Ngăn chặn những hiểm họa hàng đầu đối với an toàn cơ sở dữ liệu (P2)

03/11/2015 20:54
Theo dõi ICTVietnam trên

Tất cả các bản sao cơ sở dữ liệu cần thiết phải được mã hóa. Một vài nhà cung cấp khẳng định rằng, các sản phẩm DBMS tương lai của họ sẽ hỗ trợ các bản sao cơ sở dữ liệu được mã hóa.

7.TỪ CHỐI DỊCH VỤ (DENIAL OF SERVICE)

Từ chối dịch vụ (DOS) là một loại tấn công trong đó các truy nhập của người dùng hợp pháp vào các ứng dụng mạng hay vào dữ liệu sẽ bị từ chối. Các điều kiện từ chối dịch vụ có thể được tạo ra qua nhiều kỹ thuật (nhiều trong số đó liên quan đến các điểm yếu nền tảng). Ví dụ, tấn công DOS có thể dựa trên điểm yếu nền tảng cơ sở dữ liệu để phá hủy một máy chủ. Ngoài ra, còn có một số kỹ thuật DOS phổ biến khác như: sửa đổi dữ liệu, làm lụt mạng (network flooding), và làm quá tải tài nguyên máy chủ (bộ nhớ, CPU,...). Trong đó, làm quá tải tài nguyên là một kỹ thuật phổ biến trong môi trường cơ sở dữ liệu.

Ngăn chặn tấn công từ chối dịch vụ

Để ngăn chặn tấn công này, cần yêu cầu bảo vệ ở nhiều mức khác nhau, như: mức mạng, mức ứng dụng và mức cơ sở dữ liệu. Ở phần này, ta tập trung vào các bảo vệ mức cơ sở dữ liệu. Trong đó, một số kỹ thuật bảo vệ mức cơ sở dữ liệu để chống tấn công DOS bao gồm: kiểm soát tốc độ kết nối, kiểm soát giao thức, kiểm soát truy nhập truy vấn, và kiểm soát thời gian phản hồi.

8.LỢI DỤNG CÁC ĐIỂM YẾU TRONG GIAO THỨC GIAO TIẾP CƠ SỞ DỮ LIỆU (DATABASE COMMUNICATION PROTOCOL VULNERABILITIES)

Các nhà cung cấp cơ sở dữ liệu phát hiện ra ngày càng nhiều các điểm yếu an toàn trong các giao thức giao tiếp cơ sở dữ liệu. Chẳng hạn 4 trong 7 điểm yếu về giao thức trong IBM DB2 đã được khắc phục, 11 trong số 23 điểm yếu cơ sở dữ liệu liên quan đến giao thức đã được sửa trong Oracle gần đây. Sâu SQL Slammer2 cũng là khe hở trong giao thức của Microsoft SQL Server đã gây ra tấn công từ chối dịch vụ. Ngoài ra, các hoạt động của giao thức không hề được lưu lại trong các vết kiểm toán cho nên càng gây khó khăn cho việc phát hiện lỗi và phát hiện các tấn công.

Ngăn chặn tấn công giao thức giao tiếp cơ sở dữ liệu

Có thể giải quyết tấn công này bằng công nghệ phê duyệt giao thức. Công nghệ này sẽ phân tích lưu lượng cơ sở dữ liệu cơ bản và so sánh nó với lưu lượng thông thường. Trong trường hợp lưu lượng hiện tại không phù hợp với lưu lượng cơ sở dữ liệu như mong đợi thì hệ thống sẽ phát ra cảnh báo, thậm chí là chặn luôn hành động đang thực hiện.

