نحوه پایش فعالیت های مشکوک برروی دیتابیس ها

سوال بعدی که می‌خواهیم در حوزه امنیت دیتابیس مطرح کنیم این است که اگر فعالیت مشکوکی روی دیتابیس شما در حال وقوع باشد، چگونه متوجه انجام این فرآیند می‌شوید؟ آیا برای شما هشدار ارسال می‌شود؟ آیا این امکان وجود دارد که راحت و سریع فعالیت‌های مشکوک که ممکن است منجر به آسیب‌پذیری شود را پایش کنید و در لحظه و آنی هشدار ارسال کنید؟
طبق آمار و اطلاعات جمع‌آوری شده، 84 درصد حمله‌ها که منجر به دسترسی به رکورد‌های جداول دیتابیس می‌شود، با استفاده از سرقت هویت افراد و اپلیکیشن‌های دارای مجوز دسترسی به دیتابیس‌ها است و حدود 71‌درصد آن‌ها آنی و در لحظه اتفاق می‌افتد. بنابراین ما به ابزاری نیاز داریم که بتواند، تمام دستورات SQL و فعالیت‌های مشکوک را پایش و ثبت کند و در صورت تخطی از سیاست‌های امنیتی سازمان، آن را در لحظه به ما گزارش دهد.

مثال :

در همه سازمان‌ها، اپلیکیشن‌ها و افرادی وجود دارند که معتمد سازمان هستند و دسترسی سطح بالا به دیتابیس‌های حیاتی و داده‌های حساس سازمان را دارند. اکنون فرض کنید هکر به طریقی، به سرور و یوزر اپلیکیشن دسترسی پیدا کند و در ساعات غیرکاری سازمان، سعی نماید تا به دیتابیس وصل شود. یا این‌که در یک دقیقه، تعدادی ورود ناموفق به دیتابیس به صورت مکرر داشته باشیم. یا فرد یا افرادی تلاش کنند که از طریق یوزری که دیگر وجود ندارد، وارد دیتابیس شوند و یا بخواهند به اطلاعاتی دست پیدا کنند که مجاز به دسترسی به آن‌ها نیستند.
تمام این فعالیت‌ها، برای سازمان مشکوک محسوب می‌شود و نیازمند آن است که، در لحظه و به صورت آنی هشدار وقوع، برای آن ارسال شود، تا بتوان جلوی اتفاقات ناگوار بعدی را گرفت. در قسمت بعدی این مقاله راهکاری برای این موضوع ارائه می‌دهیم.

راهکار:

AVDF این امکان را فراهم می‌نماید که برای هر فعالیت مشکوک، در لحظه Notification ارسال شود. لازم به ذکر است برخی از این فعالیت‌ها، به صورت پیش فرض تعریف شده است. مانند ورودهای ناموفق، دستورات غیر SQL و…
همچنین این امکان نیز وجود دارد که شما برای تغییراتی که نسبت به انجام آن‌ها حساس هستید، هشدار تعریف کنید. به طور مثال، اگر در سازمان داده‌هایی حساس و مهم دارید که حتی کاربران مجاز مانند DBAها هم حق دسترسی به آن را ندارند، می‌توانید Alert مشخصی برای آن تعریف کنید. یا مثلا اگر کاربر مجاز به آپدیت کردن یک یا دو رکورد از جدول است و بیش از مثلا 100 رکورد را به روزرسانی کرد، برایتان هشدار ارسال شود. جدا از این موارد با استفاده از این راهکار، می‌توان برای اقداماتی که از جانب شما مجاز نیستند، پیش از اتفاق افتادن، Rule تعریف کرد و مانند سایر المان‌های امنیت، علاج واقعه پیش از وقوع کرد.
در آخر AVDF این امکان را می‌دهد، که اگر سازمان از سایر ابزارهای امنیتی مثل SIEM استفاده می‌کند، هشدارها به آن سامانه‌ها ارسال شود. در واقع قابلیت ارسال هشدارها به syslog وجود دارد.