Netzwerkverbindung unterbrechen

Auditing ist wichtig, findet normalerweise aber erst dann statt, wenn eine bösartige Aktivität schon längst gelaufen ist. Wäre es nicht viel besser, eine Warnung in Echtzeit zu erhalten und die Verletzung vielleicht verhindern zu können? Dafür wird Datenbank-Extrusion-Prevention benötigt.

Datenbanken sind dafür da, den Benutzern die Informationen zu liefern, die sie für ihren Job brauchen. Jede IT-Initiative, die versucht, den Zugriff zu beschränken, wird deshalb von den Anwendern als feindlich betrachtet. Glücklicherweise gehen DBEP-Systeme sehr ausgewogen vor.

Sie verhindern, dass autorisierte Benutzer zu viel Zugriff erhalten, während sie gleichzeitig alle Datenbankaktivitäten protokollieren, Auditing durchführen und bei fraglichen Vorgängen Alarm schlagen. Einige Systeme stoppen obskure Aktivitäten sogar.

DBEP-Produkte stoppen Angriffe, indem sie TCP-Resets zum Angreifer (den Web-Server eingeschlossen) und zum Datenbankserver senden. Damit beenden sie die Netzwerkverbindung. Alternativ sitzen die Systeme inline und lassen Angiffsverkehr fallen, bevor er den Datenbankserver erreicht.

DBEP-Systeme werden oft einfach Datenbank-Firewalls genannt, aber tatsächlich tun sie viel mehr als simple Firewall-Arbeit. Neben den Auditing-Fähigkeiten der Detection-only-Produkte enthalten sie viele Features, darunter folgende: Blockieren bekannter Attacken, Verhindern unautorisierten Zugriffs (auf Benutzerrollen basierend) und Erkennen abnormer User-Aktivitäten. Mit anderen Worten: Sie gleichen eher einem IPS oder einer NBAD (Network-Behavior-Anomaly-Detection) als einem IDS.

Mit wachsender Popularität von DBEP-Systemen müssen sich die Sicherheitsleute auf folgende Fragen gefasst machen: Was geschieht, wenn das System legitimen Verkehr blockiert oder eine wichtige SQL-Transaktion verhindert? Kommt drauf an.

Bedeutet eine unautorisierte Informationsenthüllung den finanziellen Ruin des Unternehmens, ein PR-Problem oder lediglich interne Schuldzuweisungen? Es gilt, die Risiken abzuwägen – blockierte, legitime Geschäftsprozesse gegen die Kosten.

Was kaufen?

Gescheit ist ein DBEP-System, das Benutzer profilieren kann, um aus deren Aktivitäten eine Baseline zu erzeugen. Sobald diese erfolgt ist, lässt sie sich den sich ändernden Geschäftsanforderungen anpassen. Impervas Securesphere ist ein ausgezeichnetes Produkt für Unternehmen, die wissen, dass sie wichtige Informationen über ihre Datenbankserver verstreut haben, die aber nicht sicher sind, wer darauf zugreifen darf. Securesphere erlernt die Benutzer und die Tabellen, auf die sie regelmäßig zugreifen.

Auf Grundlage dieser Aktivitäten erzeugt das Produkt Profile. Diese sind anhand von Regeln dynamisch modifizierbar. Bei Abweichungen von der Norm schlägt das System Alarm. Beispielsweise könnte sich ein Administrator umgehend benachrichtigen lassen, wenn ein Web-Applikations-Server plötzlich große Mengen von Kundensätzen abruft, während er normalerweise nur einen Satz benötigt.

Einige Unternehmen werden es in so einem Fall bevorzugen, das abnorme Verhalten zu blockieren. Es geht wieder darum, welche Auswirkungen die Enthüllung der Informationen auf das Geschäft hat.

Auf Flexibilität achten

Produkte, die ihre Profile dynamisch anpassen können, sind rigideren gegenüber zu bevorzugen. Ein DBEP-Produkt sollte flexibel und feinfühlig sein sowie zuverlässig und effizient arbeiten.

Dieser Grad von Schutz ist nicht billig zu haben, aber Datenbank-Extrusion-Prevention kann die SOX-, HIPAA- und PCI-Forderungen, Zugriffe zu dokumentieren, Aufgaben zu separieren und Benutzeraktivitäten zu überprüfen, erfüllen. Hier haben wir eine Produktkategorie, die wirklich hilft, Compliance-Ziele zu erreichen.

1. Rauchende Colts
2. Netzwerkverbindung unterbrechen