9.LỢI DỤNG SỰ XÁC THỰC YẾU (WEAK AUTHENTICATION)

Trong một hệ thống chứa lược đồ xác thực yếu, kẻ tấn công có thể dễ dàng chiếm lấy định danh của những người dùng cơ sở dữ liệu hợp pháp bằng cách lấy cắp thẻ đăng nhập của họ. Kẻ tấn công có thể sử dụng nhiều chiến lược khác nhau để lấy được thẻ đăng nhập của người dùng hợp pháp, chẳng hạn:

-Kỹ thuật Brute force: kẻ tấn công sẽ gõ lặp đi lặp lại tổ hợp username/password cho đến khi tìm ra một cặp hợp lệ. Thường kẻ tấn công sử dụng một chương trình đoán mật khẩu tự động để làm tăng nhanh quá trình brute force này.

-Kỹ thuật Social Engineering: kẻ tấn công lợi dụng những khuynh hướng tự nhiên mà con người tin theo, từ đó làm cho người dùng tin tưởng và đưa ra thẻ đăng nhập của họ. Ví dụ, kẻ tấn công có thể gọi điện thoại và thể hiện rằng mình là một người quản lý công nghệ thông tin, yêu cầu người dùng cung cấp thẻ đăng nhập cho mục đích "bảo trì hệ thống".

-Kỹ thuật Lấy cắp thẻ đăng nhập trực tiếp: kẻ tấn công có thể lấy cắp trực tiếp các thẻ đăng nhập của người dùng bằng cách sao chép các ghi chú ngắn của thẻ hoặc sử dụng file mật khẩu.

Để chống tấn công này, chúng ta cần thực hiện một số cơ chế:

-Xác thực mạnh: Để ngăn chặn kẻ tấn công lợi dụng xác thực yếu, hệ thống cần sử dụng các chính sách và công nghệ xác thực mạnh nhất. Nên sử dụng cơ chế xác thực hai nhân tố (như: token, chứng chỉ, sinh trắc,.). Tuy nhiên, các cơ chế xác thực hai nhân tố thường có chi phí đắt và khó sử dụng hơn nên trong thực tế chúng được sử dụng không nhiều. Với trường hợp này, cần sử dụng chính sách xác thực mạnh cho username/password (như: độ dài tối thiểu, đa dạng ký tự, khó đoán,.).

-Tích hợp danh bạ: Để các cơ chế xác thực mạnh được sử dụng rộng rãi và dễ dàng, nên tích hợp chúng với cơ sở danh bạ của doanh nghiệp. Cơ sở danh bạ cho phép một người dùng có thể sử dụng một tập thẻ đăng nhập cho nhiều cơ sở dữ liệu và ứng dụng. Từ đó làm cho hệ thống xác thực hai nhân tố được sử dụng hiệu quả hơn và người dùng có thể dễ dàng ghi nhớ việc cần phải thay đổi mật khẩu thường xuyên.

10.LỢI DỤNG SỰ SƠ HỞ CỦA DỮ LIỆU DỰ PHÒNG (BACKUP DATA EXPOSURE)

Chúng ta thấy rằng, trong công tác sao lưu, dự phòng cơ sở dữ liệu, người thực hiện thường không bảo vệ các phương tiện lưu trữ cơ sở dữ liệu dự phòng một cách đầy đủ. Kết quả là, có rất nhiều băng đĩa sao lưu cơ sở dữ liệu và các đĩa cứng của nhiều hệ thống bị đánh cắp.

Ngăn chặn sơ hở dữ liệu dự phòng

Tất cả các bản sao cơ sở dữ liệu cần thiết phải được mã hóa. Một vài nhà cung cấp khẳng định rằng, các sản phẩm DBMS tương lai của họ sẽ hỗ trợ các bản sao cơ sở dữ liệu được mã hóa.

(Nguồn: Công ty Imperva)

ThS. Trần Thị Lượng,  KS. Nguyễn Thị Hồng Hà,  KS. Đặng Xuân Bảo

(TCTTTT Kỳ 2/3/2014)

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Ngăn chặn những hiểm họa hàng đầu đối với an toàn cơ sở dữ liệu (P2)
POWERED BY ONECMS - A PRODUCT OF NEKO