Second Guest post by Tali Poliak, about protecting the DB from Ransomware
בשנים האחרונות, אנו עדים, סוף סוף, להחמרה
בדרישות אבטחת מידע, למידע שחברות מחזיקות. אפשר להבחין בכך בעליה ברגולציות
שחברות נדרשות לעמוד בהן. הרגולציה שעשתה הכי הרבה כותרות בשנים האחרונות היא אחת
מרגולציות הגנת הפרטיות - ה GDPR. וכמובן שיש גם את הרגולציות בארץ. בנוסף,
אנו נחשפים לתוכנות כופרה שחודרות לארגון, מייצאות מידע רגיש המוחזק בבסיס הנתונים
ומאיימות לעשות בו שימוש או לפרסמו. לעתים הן גם מממשות את האיומים.
אנו עדים גם לביקורות אבטחת מידע וקנסות הניתנים
לחברות. אלה לאו דוקא ניתנים על פריצה (אין דרך למנוע הרמטית פריצות) אלא על חוסר
השקעה בנסיונות מניעה.
המאמר הקודם עסק בהתמודדות עם תוכנות כופרה שמבצעות הצפנה שקטה של המידע. זאת ע"י
בדיקת הבלוקים לפני שליחתם לגיבוי כמו גם לפני שליחתם לאתר שרידות וע"י בדיקת
תקינות הגיבויים ואחזקתם במכונה מאובטחת.(http://obieeil.blogspot.com/2021/10/blog-post.html)
במאמר
זה נעסוק בהגנה מפני ארועי סייבר אחרים, בכללם: תוכנות כופרה שגונבות מידע רגיש
ומאיימות לפרסמו ברבים.
כמובן
שפתרון כולל של אבטחת מידע דורש מהארגון שימוש בסט של יכולות בשכבות ובתשתיות
השונות. במאמר זה אתרכז בסקירת יכולות הגנת המידע של אורקל.
הצפנה
(Transparent Data Encryption)
אחד
הכלים הבסיסיים והראשונים שניישם הוא הצפנה.
כמה
יתרונות להצפנה של אורקל:
ההצפנה
של המידע היא מרמת התקשורת, עבור דרך בסיס הנתונים אל הדיסקים.
ההצפנה
איננה דורשת שינוי קוד ושקופה לאפליקציות
היא מתבצעת
בשכבה של בסיס הנתונים, כך שפחות רגישה לסיכונים. בנוסף, יישום בצורה זו, מבטיח
יישום אחיד, במקום אחד, עבור כל הגישות לבסיס הנתונים. גישות מאפליקציות שונות
וגישות ישירות.
ההצפנה
בנויה משתי רמות של מפתחות, כשרמה אחת שמורה בבסיס הנתונים והשניה מחוצה לו. ההרשאות
למפתח הינן נפרדות מאלה של מנהל בסיס הנתונים.
היתרונות
מבחינת אבטחת מידע ברורים: ישנה הפרדה בין המפתחות וישנה הפרדה בין המורשים לנהל
את בסיס הנתונים למי שמורשה לנהל את אבטחת המידע, כך שגם למנהל בסיס הנתונים אין
גישה למידע הרגיש. מעבר לכך, השימוש בשתי רמות של מפתחות מאפשר לעמוד ברגולציות
ולשנות את המפתחות אחת לתקופה מבלי להשפיע על פעילות בסיס הנתונים.
את
המפתח החיצוני ניתן לשמור בקבצי Wallet ו\או במוצר נוסף של אורקל Oracle Key Vault שזה מוצר תכנה לניהול מפתחות
וסיסמאות בארגון ו\או במוצר חומרה HSM שקיים בארגון. ניתן גם לשלב ביניהם.
ישנה
אינטגרציה של יכולת ההצפנה עם המוצרים הנוספים של אורקל כמו מוצר הגיבוי (Recovery Manager),
המוצר שמאפשר אתר שרידות (Active Data Guard), מוצר הרפליקציה של נתונים מבסיס הנתונים (GoldenGate).
עוד
יכולת לצד ההצפנה היא היכולת להשחיר חלק מהמידע (Data
Reduction).
חישבו לדוגמא על מרכז שירות שצריך לזהות אותנו לפי 4 הספרות האחרונות של כרטיס
האשראי. אין לו גישה למספר המלא של הכרטיס.
מיסוך
(Data Masking and Subsetting)
בדרך
כלל, בארגון, במקביל לסביבה התפעולית, קיימים שכפולים של בסיס הנתונים לסביבות
פיתוח, סביבות טסט ועוד. שכפולים אלה נמצאים לרוב בסביבות פחות מאובטחות. האתגר
הוא לאפשר לבצע בדיקות תכנה יעילות, בהן נשמרים הקשרים בין הנתונים, נשמר אותו
ייצוג ברמת הזיהוי של נתון בכל המערכות ויחד עם זאת, הבודקים אינם יכולים לראות את
הנתונים האמיתיים.
לאורקל
יכולת מיסוך שכוללת שמירה על אינטגריטי של הנתונים, שמירה על התבניות של הנתונים
ועוד.
Auditing (Database
Auditing and Audit Vault)
זהו
אחד התחומים הכי מאתגרים. שני האתגרים העיקריים: האחד - אנו רוצים לקבל לוגים "רזים"
עם מידע רלוונטי, כזה שנוכל אכן להוציא ממנו תובנות וכמה שיותר מהר. השני - אנו גם
רוצים אפשרות לבצע בחינה של תהליך נסיונות הגישה למידע, דרך כל השכבות בארגון.
