Come rilevare una perdita di database

4

Il sito Web continua a essere compromesso ogni giorno e ogni tanto sentiamo i proprietari di siti Web reagire e dire agli "utenti interessati che la loro password potrebbe essere stata compromessa". La maggior parte dei siti che divulgano tali perdite sa esattamente quali informazioni sono state compromesse e spesso colpisce solo una piccola parte dell'utente.

In tutte le mie impostazioni, salvo tutto in un unico database. Se un hacker doveva accedere al database, come posso verificare ciò che è stato compromesso.

La mia domanda è: come posso monitorare il mio database per perdite di database? Ci sarebbero alcuni vettori di attacco: un utente potrebbe trovare un bug nel mio codice e accedere alla mia interfaccia di amministrazione. In tal caso sarebbe utile un registro. Ma cosa succede se l'attacco riesce a connettersi al mio database e inviare qualsiasi query SQL che vuole? Cosa succede se l'intero server viene compromesso? Poteva semplicemente cancellare i log o persino nascondere le sue azioni. In questo modo, non saprei nemmeno di essere stato violato fino a quando gli utenti non inizieranno a lamentarsi.

Nelle mie installazioni uso Postgres ma speravo in soluzioni di rilevamento / attenuazione che non fossero legate a uno stack.

    
posta Matt3o12 26.06.2015 - 14:27
fonte

1 risposta

5

Di solito è una combinazione di fortuna, tecnologia e mano che saluta.

Potreste vedere che il vostro server di database è stato violato (tramite attività insolite, ad esempio, i gigabyte vengono trasferiti su Internet, un fatto rilevato, per esempio, dal vostro gestore di rete). È quindi possibile che registri l'attività di traccia sul database (da "accesso al database" a query effettive). È quindi possibile, si spera, immaginare approssimativamente ciò che è trapelato.

Un altro esempio è l'utilizzo di Prevenzione della perdita di dati . Questa è una tecnologia che ha avuto i suoi giorni gloriosi alcuni anni fa, ma non è riuscita a rilevare qualcosa di utile (in generale, cercava schemi in ciò che viene trasferito). Prendendo in considerazione i vincoli che devi mettere in atto affinché funzioni, non sorprende che difficilmente riesci a catturare nulla. Ma questa è una possibilità tecnologica.

Un altro caso è che ti rendi conto (o qualcuno ti dice) che i tuoi dati sono su pastebin .

Puoi vedere che ci sono molti scenari possibili.

Oltre ad avere l'ambiente aggiornato, la tua principale difesa è quella di registrare tutto, e farlo in un posto fuori dalle immediate vicinanze del tuo database (in modo che rimanga lì dopo l'hack). Puoi utilizzare una soluzione fatta in casa (un server syslog centralizzato in una zona protetta da firewall) o commerciale ( Papertrail , Cloud sprecato , ...). Quindi monitora questi registri cercando modelli insoliti.

    
risposta data 26.06.2015 - 14:47
fonte

Leggi altre domande sui tag