Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Тестируем системы предотвращения «выжимки» данных

Джон Сойер

Современным кибергангстерам не нужна слава, они бьют наверняка, зная, что сфабрикованный SQL-запрос в конце концов принесет им кругленькую сумму. Хорошо ли вы защищены от «выжимки» данных из БД?

Когда в сентябре позапрошлого года в результате атаки на один из веб-серверов Second Life на всеобщее обозрение были выставлены регистрационные данные обитателей виртуального мира, компания Linden Lab аннулировала все пользовательские пароли и объявила, что в результате незначительной ошибки стала возможна инъекция SQL-кода (SQL injection), которая позволила злоумышленникам запустить на сервере БД серию SQL-команд. Компания призналась, что вместе с 650 тыс. имен клиентов были скомпрометированы их контактная информация, зашифрованные пароли и платежные данные.

Но давайте перейдем к событиям мая 2007 г., когда служащие Университета штата Миссури (University of Missouri — UM), по всей вероятности, пожалели, что не могут улететь на Марс. 3 мая ИТ-персонал университета обратил внимание на аномальное поведение одного из приложений, а на следующий день обнаружил в нем целые залежи ошибок. Одна уязвимость находилась на веб-странице контроля статуса обработки заявок службой оперативной технической поддержки; используя уязвимость к SQL-инъекциям и генерируя десятки тысяч запросов, злоумышленник самым примитивным способом (запись за записью) мог извлекать из БД имена служащих UM и номера их карточек социального страхования.

Пока специалисты ИТ разобрались, в чем тут дело, персональные конфиденциальные данные 22 396 человек успели безвозвратно «уплыть» в неизвестном направлении.

Ваши деньги и ваши данные

Совершенно не случайно на протяжении последнего года все увеличивающееся число проблем в области информационной безопасности связано не с воровством ноутбуков, а с компрометацией БД. Украв ноутбук из автомобиля, злоумышленник, скорее всего, становится обладателем кой-какого «железа» да коллекции MP3-музыки. Если же вы проникните в БД клиентской информации, ваши возможности становятся поистине безграничными. По мере увеличения числа компаний, развертывающих изобилующие данными онлайновые сервисы, которые требуют серверных БД, эта тенденция будет только расти.

В случае с Second Life злоумышленники раздобыли персональную информацию о сотнях тысяч пользователей, которые вполне могли бы стать мишенью целенаправленных фишинг-атак. Что же касается UM, то ставшие жертвами атаки типа «инъекция SQL-кода» служащие и впредь должны опасаться воровства идентификационной информации, поскольку в университете до сих пор используются небезопасное веб-приложение и устаревшая СУБД.

Конечно, в идеале — соблюдение безопасных методов программирования уже в ходе разработки веб-приложений. Однако давайте посмотрим правде в глаза: строить свою стратегию безопасности данных на предположении, что разработчики будут создавать «пуленепробиваемые» приложения, — это все равно что вести круговую оборону, имея в обойме винтовки один-единственный патрон.

Какой подход следует считать более надежным? Если бы в клиентской службе Linden Lab заблаговременно была развернута система предотвращения «выжимки» БД (Database Extrusion Prevention — DBEP), то их утечку вовремя заметили бы и пресекли. Проанализированные нами в ходе тестирования систем DBEP продукты способны быстро прекращать выдачу аномально большого числа запрошенных записей, такого, как, например, в случае компрометации пользовательских данных компании Linden Lab, и вовремя блокировать атаки типа «инъекция SQL-кода», имевшие место, например, в университете UM.

По сравнению с другими средствами защиты информационных ресурсов системы DBEP имеют некоторое преимущество перед стандартными продуктами предотвращения утечки данных, устанавливаемыми по периметру сети или работающими в качестве агентов конечных узлов, которое заключается в непосредственном размещении их перед серверами БД. Они способны заметить подозрительный трафик еще до того, как, преобразовав или зашифровав данные и таким образом сбив с толку персонал ИТ, злоумышленник сумеет незаметно «проскочить» в БД. В случае с традиционными средствами предотвращения утечки данных злоумышленник может избежать обнаружения, если, прежде чем многократно перегонять данные по сети, он получит соответствующий уровень контроля над ними.

Предприятиям, обеспокоенным возможностью компрометации хранящихся у них конфиденциальных сведений в результате атак против их оснащенных БД веб-серверов, самих серверов БД или неправильного их использования авторизованными пользователями, поставщики DBEP предлагают несколько вариантов защиты БД. В целом мы остались довольными проанализированными нами продуктами, и в их адрес имеем лишь пару нареканий. Хотя все они не универсальные, но любой из пяти протестированных нами продуктов способен предотвратить значительную часть «атак» на серверы БД, о которых сегодня мы с огорчением узнаем из «горячих» новостей.

Козырные карты

Мы протестировали системы DBEP в нашей лаборатории Real-World Labs Университета шт. Флорида. Компании Crossroads Systems, Guardium, Imperva и RippleTech прислали нам свои устройства, а компания Pyn Logic — ПО. Кроме того, мы приглашали принять участие в тестировании компании Application Security, IPLocks, Symantec, Tizor Systems и Transparency Software. Компания Symantec отклонила наше предложение, а компании Application Security и Transparency Software не успели подготовить последние релизы своего ПО к началу нашего тестирования. Остальные приглашенные производители хранили глубокое молчание.

