Cơ sở dữ liệu của các tổ chức, doanh nghiệp luôn là mục tiêu của nhiều cuộc tấn công. Chính vì vậy, để giúp các tổ chức, doanh nghiệp nhận ra và xử lý được những mối đe dọa, hiểm họa đối với hệ thống cơ sở dữ liệu của mình, Trung tâm phòng thủ ứng dụng (Application Defense Center) thuộc công ty Imperva đã liệt kê ra mười hiểm họa hàng đầu đối với sự an toàn của cơ sở dữ liệu và các biện pháp ngăn chặn chúng.
1. LẠM DỤNG QUYỀN VƯỢT MỨC (EXCESSIVE PRIVILEGE ABUSE)
Khi người dùng được gán các đặc quyền truy nhập cơ sở dữ liệu vượt quá các yêu cầu trong chức năng công việc của họ, thì những đặc quyền này có thể bị lạm dụng cho các mục đích xấu. Ví dụ, một người phụ trách cơ sở dữ liệu của trường đại học với công việc là thay đổi các thông tin liên lạc của sinh viên, người này có thể lạm dụng quyền cập nhật cơ sở dữ liệu của mình để sửa đổi điểm của sinh viên (trái phép).
Có thể đơn giản là do những quản trị viên cơ sở dữ liệu vì bận rộn với công việc quản trị của mình nên không định nghĩa và cập nhật cơ chế kiểm soát quyền truy nhập cho mỗi người dùng. Kết quả là một số lượng lớn người dùng được gán các đặc quyền truy nhập mặc định vượt xa so với yêu cầu công việc của họ.
Ngăn chặn lạm dụng quyền vượt mức – Bằng kiểm soát truy nhập mức truy vấn
Sử dụng cơ chế kiểm soát truy nhập mức truy vấn (Query-level) sẽ hạn chế các đặc quyền cơ sở dữ liệu bằng những toán tử SQL (SELECT, UPDATE,…) và dữ liệu được yêu cầu một cách tối thiểu. Trong ví dụ trên, nếu sử dụng cơ chế kiểm soát truy nhập mức truy vấn một cách đầy đủ thì người phụ trách cơ sở dữ liệu chỉ được phép cập nhật cột thông tin liên lạc của sinh viên. Nếu anh ta cố gắng sửa đổi cột điểm thì hệ thống sẽ phát ra cảnh báo. Kiểm soát truy nhập mức truy vấn không chỉ có lợi trong việc phát hiện việc lạm dụng quyền vượt mức mà còn giúp ngăn chặn hầu hết những hiểm họa an toàn cơ sở dữ liệu.
2. LẠM DỤNG QUYỀN HỢP PHÁP (LEGITIMATE PRIVILEGE ABUSE)
Người dùng lạm dụng các đặc quyền hợp pháp của mình để thực hiện những mục đích không hợp pháp. Hãy xét một nhân viên chăm sóc sức khỏe, nhân viên này có quyền xem các bản ghi liên quan đến chỉ một bệnh nhân trong cơ sở dữ liệu qua một ứng dụng Web. Tuy nhiên, thường cấu trúc của ứng dụng Web sẽ hạn chế không cho phép người dùng được xem nhiều bản ghi về lịch sử khám chữa bệnh liên quan đến nhiều bệnh nhân một cách đồng thời. Khi đó, nhân viên này có thể bỏ qua hạn chế của ứng dụng Web đó bằng cách kết nối tới cơ sở dữ liệu bằng một ứng dụng khác, chẳng hạn MS-Excel. Sử dụng MS-Excel với đăng nhập hợp lệ của mình, anh ta có thể lấy ra và lưu lại tất cả các bản ghi về các bệnh nhân trong cơ sở dữ liệu Ở đây, cần xét hai rủi ro. Thứ nhất, nhân viên có mục đích xấu sẵn sàng bán các bản ghi thông tin bệnh nhân để lấy tiền. Thứ hai (phổ biến hơn) là sự cẩu thả của nhân viên. Người này truy xuất và lưu trữ một lượng lớn thông tin bệnh nhân vào máy khách của họ với mục đích công việc hợp pháp. Tuy nhiên, do lơ đễnh, nhân viên này có thể để lộ dữ liệu bệnh nhân ở một máy tính đầu cuối và nó trở thành điểm yếu cho Trojan, hay những kẻ lấy cắp máy tính,…
