Ngăn chặn những hiểm họa hàng đầu đối với an toàn cơ sở dữ liệu (P2)

03/11/2015 20:54
Theo dõi ICTVietnam trên

Tất cả các bản sao cơ sở dữ liệu cần thiết phải được mã hóa. Một vài nhà cung cấp khẳng định rằng, các sản phẩm DBMS tương lai của họ sẽ hỗ trợ các bản sao cơ sở dữ liệu được mã hóa.

7.TỪ CHỐI DỊCH VỤ (DENIAL OF SERVICE)

Từ chối dịch vụ (DOS) là một loại tấn công trong đó các truy nhập của người dùng hợp pháp vào các ứng dụng mạng hay vào dữ liệu sẽ bị từ chối. Các điều kiện từ chối dịch vụ có thể được tạo ra qua nhiều kỹ thuật (nhiều trong số đó liên quan đến các điểm yếu nền tảng). Ví dụ, tấn công DOS có thể dựa trên điểm yếu nền tảng cơ sở dữ liệu để phá hủy một máy chủ. Ngoài ra, còn có một số kỹ thuật DOS phổ biến khác như: sửa đổi dữ liệu, làm lụt mạng (network flooding), và làm quá tải tài nguyên máy chủ (bộ nhớ, CPU,...). Trong đó, làm quá tải tài nguyên là một kỹ thuật phổ biến trong môi trường cơ sở dữ liệu.

Ngăn chặn tấn công từ chối dịch vụ

Để ngăn chặn tấn công này, cần yêu cầu bảo vệ ở nhiều mức khác nhau, như: mức mạng, mức ứng dụng và mức cơ sở dữ liệu. Ở phần này, ta tập trung vào các bảo vệ mức cơ sở dữ liệu. Trong đó, một số kỹ thuật bảo vệ mức cơ sở dữ liệu để chống tấn công DOS bao gồm: kiểm soát tốc độ kết nối, kiểm soát giao thức, kiểm soát truy nhập truy vấn, và kiểm soát thời gian phản hồi.

8.LỢI DỤNG CÁC ĐIỂM YẾU TRONG GIAO THỨC GIAO TIẾP CƠ SỞ DỮ LIỆU (DATABASE COMMUNICATION PROTOCOL VULNERABILITIES)

Các nhà cung cấp cơ sở dữ liệu phát hiện ra ngày càng nhiều các điểm yếu an toàn trong các giao thức giao tiếp cơ sở dữ liệu. Chẳng hạn 4 trong 7 điểm yếu về giao thức trong IBM DB2 đã được khắc phục, 11 trong số 23 điểm yếu cơ sở dữ liệu liên quan đến giao thức đã được sửa trong Oracle gần đây. Sâu SQL Slammer2 cũng là khe hở trong giao thức của Microsoft SQL Server đã gây ra tấn công từ chối dịch vụ. Ngoài ra, các hoạt động của giao thức không hề được lưu lại trong các vết kiểm toán cho nên càng gây khó khăn cho việc phát hiện lỗi và phát hiện các tấn công.

Ngăn chặn tấn công giao thức giao tiếp cơ sở dữ liệu

Có thể giải quyết tấn công này bằng công nghệ phê duyệt giao thức. Công nghệ này sẽ phân tích lưu lượng cơ sở dữ liệu cơ bản và so sánh nó với lưu lượng thông thường. Trong trường hợp lưu lượng hiện tại không phù hợp với lưu lượng cơ sở dữ liệu như mong đợi thì hệ thống sẽ phát ra cảnh báo, thậm chí là chặn luôn hành động đang thực hiện.

9.LỢI DỤNG SỰ XÁC THỰC YẾU (WEAK AUTHENTICATION)

Trong một hệ thống chứa lược đồ xác thực yếu, kẻ tấn công có thể dễ dàng chiếm lấy định danh của những người dùng cơ sở dữ liệu hợp pháp bằng cách lấy cắp thẻ đăng nhập của họ. Kẻ tấn công có thể sử dụng nhiều chiến lược khác nhau để lấy được thẻ đăng nhập của người dùng hợp pháp, chẳng hạn:

-Kỹ thuật Brute force: kẻ tấn công sẽ gõ lặp đi lặp lại tổ hợp username/password cho đến khi tìm ra một cặp hợp lệ. Thường kẻ tấn công sử dụng một chương trình đoán mật khẩu tự động để làm tăng nhanh quá trình brute force này.

-Kỹ thuật Social Engineering: kẻ tấn công lợi dụng những khuynh hướng tự nhiên mà con người tin theo, từ đó làm cho người dùng tin tưởng và đưa ra thẻ đăng nhập của họ. Ví dụ, kẻ tấn công có thể gọi điện thoại và thể hiện rằng mình là một người quản lý công nghệ thông tin, yêu cầu người dùng cung cấp thẻ đăng nhập cho mục đích "bảo trì hệ thống".

-Kỹ thuật Lấy cắp thẻ đăng nhập trực tiếp: kẻ tấn công có thể lấy cắp trực tiếp các thẻ đăng nhập của người dùng bằng cách sao chép các ghi chú ngắn của thẻ hoặc sử dụng file mật khẩu.