Начиная наше тестирование, мы не были полностью уверены, чего следует ждать от присланных продуктов, но совершенно точно знали, что хотим найти в них, а именно: простоту инсталляции и конфигурирования, обширный перечень поддерживаемых СУБД, гибкие возможности контроля активности БД, уведомления об обнаружении или блокирования атак, разные полезные функции и приемлемую цену.

До последнего момента все протестированные нами продукты работали практически одинаково. Лидеры нашей «пятерки» были выявлены лишь после обнаружения у них некоторых дополнительных возможностей.

Мы нашли интересным тот факт, что два набравших больше всего баллов производителя — компании Guardium и Imperva — используют разные подходы к проблеме «выжимки» БД. Компания Imperva делает главный упор на сетевую безопасность, используя такие средства защиты, как межсетевой экран (МЭ) с контекстной фильтрацией пакетов (stateful firewall), сигнатуры системы предотвращения вторжений и сканирование уязвимостей серверов БД. Со своей стороны, компания Guardium концентрирует свое внимание в основном на генерации предупреждающих сообщений. Мы обнаружили по меньшей мере десять различных способов сбора статистики в процессе мониторинга и преобразования ее в автоматизированные аудиторские отчеты, в которых сообщается о степени безопасности сервера БД не на основе его непосредственного тестирования, а по сгенерированным предупреждающим сообщениям.

Основное различие между продуктами компаний Crossroads, Guardium и Imperva состояло в подходе к анализу базовой характерной активности БД (baselining) и созданию соответствующих политик. Каждый из этих продуктов мог осуществлять мониторинг активности БД и определять базовую политику, соответствующую профилю использования БД. Компания Imperva отличилась наличием в своем продукте средства динамического профилирования (Dynamic Profiling), которое осуществляет мониторинг активности, создает профили использования и затем позволяет им динамически обновлять самих себя путем определения «мягких» и «жестких» ограничений безопасности. С точки зрения любого предприятия с крупномасштабными инсталляциями БД такие возможности можно только приветствовать, ибо они избавляют администраторов DBEP от рутинных обязанностей по обновлению политик безопасности при каждом изменении ролей пользователей.

Управление всеми протестированными нами продуктами, кроме оснащенного Java-интерфейсом продукта Crossroads DBProtector, осуществляется посредством веб-браузера. Хотя веб-интерфейсы практически не досаждали нам разными присущими им особенностями, протестировав их как с браузером Mozilla Firefox на системах Linux, так и с Internet Explorer (IE) на системах Windows, нам стало очевидно, что разрабатывали их, ориентируясь на работу с IE. Интерфейс Java компании Crossroads не только приятен для глаз, но и прост в навигации. Что касается продуктов с веб-интерфейсами управления, то, хотя графические интерфейсы Guardium и Imperva были одинаково хороши, дизайн интерфейса Guardium был немного более совершенным.

Наш победитель

Не успев начать тестирование, мы были приятно удивлены множеством возможностей продукта SecureSphere Database Security Gateway компании Imperva.

В целях мониторинга устройство Imperva можно подключать как в сквозном (in-line) режиме, так и по дополнительному каналу (out-of-band), например, через порт мониторинга коммутатора или сетевое ответвление (network tap). Причем оба способа подключения допускают блокировку трафика либо путем его полного сброса при сквозном включении, либо отправкой пакетов сброса соединений TCP в случае подключения по дополнительному каналу. Только еще один тестируемый продукт — Guardium SQL Guard — имеет такие же возможности блокировки трафика.

Отличительной особенностью продукта Imperva SecureSphere являются его способности сканировать сервер БД на предмет наличия уязвимых мест и действовать в качестве системы предотвращения вторжений (Intrusion-Prevention System — IPS). Шлюз сканирует ПО СУБД и лежащую в основе сервера ОС на предмет наличия известных уязвимостей и ненадлежаще сконфигурированных параметров безопасности, способных стать причиной компрометации сервера БД. Кроме того, будучи развернутым в сквозном режиме, SecureSphere может действовать в качестве МЭ с контекстной фильтрацией пакетов и системы IPS, содержащей более 2500 сигнатур, предотвращая такие атаки, как нарушение протоколов и инъекция SQL-кода, а также активность известных типов «червей». Цена ставшего победителем нашего тестирования продукта SecureSphere составляет в тестовой конфигурации 45 тыс. долл..

  
7 '2008
СОДЕРЖАНИЕ

инфраструктура

• Накопители на жестких магнитных дисках уходят в прошлое

• Изоляция воздушных потоков в ЦОДе

• Современные технологии в инженерной инфраструктуре здания

бизнес

• Зашло ли лицензирование ПО в тупик?

• ZyXEL: 10 лет в одной лодке

• Планирование ресурсов контакт-центра

• Простился ли Fraport с ИТ?

информационные системы

• «Заплаты», которыми мы управляем

• Как заставить работать ILM

сети связи

• Тестовое оборудование для сетей xDSL

• Перспективные услуги сетей 3G

• Технологии для широкополосного доступа

кабельные системы

• Рынок кабеленесущих систем: развитие по всем направлениям

• Сварка оптических волокон: плюсы и минусы

защита данных

• Тестируем системы предотвращения «выжимки» данных

• Тестируем сканеры уязвимостей


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх