Toutes les organisations utilisent des bases de données dans une certaine mesure, que ce soit pour gérer des ensembles de données simples et à faible volume, tels que le carnet d'adresses d'une secrétaire, ou de grands référentiels de Big Data pour l'analyse d'informations stratégiques.

Le dénominateur commun de toutes ces bases de données est qu'elles doivent être protégées des nombreux risques auxquels elles sont confrontées, les principaux étant la perte, l'altération et le vol d'informations. D'autres risques, pas aussi critiques mais aussi dangereux, incluent la dégradation des performances et la violation de la confidentialité ou accords de confidentialité.

Les mécanismes de sécurité utilisés pour protéger les réseaux d'une organisation peuvent repousser certaines tentatives d'attaques sur les bases de données. Pourtant, certains risques sont propres à systèmes de bases de données (SGBD) et nécessitent des mesures de sécurité, des techniques et des outils spécifiques.

Menaces affectant les bases de données

Ce qui suit est une liste des menaces les plus courantes affectant les bases de données aujourd'hui qui doivent être atténuées en renforçant les serveurs de base de données et en ajoutant quelques procédures aux techniques de sécurité et d'audit courantes.

Gestion des autorisations inadéquate

Plus souvent que nous ne voudrions l'admettre, les serveurs de bases de données sont installés dans des organisations avec leurs paramètres de sécurité par défaut, et ces paramètres ne sont jamais modifiés. Cela expose les bases de données à des attaquants qui connaissent les autorisations par défaut et savent comment les exploiter.

Il y a aussi le cas d'abus d'autorisations légitimes : les utilisateurs qui utilisent leurs privilèges de base de données pour en faire un usage non autorisé, par exemple en divulguant des informations confidentielles.

L'existence de comptes inactifs pose également un risque de sécurité qui est souvent négligé car des individus malveillants peuvent connaître l'existence de ces comptes et en profiter pour accéder aux bases de données sans autorisation.

Attaques par injection de base de données

La principale forme d'attaques par injection de base de données est Injection SQL attaques, qui attaquent les serveurs de bases de données relationnelles (SGBDR) qui utilisent le langage SQL. Les bases de données NoSQL, telles que MongoDB, RavenDB ou Couchbase, sont immunisées contre les attaques par injection SQL mais sont sensibles aux attaques par injection NoSQL. Les attaques par injection NoSQL sont moins courantes mais tout aussi dangereuses.

Les attaques par injection SQL et par injection NoSQL fonctionnent en contournant les contrôles de saisie de données des applications Web pour transmettre des commandes au moteur de base de données afin d'exposer ses données et ses structures. Dans les cas extrêmes, une attaque par injection réussie peut donner à l'attaquant un accès illimité au cœur d'une base de données.

Vulnérabilités de base de données exploitables

Il est courant que les services informatiques des entreprises ne corrigent pas régulièrement leur logiciel de base de SGBD. Ainsi, même si une vulnérabilité est découverte et que le fournisseur publie un correctif pour l'éliminer, cela peut prendre des mois avant que les entreprises ne corrigent leurs systèmes. Le résultat est que les vulnérabilités sont exposées pendant de longues périodes, ce qui peut être exploité par les cybercriminels.

Les principales raisons pour lesquelles les SGBD ne sont pas corrigés incluent les difficultés à trouver une fenêtre de temps pour arrêter le serveur et effectuer la maintenance ; des exigences complexes et chronophages pour tester les correctifs ; imprécision quant à savoir qui est responsable de la maintenance du SGBD ; charge de travail excessive des administrateurs système, entre autres.

Existence de serveurs de bases de données cachés

Le non-respect des politiques d'installation de logiciels dans une organisation (ou l'absence de telles politiques) amène les utilisateurs à installer des serveurs de base de données à leur propre discrétion pour résoudre des besoins particuliers. Le résultat est que des serveurs apparaissent sur le réseau de l'organisation, ce que les administrateurs de sécurité ne connaissent pas. Ces serveurs exposent des données confidentielles à l'organisation ou exposent des vulnérabilités qui peuvent être exploitées par des attaquants.

Sauvegardes accessibles

Bien que les serveurs de bases de données soient protégés par une couche de sécurité, les sauvegardes de ces bases de données peuvent être accessibles aux utilisateurs non privilégiés. Dans une telle situation, il existe un risque que des utilisateurs non autorisés puissent faire des copies des sauvegardes et les monter sur leurs propres serveurs pour extraire les informations sensibles qu'elles contiennent.

Techniques et stratégies pour protéger les bases de données

Pour assurer une protection adéquate des bases de données d'une organisation, une matrice défensive des meilleures pratiques est nécessaire, associée à des contrôles internes réguliers. La matrice des meilleures pratiques comprend les éléments suivants :

  • Gérez les droits d'accès des utilisateurs et éliminez les privilèges excessifs et les utilisateurs inactifs.
  • Former les employés aux techniques d'atténuation des risques, y compris la reconnaissance des cybermenaces courantes telles que les attaques par hameçonnage, les meilleures pratiques concernant l'utilisation d'Internet et de la messagerie électronique, et gestion des mots.
  • Évaluez les vulnérabilités de la base de données, identifiez les points de terminaison compromis et classez les données sensibles.
  • Surveillez toutes les activités d'accès à la base de données et les modèles d'utilisation en temps réel pour détecter les fuites de données, SQL non autorisé et Big Data les transactions et les attaques de protocole/système.
  • Automatisez l'audit avec une plate-forme de protection et d'audit de base de données.
  • Bloquez les requêtes Web malveillantes.
  • Archiver des données externes, crypter les bases de données, et masquer les champs de la base de données pour masquer les informations sensibles.

Outils de sécurité de base de données

Les techniques ci-dessus nécessitent beaucoup d'efforts de la part du service informatique de l'organisation et, bien souvent, le personnel informatique ne peut pas effectuer toutes ses tâches, de sorte que les tâches qui doivent être effectuées pour assurer la sécurité des bases de données ne sont pas effectuées. Heureusement, quelques outils facilitent ces tâches afin que les dangers qui menacent les bases de données ne les affectent pas.

Scuba Database Vulnerability Scanner

Scuba est un outil gratuit et facile à utiliser qui offre une visibilité sur les risques de sécurité cachés dans les bases de données d'une organisation. Il propose plus de 2,300 2 tests d'évaluation pour les bases de données Oracle, Microsoft SQL, Sybase, IBM DBXNUMX et MySQL, qui détectent toutes sortes de vulnérabilités et d'erreurs de configuration.

Avec ses rapports clairs et concis, Scuba révèle quelles bases de données sont à risque et quels risques se cachent dans chacune d'entre elles. Il fournit également des recommandations sur la manière d'atténuer les risques identifiés.

Les analyses de plongée peuvent être effectuées à partir de n'importe quel client Windows, Mac ou Linux. Une analyse typique avec cet outil prend entre 2 et 3 minutes, selon la taille des bases de données, le nombre d'utilisateurs et de groupes, et la vitesse de la connexion réseau. Il n'y a pas de prérequis d'installation autre que d'avoir le système d'exploitation à jour.

Bien que Scuba soit un outil autonome gratuit, Imperva l'inclut dans sa gamme de produits spécifiques pour la sécurité des données, offrant la protection des données et sécurité dans le cloud, la confidentialité des données et l'analyse du comportement des utilisateurs.

dbWatch Control Center

dbWatch est une solution complète de surveillance et de gestion de bases de données prenant en charge Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL et Azure SQL. Il est conçu pour effectuer une surveillance proactive et automatiser autant de maintenance de routine que possible à grande échelle sur site, hybride ou base de données cloud environnements.

dbWatch est hautement personnalisable et couvre le flux de travail DBA, de la surveillance à l'administration, à l'analyse et à la création de rapports. Les utilisateurs de l'outil soulignent sa capacité à découvrir facilement des serveurs, y compris virtuels. Il s'agit d'un excellent avantage pour la gestion et le suivi des actifs informatiques, facilitant la détermination des coûts et l'évaluation des risques.

Tout en offrant de grandes fonctionnalités, la courbe d'apprentissage de dbWatch est raide, alors attendez-vous à ce qu'après l'achat de l'outil, les procédures d'installation et la formation prennent un certain temps avant que l'outil ne soit opérationnel à 100 %. Une version d'évaluation gratuite et limitée dans le temps est disponible en téléchargement.

AppDetectivePRO

AppDetectivePRO est une base de données et un scanner Big Data qui peuvent immédiatement découvrir les erreurs de configuration, les problèmes d'identification/de contrôle d'accès, les correctifs manquants ou toute combinaison toxique de configurations pouvant entraîner une fuite de données, une modification non autorisée des informations ou attaques par déni de service (DoS).

Grâce à sa configuration simple et son interface conviviale, AppDetectivePRO peut immédiatement découvrir, évaluer et signaler la sécurité, les risques et la posture de sécurité de toute base de données ou référentiel Big Data au sein d'un l'infrastructure de l'organisation – que ce soit sur site ou dans le cloud – en quelques minutes.

