Tecniche di hardening del database

4

Quindi, come ho capito, il database hardening è un processo in cui si rimuovono le vulnerabilità risultanti dalle opzioni di confusione lassista. Questo può a volte compensare bug di venditori sfruttabili.

Esistono tre fasi principali nell'indurimento di un database:

  1. Blocco dell'accesso alle risorse che possono essere utilizzate in modo improprio.
  2. Disabilitare funzioni non richieste.
  3. Principio di autorizzazione minima o privilegi minimi.

Ci sono molte informazioni per "bloccare" gli ambienti RDBMS per renderli più duri contro gli attacchi. Tuttavia queste risorse non forniscono un contesto sufficiente sugli attuali exploit per i database (se non si conoscono i tipi di attacchi esistenti e quelli più popolari, come si fa a sapere se le misure di protezione aumenteranno).

Un brutto modo per me di iniziare ad apprendere le tecniche di indurimento sarebbe quello di elencare il maggior numero di exploit di database là fuori e imparare come ognuno di loro funzioni, che potrebbe richiedere ... un tempo molto lungo.

Quindi mi chiedo dove posso iniziare, le risorse disponibili e le tendenze attuali ecc.

    
posta Garrith Graham 20.02.2013 - 18:20
fonte

4 risposte

2

Ci sono alcune risorse come il CIS. Se desideri rispettare gli standard militari, vorrei controllare gli STIG (Guide tecniche di implementazione della sicurezza) . Hanno STIG per SQL Server e puoi controllare richieste DB generali .

Dal tuo post, non è chiaro se stai lavorando in un ambiente web, ma probabilmente vuoi sapere di SQL injection, ecc. Avvio da OWASP. Hanno alcune informazioni generali sull'iniezione SQL , alcune linee guida sicure e alcune linee guida di test.

In termini di ricerca di exploit correnti, puoi cercare tra CVE .

Se ci fornisci ulteriori dettagli, possiamo fornire ulteriori risorse. Puoi semplicemente controllare Amazon per i libri sull'argomento che si adattano al tuo stile e al tuo focus.

    
risposta data 21.02.2013 - 06:03
fonte
0

Potresti dare al CIS - Center for Internet Security - un via. Benchmark della sicurezza del database:

link

CIS è un'organizzazione ben conosciuta per i suoi benchmark di sicurezza e li troverai in molte organizzazioni.

    
risposta data 21.02.2013 - 01:53
fonte
0

"exploit correnti" saranno i "vecchi exploit" del mese prossimo e, in quanto tali, sono abbastanza simili all'attuale serie di exploit "vecchio cappello". E nessuno parlerà comunque degli exploit della prossima settimana.

In breve, guarda le patch di sicurezza nell'ultimo anno e pensa se le misure che prendi avrebbero fermato nessuno di loro.

    
risposta data 22.02.2013 - 11:19
fonte
0

Per aggiungere alle altre risposte che elencano risorse specifiche per i database di hardening, farò il punto su come indirizzare le minacce sconosciute ai database.

Suggerirei di non basare la protezione di alcun componente dell'infrastruttura su minacce specifiche (ad esempio qualunque sia l'attuale "hot 0-day").

Cerca invece di ridurre la superficie di attacco il più possibile (ad esempio rimuovendo funzionalità non necessarie, fornendo agli utenti di database solo i diritti specifici necessari per operare, abilitando la registrazione remota degli eventi di sicurezza), quindi (a seconda del modello di minaccia) hai bisogno di controlli aggiuntivi (ad es. firewall di database).

Se provi a basare i controlli su minacce specifiche, ti ritroverai costantemente in modalità catch-up.

    
risposta data 24.02.2013 - 20:44
fonte

Leggi altre domande sui tag