Ngăn chặn lạm dụng quyền hợp pháp – Bằng cách hiểu được bôi cảnh của truy nhập cơ sở dữ liệu
Giải pháp cho hiểm họa này chính là kiểm soát truy nhập cơ sở dữ liệu nhưng không chỉ bằng các truy vấn cụ thể, mà còn áp dụng cho bối cảnh xung quanh truy nhập cơ sở dữ liệu. Bằng cách bắt buộc tuân thủ chính sách cho các ứng dụng khách, thời gian trong ngày, vị trí, thì có thể nhận dạng được những người dùng đang sử dụng các quyền truy nhập hợp pháp của mình với hành động mờ ám, đáng nghi
Với hiểm họa này, SecureSphere sử dụng công nghệ Hồ sơ động (Dynamic Profiling) để thực hiện kiểm soát truy nhập dựa vào bối cảnh. Ngoài thông tin truy vấn, công nghệ Hồ sơ động tạo ra một mô hình của ngữ cảnh xung quanh các tương tác cơ sở dữ liệu thông thường. Thông tin về ngữ cảnh cụ thể được lưu trong profile bao gồm: thời gian trong ngày, địa chỉ IP nguồn, khối dữ liệu được truy xuất, trình khách ứng dụng.
Bất kỳ kết nối nào đến cơ sở dữ liệu mà ngữ cảnh của nó không phù hợp với thông tin được lưu trong hồ sơ của người dùng đó thì cổng SecureSphere sẽ phát ra cảnh báo. Chẳng hạn, người nhân viên có trong ví dụ trên sẽ bị phát hiện bởi SecureSphere không chỉ vì việc sử dụng một trình khách MS-Excel không chuẩn mà còn vì khối dữ liệu mà người dùng này truy xuất cũng không hợp lệ đối với một phiên đơn lẻ. Trong trường hợp cụ thể này, sự sai lệch trong cấu trúc của truy vấn MS-Excel không chuẩn đó, cũng gây ra một sự xâm phạm mức truy vấn.
3. NÂNG CẤP QUYỀN BẤT HỢP PHÁP (UNAUTHORIZED PRIVILEGE ELEVATION)
Kẻ tấn công có thể dựa trên các điểm yếu trong phần mềm cơ sở dữ liệu để biến quyền truy nhập của một người dùng bình thường thành quyền truy nhập của một người quản trị. Những điểm yếu này có thể tìm thấy trong các thủ tục được lưu, trong các hàm được xây dựng bên trong, trong việc thực thi giao thức, thậm chí trong các câu lệnh SQL. Ví dụ, một nhà phát triển phần mềm ở một tổ chức tài chính có thể lợi dụng một hàm chứa điểm yếu để thu được đặc quyền quản trị cơ sở dữ liệu. Với đặc quyền quản trị này, nhà phát triển ác ý đó có thể tắt các cơ chế kiểm toán, tạo những tài khoản ma, hay chuyển tiền bất hợp pháp,…
Ngăn chặn nâng quyền bất hợp pháp – Bằng IPS và kiểm soát truy nhập mức truy vấn
Hiểm họa này có thể bị ngăn chặn bằng việc kết hợp các hệ thống ngăn chặn xâm nhập (IPS) và kiểm soát truy nhập mức truy vấn. IPS sẽ kiểm tra lưu lượng cơ sở dữ liệu để nhận ra các mẫu phù hợp với những điểm yếu đã biết. Chẳng hạn, với một hàm có điểm yếu đã biết thì một IPS có thể chặn tất cả các truy nhập tới hàm đó, hoặc (nếu có thể) chỉ chặn những truy nhập (của các tấn công) tới hàm này.