הפתרון
לקבלת Auditing
יעיל וחכם:
בתוך
בסיס הנתונים ישנה יכולת לבצע Auditing גמיש וחכם. לדוגמא: פקידי בנק מורשים לגשת למידע הרגיש במהלך יום
העבודה. רק אם ניגשו למידע בשעת לילה מאוחרת אני רוצה התרעה מיידית. דוגמא נוספת:
עדכון של שדה משכורות בחברה הוא תקין. רק אם הערך עודכן באחוזים ניכרים אני רוצה
התראה על כך. עוד דוגמא: במקרה של עדכון של מידע רגיש ארצה שהלוג יכיל את הערך
המקורי והחדש ובמקרים אחרים ארצה רק אינדיקציה שעדכנו ערכים בטבלה.
חשוב
לציין שהמידע שנאסף בבסיס הנתונים לגבי המשתמש, הוא של משתמש הקצה גם אם התחבר
לאפליקציה והיא בתורה התחברה לבסיס הנתונים עם המשתמש האפליקטיבי (האפליקציה
מעבירה את פרטי משתמש הקצה ולאורקל יכולת לשמור אותו ולהפעיל הרשאות גם עליו,
למרות שאיננו קיים בבסיס הנתונים)
הפתרון
לקבלת Auditing
לכל הסביבה הוא בשימוש במוצר ה Audit Vault.
ה Audit Vault
הוא Software Appliance שמתקינים על שרת. הוא מכיל בתוכו מערכת הפעלה, בסיס נתונים בו
נשמר מנוהל ומתוחקר המידע שנאסף עבור Auditing חכם , דוחות מובנים ברמות שונות, APIs למערכות אחרות כולל Rest API.
המוצר
הוא לכלל סביבת העבודה, בארגון ובעננים, ולסט רחב של מוצרים. הוא מקבל לוגים של
בסיסי נתונים, של חומות אבטחה, של מערכות הפעלה ועוד ומנתח אותם בצורה חכמה, כך
שיכול למצוא את ההקשרים ולזהות התקפה.
חומת
הגנה (Database Firewall)
זהו
המוצר המשלים ל Audit Vault. גם הוא Software Appliance וגם הוא מגן על בסיסי נתונים רבים. לא רק של
אורקל. בעוד שה Audit Vault מטפל בשכבת בסיס הנתונים, ה Database
Firewall מטפל
בשכבת התקשורת. המוצר מספק הגנה לכל מה שעובר ברשת אל בסיס הנתונים. בכלל זה, הגנה
מפני SQL Injection- מצב בו ישנה חדירה לרשת ושינוי משפטי הגישה לבסיס הנתונים כך
שישלפו יותר מידע או יחבלו בנתונים. כמו כן, הוא מכיל את כל האפשרויות הבסיסיות
כמו הגדרת Policies, הגדרת White and Black lists – מי מורשה לגשת, מאיזה IP
ועוד.
המוצר
מספק גם הגנה דרך הפעלת מודלים של מכונה לומדת. אורקל, על בסיס מה שרץ באופן שוטף,
ובעזרת המודלים, מזהה אנומליות ומאפשרת להחליט אם לחסום את הגישה מיידית ולהוציא
גם התרעה או רק להוציא התרעה מיידית ולאפשר לחברה לבדוק ולנהל את הארוע. כך
ישנה אפשרות לעצור בזמן אמת חלק מהמתקפות.
ביזור
גישה למידע (Oracle Label Security, Virtual Private
Database, Database Vault, Real Application Security)
כשאנו
מצפינים את המידע, המידע יהיה מוצפן בדיסקים ובלי המפתח לא ניתן יהיה לראות את הנתונים.
מרגע
שהמידע נפתח בזכרון, אנו זקוקים להגנה נוספת כך שהגישה לנתונים תהיה רק למי שמורשה
מבין מי שהתחבר לבסיס הנתונים. לצורך כך, לאורקל סט של פתרונות ששייכים לאותה
משפחה. ההבדל ביניהם הוא בגמישות ובהטמעה. כולם שומרים על סגרגציה של המידע. לדוגמא,
שניים יכולים לגשת לאותה טבלה, להריץ את אותה השאילתא וכל אחד יקבל רק את הרשומות
שהוא מורשה לראות מבלי לדעת שהטבלה מכילה רשומות נוספות. זו רמה יותר גמישה ונוספת
על רמת ההרשאות הרגילות שקיימת בבסיס הנתונים.
Database Assessment
לסיום,
אתיחס לצעד הראשון והבסיסי ביותר. הרצה של בדיקת בסיס הנתונים אחת לתקופה.
לאורקל
מוצר רזה וחינמי שבו אורקל משקיעה פיתוח רב. מריצים אותו על בסיס הנתונים והוא
מייצר דו"ח שבודק את כל רמות אבטחת המידע. החל מבדיקת עדכוני פאטצים וכלה
בהמלצות על נתונים רגישים שלא הוצפנו. את הנתונים הרגישים התכנה מזהה גם לפי
תבניות הנתונים ובעוד אמצעים.
הדו"ח
מציג, לכל תחום בדיקה, את רמת אבטחת המידע שנמצאה, לאיזה סעיפים באיזה רגולציות
הממצא מתייחס (PCI, STIG, GDPR – ועוד. כל הרגולציות המוכרות). הוא גם מציג
המלצות.
בסיס
הנתונים והמוצרים הנלווים זמינים גם בסביבות ענן וגם בארגון (On Premise).
הפתרונות תקפים לכל הסביבות.
מידע
נוסף ניתן למצוא באתר אורקל או עדיף, נשמח למפגש. ניתן ליצור עימי קשר בערוצים
השונים.
טלי
פוליאק tali.poliak@oracle.com, יועצת טכנולוגית בכירה בתחום ניהול וארכיטקטורת מידע ובתחום אבטחת מידע.
שייכת גם לקבוצת ה Security Tiger, קבוצת אבטחת המידע הגלובלית של אורקל.