Để chống tấn công này, chúng ta cần thực hiện một số cơ chế:

-Xác thực mạnh: Để ngăn chặn kẻ tấn công lợi dụng xác thực yếu, hệ thống cần sử dụng các chính sách và công nghệ xác thực mạnh nhất. Nên sử dụng cơ chế xác thực hai nhân tố (như: token, chứng chỉ, sinh trắc,.). Tuy nhiên, các cơ chế xác thực hai nhân tố thường có chi phí đắt và khó sử dụng hơn nên trong thực tế chúng được sử dụng không nhiều. Với trường hợp này, cần sử dụng chính sách xác thực mạnh cho username/password (như: độ dài tối thiểu, đa dạng ký tự, khó đoán,.).

-Tích hợp danh bạ: Để các cơ chế xác thực mạnh được sử dụng rộng rãi và dễ dàng, nên tích hợp chúng với cơ sở danh bạ của doanh nghiệp. Cơ sở danh bạ cho phép một người dùng có thể sử dụng một tập thẻ đăng nhập cho nhiều cơ sở dữ liệu và ứng dụng. Từ đó làm cho hệ thống xác thực hai nhân tố được sử dụng hiệu quả hơn và người dùng có thể dễ dàng ghi nhớ việc cần phải thay đổi mật khẩu thường xuyên.

10.LỢI DỤNG SỰ SƠ HỞ CỦA DỮ LIỆU DỰ PHÒNG (BACKUP DATA EXPOSURE)

Chúng ta thấy rằng, trong công tác sao lưu, dự phòng cơ sở dữ liệu, người thực hiện thường không bảo vệ các phương tiện lưu trữ cơ sở dữ liệu dự phòng một cách đầy đủ. Kết quả là, có rất nhiều băng đĩa sao lưu cơ sở dữ liệu và các đĩa cứng của nhiều hệ thống bị đánh cắp.

Ngăn chặn sơ hở dữ liệu dự phòng

Tất cả các bản sao cơ sở dữ liệu cần thiết phải được mã hóa. Một vài nhà cung cấp khẳng định rằng, các sản phẩm DBMS tương lai của họ sẽ hỗ trợ các bản sao cơ sở dữ liệu được mã hóa.

(Nguồn: Công ty Imperva)

ThS. Trần Thị Lượng,  KS. Nguyễn Thị Hồng Hà,  KS. Đặng Xuân Bảo

(TCTTTT Kỳ 2/3/2014)

Nổi bật Tạp chí Thông tin & Truyền thông
  • Tập đoàn VNPT tăng trưởng 7% năm 2024
    Năm 2024, mặc dù thị trường viễn thông - công nghệ thông tin gặp khá nhiều khó khăn, song với nhiều nỗ lực và quyết tâm cao, Tập đoàn VNPT vẫn giữ vững thị phần với các dịch vụ trọng điểm, tối ưu chi phí, để doanh thu, lợi nhuận toàn Tập đoàn được duy trì và tăng trưởng so với cùng kỳ.
  • Zalo đã có hơn 17.000 tài khoản chính thức của cơ quan nhà nước, đơn vị tiện ích
    Tính đến hết năm 2024, có tổng cộng 17.273 tài khoản chính thức của các cơ quan nhà nước và đơn vị tiện ích (trường học, y tế…) đã được thiết lập và định danh trên nền tảng Zalo, phủ khắp 63 tỉnh thành trên cả nước. ‏
  • ‏FPT nhận chứng nhận CREST, củng cố vị thế dẫn đầu dịch vụ SOC‏
    Mới đây, FPT chính thức đạt chứng nhận quốc tế CREST cho dịch vụ giám sát và ứng cứu sự cố an toàn thông tin 24/7 (dịch vụ SOC), khẳng định cam kết của FPT với khách hàng về chất lượng dịch vụ an toàn thông tin đạt chuẩn thế giới.‏
  • Hướng tới vinh danh các "Sản phẩm công nghệ số Make in Viet Nam” 2024
    Giải thưởng "Sản phẩm công nghệ số Make in Viet Nam" là giải thưởng vinh danh những sản phẩm, giải pháp, nền tảng xuất sắc, tiêu biểu, thể hiện năng lực của doanh nghiệp Việt và người Việt trong việc làm chủ về công nghệ, chủ động thiết kế, chế tạo các sản phẩm công nghệ số.
  • 5,5 tỷ người trên thế giới sử dụng Internet
    Theo báo cáo mang tên “Thực tế và Con số 2024” của Liên minh Viễn thông Quốc tế (ITU), năm 2024 đã có thêm 227 triệu người được tiếp cận Internet, nâng tổng số người sử dụng Internet lên 5,5 tỷ người, chiếm 68% dân số toàn cầu.
Đừng bỏ lỡ
Ngăn chặn những hiểm họa hàng đầu đối với an toàn cơ sở dữ liệu (P2)
POWERED BY ONECMS - A PRODUCT OF NEKO