Независимая ассоциация ISUG обнаружила, что администраторам баз данных не
хватает опыта в контролировании изменений и управлении патчами. По результатам
исследования, опубликованным в среду, администраторы баз данных (далее АБД) всё
ещё далеки от совершенства.
Исследование обнаружило, что многие АБД и IT-специалисты, принимающие
решения, признают, что не слишком компетентны в таких вопросах безопасности, как
контроль за изменениями и патч-менеджмент, а также аудит системы.
По поручению Application Security Inc., компания Unisphere Research опросила
214 администраторов корпорации Sybase, относящихся к International Sybase User
Group (ISUG), об их опыте в обеспечении безопасности баз данных. Подавляющее
большинство организаций испытывает недостаток мер защиты для сохранения
информации в базах данных предприятия в безопасности.
"Большинство респондентов признали, что осуществляют многочисленное
копирование производственных данных, но многие не в состоянии обеспечить
непосредственного контроля над безопасностью этих данных", - сообщается в
результатах исследования. "Только один из пяти проводит профилактические
мероприятия, чтобы спрятать или защитить эту информацию от несанкционированного
доступа".
Согласно автору данного отчета, аналитику Unisphere Research Джо МакКендрику,
обзор ISUG один из нескольких обзоров по безопасности баз данных, проводимых в
многочисленных группах пользователей, включая и те группы, которые работают с
другими платформами – такими как Oracle и SQL Server. "Он [обзор ISUG] во многом
показывает один и тот же сценарий, видный в различных базах данных", - сообщил
МакКендрик. "Сценарий практически постоянен и пронизан одной общей проблемой,
связывающей все разные группы пользователей и технологические платформы:
разобщенность управления и безопасности".
По данным исследования, одна из ключевых проблем – это недостаток понимания в
организации внесения изменений и патч-менеджментом. Результаты показали, что 37%
опрошенных не знали или не были уверены сколько времени занимает выявить и
исправить несанкционированные изменения в базе данных.
Около 35% респондентов сообщили, что они редко применяют обновления системы
безопасности или исправления уязвимостей к своей базе данных, или не знают как
часто эти патчи применяются. Менее 2/3 организаций вообще не имеют
автоматизированного управления конфигурацией базы данных или средств для
патч-менеджмента.
Всё же, более половины респондентов сообщили о низкой вероятности утечки
информации из их системы.
Рич Могулл, основатель аналитической фирмы Securosis, заметил, что результаты
обзора ISUG не так уж удивительны.
"Мы видим очень большой разрыв между понятиями "база данных" и
"безопасность", который даже и не собирается исчезать", - говорит Могулл.
Он склонен считать, что недостаток знаний об организации внесения изменений
не столько вопрос безопасности. "Это то, за чем ребята, работающие с базами
данных, должны постоянно следить для контроля быстродействия, это как минимум".
Многие специалисты в области информационной безопасности считают, что
организациям следует прилагать больше усилий для того, чтобы увеличить контроль
над данными внутри предприятия – это важно для АБД и для профессионалов в сфере
информационной безопасности. Алекс Хаттон, директор отдела исследований рисков
компании Verizon Business считает, что доступность данных начинается с
классификации. "Для начала стоит спросить себя - где именно эта закрытая
информация и номера банковских счетов, конфиденциальная информация предприятия
будет храниться в базе данных? Можем ли мы вычислить все базы данных, в которых
они находятся?", - объясняет Хаттон. "И только потом мы можем выяснить как
создавать систему управления, которая будет предотвращать, выявлять и отвечать
на опасные ситуации в этой базе данных".
По мнению экспертов, это только первый шаг. Огромному количеству организаций
так и не удалось на должном уровне проверить свои данные, чтобы удостовериться,
что меры защиты и контроля работают нормально. Согласно МакКендрику, недавний
опрос обнаружил, что только 16% организаций проводят регулярный анализ работы
базы данных раз в месяц. Другие 32% не могут точно ответить как часто проводится
проверка или не проводят её вообще.
"Или аудит не проводится вообще, или, что ещё хуже, проводится после
прецедента – проверяются ворота амбара когда все лошади уже угнаны", - говорит
МакКендрик. "Эти проверки производятся примерно раз в три месяца, таким образом
если произошла масштабная утечка данных в начале января, то такая организация
узнает о ней в конце марта".
