Типы Угроз Баз Данных

Перевод материалов, подготовленных в рамках курса "Инженер QA" .

Приглашаем всех на вебинар «Экскурсии по исследовательскому тестированию» .

В этом открытом уроке мы рассмотрим основные этапы исследовательского тестирования, благодаря которым мы сможем систематизировать подход к тестированию больших задач.

---

Хотя у нас очень много внутренних и внешних угроз баз данных, в этом руководстве мы рассмотрим лишь некоторые из них.

№1. Неограниченные права доступа к базе данных

Обычно это происходит, когда пользователям базы данных предоставляется несколько привилегий в системе, что приводит к злоупотреблению привилегиями, которые могут быть чрезмерными, законными или неиспользованными.

Данное действие могут совершить как действующие, так и бывшие сотрудники компании.

Необходимо реализовать некоторые элементы управления, как показано ниже:

• Приложите все усилия для реализации очень строгой политики контроля доступа и контроля привилегий.

• Убедитесь, что вы не предоставляете и не утверждаете чрезмерные привилегии всем сотрудникам, и постарайтесь, насколько это возможно, уделить время немедленной деактивации любых устаревших привилегий.

№2. SQL-инъекция

Этот тип атаки SQL-инъекцией происходит, когда вредоносный код внедряется через интерфейс веб-приложения, а затем передается на серверную часть.

Этот процесс позволяет злоумышленнику получить абсолютный доступ к информации, хранящейся в базе данных.

Цель всего этого обычно — украсть данные или повредить их.

SQL-инъекция предназначена для традиционных баз данных, а NoSQL-инъекция — для баз данных BIG Data.

№3. Плохой контрольный след

Некоторые стандарты безопасности требуют, чтобы каждое событие в базе данных записывалось в целях аудита.

Если вы не можете предоставить доказательства аудита базы данных, это может представлять очень серьезную угрозу безопасности, поскольку в случае вторжения расследование будет невозможно.

№4. Открытые резервные копии базы данных

Каждой организации нужен очень хороший план резервного копирования, но когда резервные копии доступны, они становятся уязвимыми для компрометации и кражи.

У нас было много нарушений безопасности, которые были успешными только потому, что резервная копия базы данных была открыта.

Шифрование и аудит производственных баз данных и резервных копий — лучшая форма защиты конфиденциальных корпоративных данных.

№5. Неправильная конфигурация базы данных

Некоторые из угроз, обнаруженных в базе данных, являются результатом их неправильной настройки.

Злоумышленники обычно используют базу данных со стандартными настройками учетной записи и конфигурации.

Это красный флаг того, что при настройке базы данных не должно быть ничего, напоминающего учетную запись по умолчанию, и настройки должны быть настроены таким образом, чтобы злоумышленнику было сложно что-либо сделать.

№6. Отсутствие опыта в сфере безопасности

Если отсутствует опыт в области безопасности и базовые правила безопасности баз данных, это может привести к утечке данных.

Сотрудникам службы безопасности может не хватать знаний, необходимых для реализации мер безопасности и других политик безопасности.

№7. Отказ в обслуживании (DoS)

Это тип атаки, которая влияет на доступность службы, влияет на производительность сервера базы данных и делает службу базы данных недоступной для пользователей.

Например, если идет запрос на очень важные финансовые данные, а база данных недоступна из-за DoS, то это может привести к потере денег.

№8. Плохое управление данными

Некоторые корпоративные организации не управляют своими конфиденциальными данными должным образом, не ведут их точный учет, и поэтому некоторые из этих конфиденциальных данных могут оказаться в чужих руках.

Если новые данные, добавленные в базу данных, не инвентаризированы должным образом, они могут стать уязвимыми.

Поэтому важно шифровать хранящиеся данные и применять необходимые разрешения и элементы управления.

Тестирование безопасности базы данных

Почему мы проводим тестирование безопасности баз данных? Этот тест выполняется для обнаружения любых слабых мест или уязвимостей в конфигурации безопасности базы данных и для смягчения последствий любого нежелательного доступа к базе данных.

Все конфиденциальные данные должны быть защищены от злоумышленников, поэтому регулярные проверки безопасности очень важны и обязательны.