Tuy nhiên, thật khó khăn để xác định một cách chính xác những yêu cầu truy nhập nào gắn với các tấn công khi chỉ sử dụng IPS. Bởi vì nhiều truy nhập hợp pháp vẫn sử dụng các hàm cơ sở dữ liệu chứa điểm yếu. Do đó, IPS không có tùy chọn để chặn tất cả các truy nhập đến các hàm chứa điểm yếu. IPS phải phân biệt chính xác các hàm được sử dụng hợp pháp và các hàm được sử dụng cho một tấn công nào đó. Trong nhiều trường hợp, điều này là không thể do sự đa dạng của các tấn công, cho nên với những trường hợp như vậy, hệ thống IPS chỉ đưa ra cảnh báo (không chặn) đối với những truy nhập vào các hàm cơ sở dữ liệu chứa điểm yếu.
Để cải thiện độ chính xác, IPS có thể được gắn với một bộ chỉ thị tấn công khác, chẳng hạn như kiểm soát truy nhập truy vấn. Kiểm soát truy nhập truy vấn kiểm tra xem yêu cầu truy nhập có phù hợp với hoạt động của người dùng thông thường hay không, trong khi đó IPS sẽ kiểm tra xem yêu cầu cơ sở dữ liệu này có truy nhập vào một hàm chứa điểm yếu hay không. Nếu một yêu cầu cơ sở dữ liệu có truy nhập vào một hàm chứa điểm yếu và có hoạt động bất thường thì chắc chắn có một tấn công vào cơ sở dữ liệu đang hoạt động.
4. LỢI DỤNG CÁC ĐIỂM YẾU NỀN TẢNG (PLATFORM VULNERABILITIES)
Các điểm yếu trong hệ điều hành bên dưới (Windows 2000, UNIX,.) và các điểm yếu trong các dịch vụ được cài đặt trên một máy chủ cơ sở dữ liệu có thể dẫn tới truy nhập bất hợp pháp, sự sửa đổi dữ liệu hay từ chối dịch vụ. Chẳng hạn, sâu Blaster lợi dụng một điểm yếu của Windows 2000 để tạo ra các điều kiện cho từ chối dịch vụ.
Ngăn chặn các tấn công nền tảng – Bằng cập nhật phần mềm và ngăn chặn xâm nhập
Để bảo vệ các tài nguyên cơ sở dữ liệu tránh khỏi các tấn công nền tảng, cần thiết phải kết hợp giữa việc cập nhật (các bản vá) phần mềm thường xuyên và sử dụng hệ thống ngăn chặn xâm nhập (IPS). Các nhà cung cấp luôn đưa ra những bản vá cho các điểm yếu trong nền tảng cơ sở dữ liệu. Tuy nhiên, các doanh nghiệp cập nhật và thực thi các phần mềm này theo định kỳ. Khi đó, giữa các chu kỳ cập nhật này, cơ sở dữ liệu không được bảo vệ. Thêm vào đó, vấn đề tương thích đôi khi không cho phép các cập nhật phần mềm này được hoàn chỉnh. Để giải quyết những vấn đề này, cần phải sử dụng IPS. Như mô tả ở trên, IPS kiểm tra lưu lượng cơ sở dữ liệu và xác định được những tấn công nhắm vào các điểm yếu đã biết.
5. SQL INJECTION
Trong một tấn công SQL Injection, kẻ tấn công thường chèn (hay “tiêm“) các mệnh đề cơ sở dữ liệu bất hợp pháp vào một nguồn dữ liệu SQL dễ bị tổn thương. Thường nguồn dữ liệu đích bao gồm các thủ tục được lưu và các tham số đầu vào của ứng dụng Web. Các nguồn này bị tiêm vào những mệnh đề bất hợp pháp, sau đó chúng được truyền tới cơ sở dữ liệu và được xử lý tại đây. Với SQL Injection, kẻ tấn công có thể đạt được truy nhập không giới hạn tới toàn bộ cơ sở dữ liệu.
