Данные о клиентах обладают огромной силой. Это обеспечивает огромную глубину понимания вашим командам по маркетингу, продажам и обслуживанию клиентов. Это помогает составить четкое представление о поведении ваших клиентов как онлайн, так и оффлайн. Широко распространено мнение, что бизнес, основанный на данных, более успешен; фактически они в 23 раза чаще приобретают новых клиентов.
Но все эти данные нужно где-то хранить. Если данные — это источник жизненной силы современного бизнеса, то базы данных — это его бьющееся сердце. Хуже того, потребительские данные привлекательны не только для вас: киберпреступники управляют здоровым черным рынком данных, где адреса электронной почты, проверенные учетные записи и SSN получают свои собственные цены.
Управление этими данными и забота о них влечет за собой нечто большее, чем просто поддержание их актуальности. Выбрав сбор этих данных, вы также должны гарантировать, что защитите своих клиентов от утечки данных. Безопасность облачных баз данных сейчас важнее, чем когда-либо, и многие компании систематически воспринимают эти данные как нечто само собой разумеющееся.
Распространенные проблемы безопасности базы данных
Прежде чем углубляться в шокирующее количество плохо управляемых баз данных, давайте сначала рассмотрим некоторые из наиболее распространенных проблем безопасности баз данных.
SQL-инъекция — это метод, позволяющий злоумышленникам внедрять и выполнять код в базе данных. Он представляет собой один из наиболее распространенных методов веб-хакинга. SQL-инъекция обычно происходит вокруг полей ввода пользователя. Например, если на вашем сайте есть форма или поле для входа, которое запрашивает у пользователя имя пользователя, злоумышленник может вместо этого предоставить исполняемый оператор SQL. Если не защищено, это будет работать в вашей базе данных.
Еще одной серьезной проблемой является неправильное управление правами пользователя. Помните, как украденным учетным данным посвящены целые торговые площадки даркнета? База данных, которая не контролирует распределение привилегий, становится бомбой замедленного действия. Серьезная утечка данных — лишь вопрос времени. Например, если обычным пользователям автоматически предоставляются права суперпользователя, достаточно, чтобы одна учетная запись была захвачена злоумышленником. Отсюда злоумышленник с учетной записью марионетки может выполнить код, потенциально получив доступ ко всей базе данных.
Третья и последняя проблема – это привычка откладывать дела на потом. После публикации уязвимости крайне важно, чтобы уязвимая часть архитектуры была исправлена или защищена иным образом. Эти две проблемы в совокупности — чрезмерная выдача привилегий и медленное исправление — усилили массовую утечку данных Equifax в 2017 году.
На серверах Equifax одно из сторонних программ Apache — Apache Struts — было ключевым компонентом в разрешении кредитных споров с клиентами. В начале года эта структура была признана уязвимой. Вскоре был выпущен патч, но Equifax медлил с обновлением своих серверов. К середине мая группа хакеров использовала эту первоначальную уязвимость Struts, чтобы получить доступ к внутреннему серверу в корпоративной сети Equifax. Информация, которую хакеры извлекли из этого, включала учетные данные сотрудников Equifax. Благодаря этому злоумышленники имели практически полный доступ к базам данных кредитного мониторинга.
Всего было украдено 147,9 миллиона записей о клиентах.
Еще хуже то, что треть баз данных либо не имеет аудита, либо совершенно неправильно настроена. Это означает, что вы понятия не имеете о том, что происходит внутри вашей базы данных. Аудит — это важнейшая функция, помогающая проводить аудит и отслеживать события базы данных. Без этого восстановление после нападения и проведение судебно-медицинской экспертизы становятся практически невозможными. А если вы понятия не имеете, как произошла атака, у вас остаются все судебные иски по поводу утечки данных – и вы не знаете, как предотвратить ее повторение.
Эпидемия медленных и незащищенных баз данных
Используя открытый исходный код, исследователи регулярно сканируют уязвимые базы данных компаний. Одна из таких исследовательских групп, Group-IB, отметила ежегодный рост числа уязвимых серверов по всему миру. Имея ошеломляющие 93 685 активов, США страдают от самой высокой концентрации открытых серверов. У Китая, занявшего второе место, было относительно небольшое число — 54 764 человека.
Group-IB также уточнила, сколько времени требуется владельцам серверов на исправление неправильных конфигураций. В среднем это занимает 170 дней. Злоумышленникам Equifax потребовалось 28 усилий, чтобы воспользоваться этой уязвимостью.
Метод, используемый Group-IB, не является коммерческой тайной; тот же код с открытым исходным кодом может быть легко использован злоумышленниками для сканирования уязвимых баз данных и их обнаружения.
Лучшие практики работы с базами данных
В среде облачного сервера становится невероятно легко просто передать всю ответственность – вместе с самими данными – вашему облачному провайдеру. Однако почти все эти облачные провайдеры работают по модели общей ответственности. Это может варьироваться в зависимости от конкретного партнера, но практическое правило заключается в том, что поставщики облачных услуг сами управляют безопасностью облачной архитектуры. С другой стороны, вам необходимо поддерживать содержимое – и возможности доступа – на безопасном и разумном уровне.
Стоит рассмотреть несколько методов обеспечения безопасности облачных серверов. Первое и самое важное — избегать бесплатных хостинг-провайдеров. К сожалению, бесплатные базы данных часто экономят на встроенных функциях безопасности, в результате чего вам приходится вручную настраивать дополнительные уровни защиты.
Платные базы данных также не являются гарантией защиты. Привилегии и разрешения учетной записи по-прежнему являются серьезным препятствием для большинства владельцев баз данных, и вся ответственность лежит исключительно на вас. Единовременное и экономичное решение этой угрозы — управление привилегиями учетных записей пользователей через группы. За счет установления иерархии групп пользователей – от минимальных привилегий до полноценного суперпользователя – даже если одна учетная запись пользователя будет скомпрометирована, вся база данных все равно может оставаться некритической.
Лучшая форма безопасности — это та, которая развертывается автоматически и масштабируется по мере вашего роста. Сторонние решения могут как отслеживать, так и защищать вашу базу данных. Будь то поддержание актуальной инвентаризации данных, уведомление вас, если что-то не так, или классификация конфиденциальных данных в режиме реального времени.
Таким образом, ваша база данных может масштабироваться по мере вашего роста, при этом ситуация с безопасностью не становится все более неопределенной и сложной. Одинаково гибкий в процессах масштабирования и обеспечения соответствия требованиям, это дает вам возможность заниматься тем, что имеет значение, освобождая вас от цепей ручного наблюдения за вашей базой данных.