• Increase font size
  • Default font size
  • Decrease font size

Progressive

Member Area
Podaci su naše najveće blago PDF Print E-mail
Tuesday, 01 October 2013 16:16

andrija-frincic-novoU kolumni u kojoj sam pisao o primjeni računarstva u oblacima u maloprodaji kao glavnu prepreku popularizacije ovog koncepta naveo sam strah od krađe podataka. S obzirom da živimo u svijetu gdje podaci predstavljaju naše najveće blago, pozabavimo se malo načinom na koji možemo povećati njihovu sigurnost.

 Piše: Andrija Frinčić, rukovoditelj razvoja, Sagena informatički inženjering d.o.o.

Podaci se čuvaju u organiziranim zbirkama koje se nazivaju bazama podataka. Valja svakako istaknuti da pojam baza podataka ima višestruko značenje. Ovaj pojam može označavati mjesto gdje se podaci čuvaju, no može označavati i računalni program koji upravlja podacima i načinom njihove pohrane. Osim samih baza podataka, kao mjesta na kojem se podaci čuvaju, poslovno okruženje sastoji se još i od poslovnih aplikacija koje se oslanjaju na te podatke. Neke od njih podatke u bazu upisuju, druge podatke samo mijenjaju, dok treće podatke analiziraju i koriste kao podlogu u donošenju odluka. Podaci koji se koriste u svakodnevnom radu često su pohranjeni u desetak različitih baza podataka koje koristi više desetaka poslovnih aplikacija, koje pak koristi i nekoliko tisuća poslovnih korisnika. U konačnici, radi se o složenom sustavu u kojem i vrlo mali propust može dovesti do toga da neovlaštene osobe ili osobe sa krivim ovlaštenjem dobiju pristup do određenog dijela podataka što može rezultirati krađom ili uništenjem istih. Stvari postaju dodatno komplicirane ukoliko u svojim bazama podataka pohranjujemo podatke o brojevima kreditnih kartica kupaca. Prvi korak u implementaciji sigurnosti baze podataka jest pronalaženje propusta i potencijalnih problema u cijelom sustavu koji se sastoji od poslovnih aplikacija i baza podataka sve do fizičkih poslužitelja.

JESAM RANJIV? JESI!

Postupak provjere ranjivosti baza podataka sastoji se od provjere postoje li potvrđene slabosti na različitim razinama sustava. Alati koji koji se koriste za ove provjere često su u stanju automatski detektirati sve baze podataka u nekom okruženju, te za svaku od baza detektirati koje sigurnosne zakrpe su instalirane, a koje nisu. Uz provjere da li su i koje zakrpe u sustavu instalirane, alati za provjeru ranjivosti provjeravaju i ranjivost samih poslužitelja, složenost zaporki koje se koriste za autentifikaciju korisnika, postojanje zadanih korisničkih računa i sl. Ako poistovijetimo bazu podatka sa skladištem robe, tada bismo postupak provjere ranjivosti mogli najljepše poistovijetiti s provjerom svih vrata i prozora (čak i ventilacije).

Ukoliko je poznato da se vrata koja imamo ugrađena na skladištu mogu lako otvoriti (iako su zaključana), odmjerenim pritiskom tik ispod brave, onda će provjera ranjivosti za naše skladište to provjeriti za sva vrata i u izvještaju jasno naznačiti koja je vrata na taj način moguće otvoriti, a koja nije. Kao bonus postupka provjere ranjivosti, alat može uz svaku otkrivenu ranjivost dati i preporuke stručnjaka kako istu neutralizirati (promjena brave?). Dakle, izlaz iz alata za provjeru ranjivosti je detaljan izvještaj koji opisuje koje su komponente sustava pokrivene provjerom, listom propusta (odnosno ranjivosti koje su u sustavu detektirane) te opcionalno preporukama stručnjaka kako tu ranjivost neutralizirati (na primjer promjenom zadane zaporke).

Osim samog izvještaja o pronađenim propustima u sustavu, neki od alata za provjeru ranjivosti mogu na temelju globalnih podataka o zloupotrebi propusta u sustavima odrediti i faktor rizika te na taj način rangirati ranjivosti od onih koje su najkritičnije do onih čije iskorištavanje je malo vjerojatno. Provjera ranjivosti je prvi korak u implementaciji sigurnosti baze podataka i njegov je zadatak adresirati postojeće i poznate ranjivosti. Osim ranjivosti koje mogu dovesti do krađe ili uništenja podataka, postoji i cijeli niz aktivnosti nad bazom podataka koje mogu dovesti do istog, a ne temelje se na iskorištavanju poznatih ranjivosti sustava. Kako bi se baze podataka, a samim time i podaci, zaštitili od takvih "zlih" aktivnosti, koriste se alati za praćenje aktivnosti baze podataka.