Ngăn chặn SQL Injection
Có thể sử dụng kết hợp ba kỹ thuật để chống SQL Injection một cách hiệu quả là: IPS, kiểm soát truy nhập mức truy vấn và sự tương quan sự kiện. IPS có thể xác định các thủ tục được lưu chứa điểm yếu hoặc những chuỗi SQL injection. Tuy nhiên, một mình IPS thì không đáng tin cậy. Các nhà quản trị an toàn nếu chỉ tin cậy vào một mình IPS sẽ luôn nhận được hàng loạt các cảnh báo là SQL injection “có thể đang tồn tại“. Tuy nhiên, bằng cách tương quan một dấu hiệu của SQL injection với một xâm nhập vào kiểm soát truy nhập mức truy vấn thì có thể xác định được tấn công với độ chính xác cao.
6. LỢI DỤNG DẤU VẾT KIỂM TOÁN YẾU (WEAK AUDIT TRAIL)
Đối với bất kỳ hoạt động nào liên quan đến cơ sở dữ liệu, cần phải ghi tự động tất cả các giao dịch cơ sở dữ liệu nhạy cảm và/hoặc các giao dịch bất thường. Khi chính sách kiểm toán cơ sở dữ liệu yếu sẽ dẫn đến những rủi ro nghiêm trọng cho tổ chức với nhiều mức độ khác nhau.
Các cơ chế kiểm toán là tuyến hàng rào bảo vệ cơ sở dữ liệu cuối cùng. Nếu kẻ tấn công có thể phá vỡ các hàng rào khác thì cơ chế kiểm toán dữ liệu vẫn có thể xác định sự tồn tại của một xâm nhập sau những hành động của kẻ tấn công trước đó. Những vết kiểm toán thu được có thể dùng để xác định người dùng nào vừa thực hiện các hành động này, đồng thời qua vết kiểm toán có thể thực hiện phục hồi lại hệ thống.
Cơ chế kiểm toán yếu đồng nghĩa với việc hệ thống không thể ghi lại đầy đủ những hành động của người dùng, dẫn đến việc không thể phát hiện và ngăn chặn kịp thời những hành động tấn công của người dùng hoặc một nhóm người dùng. Do vậy, kiểm toán là cơ chế quan trọng mà mọi hệ thống cần có và cần phải có cơ chế kiểm toán mạnh để đảm bảo an toàn thông tin hay an toàn cơ sở dữ liệu cho mọi hệ thống.
Tất cả các bản sao cơ sở dữ liệu cần thiết phải được mã hóa. Một vài nhà cung cấp khẳng định rằng, các sản phẩm DBMS tương lai của họ sẽ hỗ trợ các bản sao cơ sở dữ liệu được mã hóa.
7. TỪ CHỐI DỊCH VỤ (DENIAL OF SERVICE)
Từ chối dịch vụ (DOS) là một loại tấn công trong đó các truy nhập của người dùng hợp pháp vào các ứng dụng mạng hay vào dữ liệu sẽ bị từ chối. Các điều kiện từ chối dịch vụ có thể được tạo ra qua nhiều kỹ thuật (nhiều trong số đó liên quan đến các điểm yếu nền tảng). Ví dụ, tấn công DOS có thể dựa trên điểm yếu nền tảng cơ sở dữ liệu để phá hủy một máy chủ. Ngoài ra, còn có một số kỹ thuật DOS phổ biến khác như: sửa đổi dữ liệu, làm lụt mạng (network flooding), và làm quá tải tài nguyên máy chủ (bộ nhớ, CPU,…).
