασης.
1. Κρυπτογράφηση δεδομένων
Το data encryption αφορά την μετατροπή ευαίσθητων δεδομένων, ειδικά κωδικών και κλειδιών, σε μια μορφή η οποία δεν μπορεί να αποκρυπτογραφηθεί δίχως τη γνώση του κατάλληλου κλειδιού ή/και αλγορίθμου. Η κρυπτογράφηση πρέπει να αξιοποιεί μοντέρνους αλγόριθμους και πρωτόκολλα, έτσι ώστε ένας κακόβουλος χρήστης να μην έχει την δυνατότητα να διαβάσει τα περιεχόμενα μιας βάσης, εάν αποκτήσει πρόσβαση σε αυτά. Ταυτόχρονα, η επιλεγμένη μέθοδος κρυπτογράφησης πρέπει να έχει, ως ένα βαθμό, τυχαιότητα στο αποτέλεσμα που παράγει.
2. Αντίγραφα Ασφαλείας και Ανάκαμψη
Backup, backup, backup! Ανά τακτά χρονικά διαστήματα, κρίνεται απαραίτητο να παράγονται πολλαπλά αντίγραφα ασφαλείας της βάσης σε ασφαλή τοποθεσίες. Έτσι, μειώνουν τη ζημιά σε περίπτωση απώλειας δεδομένων, ή και ολόκληρου του database. Για να έχει νόημα η διαδικασία, κάθε παραγωγή backup παράγει και καταγραφή της (log entry). Για να το εξετάσουμε πιο αναλυτικά…
3. Logging (Καταγραφή)
Η αναγνώριση μιας επίθεσης είναι τόσο δύσκολη όσο και χρονοβόρα. Για τον λόγο αυτό, ελέγχουμε και καταγράφουμε την δραστηριότητα των χρηστών στη βάση. Ειδικότερα, ένα log μπορεί να περιέχει: τις εντολές που έτρεξαν χρήστες με δικαιώματα διαχειριστή, αιτήσεις για πρόσβαση ευαίσθητων δεδομένων, απόπειρες σύνδεσης/αποσύνδεσης, εντολών που προκάλεσαν σφάλματα και αποτυχημένες εξουσιοδοτήσεις. Αναμφίβολα, ο εμπλουτισμός του log εξαρτάται από το τι δύναται να εκτελεστεί στη βάση και τι πληροφορίες κρατά η βάση γενικά. Ένας τρόπος αυτόματης συγγραφής του log σε SQL γίνεται με τη χρήση ενός trigger.
4. Έλεγχοι Πρόσβασης
Ίσως από τους πιο κοινούς τρόπους να την… πατάμε σε επίπεδο database security είναι εξαιτίας ελλιπή ελέγχων των δικαιωμάτων των χρηστών για τροποποιήσεις. Για παράδειγμα, ένα πρωτεύον κλειδί σε έναν πίνακα είναι μόνο για ανάγνωση και όχι για χειροκίνητη αλλαγή. Προχωρώντας, κάθε χρήστης, ανάλογα τον ρόλο του, πρέπει να έχει τα ελάχιστα δυνατά προνόμια, γνωστό και ως principle of least privilege. Λόγου χάρη, προνόμια θεωρούμε λετουργίες όπως διαγραφή εγγραφών και προσθήκη νέων. Στο ίδιο πλαίσιο, να αναφερθεί και η βαρύτητα της αξιοποίησης διαφορετικών λογαριασμών μεταξύ χρηστών και εφαρμογών.
5. Μοντέλο Μηδενικής Εμπιστοσύνης
Πατώντας πάνω στα προηγούμενα, το Zero Trust Security Model αυτοματοποιεί την διαδικασία επαλήθευσης δικαιωμάτων με κάθε ερώτημα σε μια βάση. Πέρα από τα πλεονεκτήματα περιορισμού παραβάσεων, ενισχύει την συμμόρφωση εταιριών με ρυθμιστικές απαιτήσεις, σαν τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και τον Νόμο Φορητότητας και Λογοδοσίας Ασφάλισης Υγείας (HIPAA).
6. Διατήρηση Τελευταίων Εκδόσεων Εφαρμογών
Κάθε τεχνολογία, τόσο σε πλαίσιο server, βάσης, προγράμματος και δικτύου, έχει αναβαθμίσεις για μείωση ευπαθειών. Με πιο απλά λόγια, η ενημέρωση των software components κρατά την βάση προστατευμένη από διαρροές αδύναμων πεπαλαιωμένων συστημάτων.
Επίλογος
Εν κατακλείδι, το κεφάλαιο του database security δεν κλείνει ποτέ. Επομένως, στο πίσω μέρος του μυαλού μας ας μένουν πάντα οι βέλτιστες πρακτικές προστασίας. Οι γνώσεις για διαχείριση δεδομένων και της γλώσσας SQL, όμως, είναι στην άκρη των δαχτύλων σου, εδώ, στην Data Tutor! Σίγουρα προσδίδουν στην ημέρα ενός data engineer μια νέα οπτική!
Stay safe! 🛡️