Ниже приведены основные причины, по которым тестирование безопасности базы данных является обязательным:

• Аутентификация
• Авторизация
• Бухгалтерский учет
• Конфиденциальность
• Честность
• Доступность
• Устойчивое развитие

Этот процесс включает в себя тестирование на разных уровнях в зависимости от бизнес-требований.

Протестированные уровни включают бизнес-уровень, уровень доступа и уровень пользовательского интерфейса.

Процесс тестирования базы данных

• Подготовка (например, окружающая среда)
• Проведение теста
• Оценка результатов
• Точная отчетность

Рекомендуем прочитать => Полное руководство по тестированию баз данных Типы тестирования безопасности базы данных

• Тест на проникновение : это процесс моделирования кибератаки на сеть, компьютерную систему или веб-приложение с целью обнаружения в ней любых уязвимостей.

• Сканер уязвимостей: Это использование сканера для сканирования системы на наличие известных уязвимостей с целью их устранения и исправления.

• Аудит безопасности : это процесс оценки внедрения и соответствия политикам и стандартам безопасности организации.

• Оценка риска : Это общий процесс выявления всех опасностей и рисков, которые могут нанести серьезный вред системе.

Преимущества использования инструмента тестирования базы данных

Основная причина, по которой мы используем инструмент, заключается в том, что он быстрее выполняет задачи, что экономит время.

Большинство современных методов тестирования выполняются с использованием некоторых из этих инструментов.

В Интернете есть как платные, так и бесплатные инструменты тестирования, которые очень легко понять и эффективно использовать.

Эти инструменты можно разделить на инструменты нагрузочного тестирования и тестирования производительности, инструменты генерации тестовых данных и инструменты на основе SQL. Поскольку существует высокая вероятность обнаружения той или иной нестабильности в базе данных, это обуславливает необходимость проведения тестирования БД (базы данных) перед запуском приложения.

Это тестирование следует проводить на самой ранней стадии жизненного цикла разработки программного обеспечения, чтобы иметь представление об уязвимостях, существующих в системе баз данных, и использование некоторых из этих инструментов поможет их эффективно и результативно обнаружить.

Если произойдет сбой базы данных, это приведет к бесполезности всего приложения или системы, что может привести к более серьезным последствиям.

Причина важности периодического тестирования заключается в том, что оно обеспечивает работоспособность системы.

Список нескольких лучших инструментов тестирования баз данных:

• Фабрика данных
• Расположение данных
• Генератор данных ЦТМ
• MS SQL-сервер
• SQL-тест
• Разработчик Oracle SQL
• NoSQL-модуль
• Се Лайт
• неряха
• Орион

Рекомендуем прочитать => Полный список инструментов тестирования баз данных

Методы тестирования безопасности баз данных

При тестировании безопасности базы данных могут использоваться различные методы тестирования.

Ниже мы рассмотрим некоторые из этих методов: №1. Тест на проникновение Это преднамеренная атака на систему с целью обнаружения уязвимостей безопасности, которые могут позволить злоумышленнику получить доступ ко всей системе, включая базу данных.

Если обнаружена уязвимость, немедленными действиями являются устранение и смягчение любой угрозы, которую может представлять такая уязвимость.

№2. Оценка риска Это процесс проведения оценки рисков для определения уровня риска, связанного с типом реализованной конфигурации безопасности базы данных и возможности обнаружения уязвимости.

Эту оценку обычно проводят эксперты по безопасности, которые могут проанализировать степень риска, связанного с конкретным процессом.

№3. Проверка SQL-инъекций Это включает в себя надлежащую очистку значений, вставляемых в базу данных.

Например, ввод специального символа «,» или ключевых слов, таких как SELECT, должен быть запрещен в любом приложении.

Если такая проверка не предусмотрена, то база данных, распознающая язык запроса, воспримет запрос как действительный.

Если на входе появляется ошибка базы данных, это означает, что запрос поступил в базу данных и был выполнен либо с положительным, либо с отрицательным ответом.

В этом случае база данных очень уязвима для SQL-инъекций.

SQL-инъекция сегодня является основным вектором атаки, поскольку позволяет злоумышленнику получить доступ к базе данных приложения, содержащей очень конфиденциальные данные.

Интерфейс, через который обычно осуществляется эта атака, — это формы ввода в приложении, и для решения этой проблемы необходимо провести соответствующую очистку ввода.

Тестирование SQL-инъекций должно выполняться для каждой скобки, запятой и кавычки, используемых во входном интерфейсе.

