מהי בדיקת אבטחת מס"ד נתונים?

פורסם ע"יdinraפורסם בUncategorizedתגים: , , , , , ,

רוב האפליקציות, האתרים והמערכות משתמשות במס"ד נתונים, כדי לייצר מאגר של משתמשים, לקוחות הזמנות וכו'… במאמר זה נסקור את סוגי האיומים הקיימים, החשיבות שיש להכיל על בסיסי הנתונים, והכלים שיש ברשותנו, שיטות העבודה והטכניקות.

מס"ד הנתונים מכיל מידע חיוני ובעל ערך לפורצים ותוקפים, ולכן הם מנסים בכל הזמן לגשת למאגי המידע ולהשתמש בהם לרעתכם. כל עסק חייב להפעיל אמצעי אבטחה חזקים כהגנה על תשתיית הנתונים.

שיטות פרקטיות כהגנה על מס"ד הנתונים

הגבלת משתמשים והרשאות – על מנהל מס"ד הנתונים להגביל לאדמין אחד או שניים לכל היותר את הגישה למס"ד הנתונים כניהול, ולייצר ניהול הרשאות מהודק לכל הדורש להגשת לבסיס הנתונים לכתיבה או להוציא מידע.

בדיקות עומסים – במצב של מתקפה, התוקף ינסה להריץ המון שאילתות בו זמנית כדי לגורם לבסיס הנתונים לקרוס. ניתן להגביל את כמות השאילתות בו בזמנית מאותו IP אותו מחשב אותו איזור וכדומה.. וכמובן לטפל בעניין המשאבים כדי שלא יקרוס לנו מס"ד הנתונים בזמן התקיפה

התאוששות ושרידות – עליך לייצר רפליקציה של נתונים לאתר אחר במקרה של כשל פיזי או בעיה שלא ניתן לעבוד עם אתר א, ככה שכל המידע יהיה מרופלק לאתר אחר ומשם ניתן להפנות את המשאבים ל DR והמשתמשים והעסק ימשיך לעבוד כרגיל.

אבטחה פיזית – את השרתים, חדרי התקשורת והציוד הפיזי צריך להיות מחדר סגור ומאוורר ומקורר היטב. יש להגביל גישת כניסה למורשים בלבד לחדרי המחשב הנ"ל.

הפרדת שרתים – כדאי לייצר הפרד של בסיס הנתונים מהאפליקציה על מנת להקשות על התוקפים בגישה לשרתים ומעבר משרת לשרת בהגבלת הרשאות.

הצפנת נתונים – יותר ויותר אירגונים ותקנים נוהגים להצפין את המידע הרגיש שלהם, לדוג' תקן PCI מאלץ את החברות המשתמשות בכרטיס אשראי להצפין את המידע ולהשתמש מול חברות הסליקה בטוקנים.

שימוש בכלי אבטחה כגון WAF ו FIREWALL – כדי למנוע גניבת מידע, הוא עומסים על המערכת נגדיר חוקים כשתוקף ינסה לגשת לבסיס הנתונים דרך אפליקציה מורשת ולכתוב משם לדוג' SELECT הוא יקבל חסימה.

עדכון סיסמאות בצורה תדירה – אירגונים חייבים להנהיג נוהל נוקשה של החלפת סיסמאות אחת לתקופה, גם לשרתים ומשתמשים אפליקטיביים נדרש לבצע את שינוי הסיסמאות בתהליך תדיר.

בקרות וטבלאות ארגז חול – נדרש ליישם נהלי בקרה על ידי הצוות הטכני שיבדוק את הנתונים ויוודא שהלוגים נקיים מאיזורים חשודים מגישה לא מבוקרת לטבלאות, הקמת טבלאות סרק שאף אפליקציה לא כותבת אליה, הפעלת אודיט על טבלה זו ובקרה האם היה ניסיון קריאה או כתיבה לטבלה זו כמובן יעורר חשד שיש מי שנכנס לאיזור לא מורשה ומייצר נזק

בודק תוכנה? מעניין להתמקצע ב QA והעמיק את הידע שלך? לקרוא את המאמרים שלנו זה חשוב, אבל להיכנס לקורס הדגיטלי שלנו זה קריטי, כנס עכשיו וצרוך מידע חיוני עבורך >>

קורס בדיקות QA

כתיבת תגובה