AppDetectivePRO peut être utilisé comme un complément aux scanners pour les systèmes d'exploitation hôtes ou réseau et les applications statiques ou dynamiques. Sa gamme d'options offre plus de 50 politiques de conformité et de configuration prêtes à l'emploi sans nécessiter la maintenance de scripts SQL pour la collecte de données.

DbDefence

DBDefence est un outil de sécurité pour les bases de données résidant sur Microsoft SQL Server. Il se caractérise par sa facilité d'utilisation, son accessibilité et son efficacité pour crypter des bases de données complètes et protéger leurs schémas, empêchant complètement l'accès aux bases de données, même pour les utilisateurs disposant des privilèges les plus élevés.

Le cryptage fonctionne côté serveur, permettant à un administrateur autorisé de crypter et décrypter les bases de données en toute sécurité, sans avoir besoin de modifier les applications qui y accèdent. L'outil fonctionne avec n'importe quelle version de SQL Server après 2005.

DbDefence fonctionne au niveau du fichier et de l'objet SQL, ce qui le différencie des autres logiciels de chiffrement SQL Server. Il peut distinguer quels objets ont fait l'objet d'une tentative d'accès et quels objets ont été refusés ou autorisés à accéder.

Pour inclure DbDefence dans une solution, il n'est pas nécessaire d'acheter des licences pour chaque application cliente. Une seule licence de redistribution suffit pour l'installer sur n'importe quel nombre de clients.

OScanner

OScanner est un outil d'analyse et d'évaluation de base de données Oracle développé en Java. Il a une architecture basée sur des plugins, qui a actuellement des plugins pour les fonctions suivantes :

  • énumération Sid
  • Test de mot de passe (commun et dictionnaire)
  • Énumération des versions d'Oracle
  • Énumération des rôles, des privilèges et des hachages des comptes d'utilisateurs
  • Énumération des informations d'audit
  • Énumération des politiques de mot de passe
  • Énumération des liens de base de données

Les résultats sont présentés dans une arborescence graphique Java. Il fournit également un format de rapport XML succinct et une visionneuse XML intégrée pour afficher le rapport. L'installation de l'outil nécessite uniquement un environnement d'exécution Java et le fichier d'installation (zip) d'OScanner.

OScanner fonctionne de manière similaire à la fonction de devinette de mot de passe d'Oracle Auditing Tool (OAT opwg), en utilisant le fichier account .default pour obtenir les paires nom d'utilisateur/mot de passe par défaut. Il diffère de l'outil Oracle en ce qu'il tente également de deviner les comptes avec le même nom d'utilisateur et le même mot de passe.

dbForge Security Manager

Security Manager fait partie de la suite Studio dbforge. pour MySQL, en y ajoutant un outil puissant de gestion de la sécurité dans MySQL bases de données. Avec des fonctionnalités étendues et une interface utilisateur pratique et conviviale, il vise à faciliter les tâches d'administration de sécurité de routine, telles que la gestion des comptes d'utilisateurs et des privilèges MySQL.

L'utilisation d'un Security Manager améliore la productivité du personnel informatique. Il offre également d'autres avantages, tels que le remplacement des opérations de ligne de commande complexes par une gestion visuelle plus simple des comptes d'utilisateurs MySQL et de leurs privilèges. L'outil permet également d'augmenter la sécurité de la base de données, grâce à des procédures de gestion simplifiées qui minimisent les erreurs et réduisent le temps requis par le personnel administratif.

Avec les cinq onglets de la fenêtre du gestionnaire de sécurité, vous pouvez créer des comptes d'utilisateurs en quelques clics, en accordant à chacun des privilèges globaux et objets. Une fois les comptes créés, vous pouvez consulter leurs paramètres en un coup d'œil pour vous assurer que vous n'avez fait aucune erreur.

Vous pouvez télécharger une version entièrement gratuite de dbForge Studio pour MySQL, qui offre des fonctionnalités de base. Ensuite, il existe les versions Standard, Professional et Enterprise, avec des prix allant jusqu'à environ 400 $.

Derniers mots : bases de données vraiment sécurisées

Il est courant pour les organisations de croire que leurs données sont sécurisées uniquement parce qu'elles disposent de sauvegardes et pare-feu. Mais il existe de nombreux autres aspects de la sécurité des bases de données qui vont au-delà de ces mesures de sécurité. Lors de la sélection d'un serveur de base de données, l'organisation doit tenir compte des aspects énumérés ci-dessus, qui impliquent tous de donner aux serveurs de base de données l'importance qu'ils ont dans la gestion stratégique des données critiques d'une organisation.