№4. Взлом пароля Во время тестирования всегда очень важно убедиться, что система поддерживает надежную политику паролей.

Поэтому при проведении тестирования на проникновение очень важно проверить, соблюдается ли данная политика паролей.

Мы можем сделать это, ведя себя как хакер, используя инструмент для взлома паролей или угадывая другое имя пользователя/пароль.

Компании, которые разрабатывают или используют финансовые приложения, должны убедиться, что они установили строгую политику паролей для своей системы управления базами данных.

№5. Аудит безопасности Необходимо регулярно проводить аудит безопасности, чтобы оценить политику безопасности организации и выяснить, соблюдаются ли стандарты или нет. Существуют различные предприятия со своими особыми стандартами безопасности, и как только эти стандарты будут установлены, от них уже нельзя будет отказаться.

Если кто-то не соблюдает какой-либо из этих стандартов, это будет считаться серьезным нарушением.

Одним из примеров стандарта безопасности является ISO 27001.

Часто задаваемые вопросы

Вопрос №1) Какие виды тестирования безопасности существуют? Отвечать: Тест на проникновение Сканер уязвимостей Аудит безопасности Оценка риска Вопрос №2) Каковы проблемы безопасности базы данных? Отвечать: Неограниченные права доступа к базе данных SQL-инъекции Плохой контрольный след Открытые резервные копии базы данных Отсутствие опыта в сфере безопасности Неправильная конфигурация базы данных Отказ в обслуживании Вопрос №3) Что такое инструменты тестирования безопасности? Отвечать: Это такие инструменты тестирования, которые используются для обнаружения уязвимостей, угроз и рисков в приложении и немедленного их исправления для предотвращения любой злонамеренной атаки.

Вопрос №4) Как проводится тестирование безопасности? Отвечать: Тестирование точек доступа.

Тестирование вредоносного скрипта.

Тестирование уровня защиты данных.

Тестирование обработки ошибок.

Заключение

Каждая организация должна сделать безопасность баз данных неотъемлемой частью своей повседневной деятельности, поскольку данные являются ключом к успеху.

Они не должны думать о затратах, которые будут потрачены на создание конструкции, а должны думать о рентабельности.

Существуют различные инструменты тестирования, которые компания может начать использовать и включить в свой план тестирования безопасности.

Когда вы увидите, как плохая безопасность баз данных влияет на некоторые организации, вы увидите, какой хаос возникает и как некоторым не удается выжить.

Поэтому совет — очень серьезно относиться к безопасности вашей базы данных.

Рекомендуем к прочтению

• Руководство по тестированию безопасности веб-приложений
• Альфа-тестирование и бета-тестирование (полное руководство)
• Тестирование базы данных с помощью JMeter
• Учебное пособие по тестированию хранилища данных ETL (полное руководство)
• Полное руководство по тестированию базы данных (почему, что и как тестировать данные)
• Тестирование безопасности (полное руководство)
• Полное руководство по проверочному тестированию сборки (BVT-тестированию)
• Функциональное тестирование против нефункционального тестирования

---

Узнайте больше о курсе "Инженер QA" .

Посмотреть вебинар «Экскурсии по исследовательскому тестированию» .

• Обзор Возможностей Интеграции Виртуальной Атс Мегафона С Crm-Системой Битрикс24

  19 Oct, 24

• 3Cx Выпускает Новые Sip-Софтфоны Для Ios И Android Со Сквозным Шифрованием Голоса

  19 Oct, 24

• Выпущена Ubuntu 10.04 Альфа 1

  19 Oct, 24

• Технологии Автомобильной Промышленности. Взгляд На Ит

  19 Oct, 24

• Классификация Карт Памяти

  19 Oct, 24

• Mikogo 4.0 — Утилита Для Совместного Использования Экрана, Вебинаров, Онлайн-Конференций И Удаленного Доступа

  19 Oct, 24

• 3 Причины, Почему Неудача — Ключ К Успеху

  19 Oct, 24

• Новые Виджеты Для Lotus Notes Позволяют Работать С Linkedin И Tripit

  19 Oct, 24

• Персональный Веб-Сервер На Языке Wolfram Language.

  19 Oct, 24

• 3 Миллиарда Записей Java Map В 16 Гб Озу

  19 Oct, 24