Column


Column Simon van den Bos

6 stappen richting een betere database-security

Databases vormen nog altijd een van de meest gewilde doelwitten van hackers. Volgens een recente editie van het Verizon Breach Report zijn databases zelfs een van de meest besmette activa. Dat databases zo’n gewild doelwit zijn, is eenvoudig te verklaren: ze vormen het hart van iedere organisatie en herbergen een schat aan klantdata en bedrijfsgevoelige gegevens.

Een aanval op een database kan verstrekkende gevolgen hebben. Door een ‘breach’ verlies je mogelijk niet alleen je gevoelige data, maar ook je reputatie en het vertrouwen van klanten of medewerkers. Sinds 1 januari van dit jaar kan de Autoriteit Persoonsgegevens (AP) bovendien een flinke boete opleggen als blijkt dat je onvoldoende maatregelen hebt genomen om persoonsgegevens te beschermen en eerdere waarschuwingen van de AP in de wind hebt geslagen.

De beveiliging van databases zal dan ook wel een veelbesproken onderwerp zijn in de Nederlandse boardrooms... Toch? De praktijk wijst helaas anders uit. Zo berekende marktonderzoeksbureau IDC dat nog minder dan vijf procent van de totale uitgaven aan security wordt besteed aan ‘data center security’.

Vaak gaat het mis
Ook in Nederland merken we dat database-security nog altijd een onderbelicht onderwerp is. Zo komt het regelmatig voor dat er geen maatregelen worden genomen om een back-up van de data te beveiligen of om een Denial of Service-aanval op de database te voorkomen en wordt er onvoldoende nagedacht over een securitypolicy voor toegang en monitoring.

Heel vaak gaat het al mis bij het toekennen van de rechten. Een database-administrator is door zijn vele taken het beste te vergelijken met het schaap met de vijf poten. Zo is de DBA verantwoordelijk voor het installeren van databases, de monitoring, back-up en recovery, tuning, het ontwerp van het Physical Data Model, het opstellen van standaarden en richtlijnen en patching. Om al deze taken uit te kunnen voeren, beschikt de DBA als ‘super user’ vaak over nagenoeg onbeperkte rechten.

Van dit nagenoeg onbeperkte privilege kan eenvoudig misbruik worden gemaakt, zeker als binnen de organisatie geen aandacht is voor de ‘insider threat’ en iedereen op zijn blauwe ogen wordt geloofd. Ook wordt er nog te vaak vertrouwd op de securitytooling die wordt geleverd door de databaseleverancier. Die tooling volstaat echter niet om slimme aanvallen tegen te gaan.

Security op een hoger niveau
Het goede nieuws is dat de beveiliging van databases met een aantal maatregelen, best practices en interne controles al snel op een hoger niveau is te brengen. Zo definieert database-securityspecialist Imperva zes ‘groepen’ maatregelen:
* Discovery and Assessment, om in kaart te brengen welke kwetsbaarheden er zijn en waar de gevoelige data zich bevinden.
* User Rights Management, om in kaart te brengen of er gebruikers zijn die overvloedige toegangsrechten hebben tot gevoelige data.
* Monitoring and Blocking, om databases te beschermen tegen aanvallen, ongeautoriseerde toegang en diefstal van data. Hier kan             het bijvoorbeeld raadzaam zijn om een agent op alle databases te installeren die afwijkingen rapporteert.
* Auditing, om te kijken of databases compliant zijn met geldende wet- en regelgeving.
* Data Protection, voor de integriteit en vertrouwelijkheid van data.
* Non-Technical Security. Hieronder vallen onder andere het opleiden van de securityprofessionals en het creëren van security awareness    bij de gebruikers.

Conclusie
Deze zes groepen vertegenwoordigen een breed pakket aan maatregelen dat niet van de een op de andere dag is in te voeren. Een goede maar ook cruciale eerste stap in onze visie is het inzicht krijgen in het gebruik van databases zonder dat de databasebeheerders de auditinformatie kunnen manipuleren.

Functiescheiding is hierbij van belang. Vaak is een beheerder van een database ook de beheerder van de veiligheid, maar beter is het om een derde partij bij te laten houden wie wat doet in de database. Natuurlijk kan die derde partij ook de eigen security-officer zijn.


Lees meer over