TKO? ŠTO? GDJE?

Alati za praćenje aktivnosti baze podataka u stvarnom vremenu prate aktivnosti koje svi korisnici nad bazama obavljaju te sistemske aktivnosti samog softvera za upravljanje bazama. Cilj ovakvog praćenja je detektirati potencijalno opasne aktivnosti koje mogu dovesti do krađe ili uništenja podataka. Za praćenje aktivnosti obično se koriste male komponente koje su usko povezane sa samom bazom podataka i koje se nazivaju agenti. Agenti svoja opažanja dojavljuju centralnom poslužitelju koji onda sve podatke obrađuje u realnom vremenu. Ukoliko sustav detektira sumnjivu aktivnost, istu može prekinuti ili o njoj može obavijestiti administratora sustava. Ukoliko se vratimo na našu analogiju sa skladištem, sustav za praćenje aktivnosti baze podataka mogao bi se poistovijetiti sa zaštitarskom službom koja putem video nadzora nadgleda skladište.

Kada zaštitar na ekranu vidi da netko pokušava otključati vrata alatom za provaljivanje brava, on to klasificira kao zabranjenu (sumnjivu) aktivnost i alarmira zaštitare koji sprječavaju krađu. Osim samog sprječavanja sumnjivih akcija, sustavi za praćenje aktivnosti baze podataka vode detaljne logove o svim aktivnostima i akterima što se u konačnici može iskoristiti za iscrpnu analizu ukoliko do incidenta dođe. U našoj analogiji sa skladištem, iscrpan log aktivnosti je snimka iz sustava videonadzora na kojoj je uhvaćen pokušaj otključavanja vrata skladišta alatom za provalu. Osim alata za detekciju ranjivosti te praćenja aktivnosti baze podataka, postoji cijeli niz dodatnih alata koji se koriste za prividno krpanje poznatih propusta i ranjivosti sustava baze podataka bez potrebe za instalacijom softverskih zakrpa samog sustava baze podataka.

SIGURNA BAZA

U situacijama kada instalacija sigurnosne zakrpe nije moguća jer sustav baze podataka mora raditi 24/7, ili sigurnosna zakrpa za poznati propust ne postoji, sigurnost baze podataka moguće je dodatno povećati korištenjem alata za prividno zatvaranje propusta ili ranjivosti. Prema svom načinu rada ovi alati su vrlo slični alatima za praćenje aktivnosti baze podataka, no za razliku od onih koji pokušavaju otkriti generičku zlonamjernu aktivnost, ovi alati točno znaju slijed očekivanih ativnosti i njih blokiraju. Drugim riječima, ovakvi sustavi razlikuju provalnika koji pokušava otključati vrata skladišta od bravara koji popravlja bravu.

ZA UGODNO LJETO

Utvrdili smo da su nam podaci najveće blago. Isto tako smo utvrdili da su poslovni sustavi koji ih čuvaju i koriste izuzetno kompleksni i međusobno povezani. Ovakvo okruženje predstavlja idealno mjesto za različite smutljivce i mutikaše koji se žele dočepati naših podataka. Kako bi njih i njima slične spriječili u tome, dobri ljudi iz kompanija koje se bave razvojem softvera za računalnu sigurnost osmislili su cijeli set alata da naši podaci budu na sigurnom. Na nama je, dok ispijamo taj osvježavajući mojito, da se zapitamo jesu li naši podaci uistinu sigurni i što možemo napraviti da sutra budu sigurniji...

 

ANDRIJA FRINČIĆ -> ARHIVA TEKSTOVA:

->Digitalni kanali: Komunikacijom do boljeg odnosa s kupcem
->Podatkovni centri: Trgovina u oblacima

->Kupac u fokusu Business Inteligencea
->Biometrijsko plaćanje: Otiskom prsta do ubrzane kupovine
->Mikrolokacija - zlatna koka modernog retaila
->Forsquare: Komunikacija brendova s korisnicima
->Živjela digitalna tržnica