Главная » Блоги Экспертов И ИТ-Компаний » 5 шагов к безопасной Базе Данных
Статус не указан

5 шагов к безопасной Базе Данных

Все чаще широкой общественности становится известно об инцидентах по информационной безопасности в крупных компаниях, а в открытом доступе в Интернет появляются конфиденциальные данные. В более половине случаев причиной утечки данных становятся сотрудники компании.

Так, РБК сообщило со ссылкой на Следственный Комитет, что причиной утечки данных 700 тыс. сотрудников РЖД стало незаконное проникновение «неустановленных лиц» в информационные ресурсы компании. На фоне этого инцидента эксперты ГК Angara дали рекомендации по организации защиты Баз Данных (БД) и минимизации рисков:

1. Соблюдать информационную «гигиену» при работе с БД: не выдавать лишние права, разделять данные разного уровня доступа, удалять не действительные сущности, контролировать работу администраторов и др.;

2. Использовать механизмы шифрования, дополнительную токенизацию для чувствительных данных (в случае утечки в Capital One именно этот механизм помог минимизировать ущерб от утечки);

3. Контролировать информационную среду функционирования БД, соблюдать умеренную сетевую изоляцию, проводить качественную настройку операционной среды, своевременно обновляться;

4. Обеспечить физическую защиту серверов БД, регулярно делать резервное копирование;

5. Использовать Database Activity Monitor (DAM) и Database Firewall (DBF) – специализированные решения для защиты активности БД, в том числе на уровне логики и запросов.

Основные угрозы БД, нивелируемые решениями класса DBF:

  • риск успешных SQL-инъекций,
  • контроль и блокирование подозрительных запросов. Например, на выгрузку всех записей из таблицы, и другие не характерные для обычного режима функционирования выгрузки,
  • контроль привилегированных пользователей и работа с привилегиями,
  • распознавание известных атак на БД, защита от приводящих к DOS запросов и т.д.,
  • аудит действий в БД, анализ событий и отчетность для облегчения расследования инцидента.

По вопросам выбора и приобретения решения классов DAM и DBF обращайтесь по телефону 8-495-269-26-06 или e-mail info@angaratech.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
angaratech.ru, Менеджер
8 (495) 269-26-06
Информационные технологии

Группа компаний ANGARA, представленная головной организацией Angara Technologies Group и сервис-провайдером Angara Professional Assistance, предоставляет полный спектр услуг по информационной безопасности, начиная с поставки и внедрения оборудования и ПО, заканчивая комплексом мероприятий по сопровождению ИТ- и ИБ-систем клиентов.

⭐ ТОП-10 самых быстрорастущих ИТ-компаний России (7 место, CNews); ⭐ ТОП-20 крупнейших компаний информационной безопасности (13 место, TAdviser); ⭐ ТОП-20 крупнейших поставщиков для банков (19 место, TAdviser); ⭐ ТОП-100 крупнейших ИТ-компаний России по версии CNews  и TAdviser.

Angara Technologies Group была основана в 2015 году группой из 10 единомышленников. Сегодня компания имеет развитую партнерскую сеть из более чем 100 российских и зарубежных производителей в области информационной безопасности, включая Гарда Технологии, Код Безопасности, Kaspersky, R-Vision, Krontech, Palo Alto, Positive Technologies, Trend Micro и других.

В штате Angara Technologies Group более 140 сотрудников высокого уровня квалификации. На счету компании более 70-ти реализованных проектов.

Angara Professional Assistance — это высокотехнологичный сервис-провайдер, предоставляющий сервисы по модели Security as a service, по аутсорсингу информационной безопасности, услуги по сопровождению и поддержке работоспособности ИТ- и ИБ-систем клиентов, повышению эффективности их работы и обеспечению непрерывности выполняемых функций.

Нам доверяют крупнейшие компании из банковской и промышленной  сфер, телеком-компании и государственные структуры.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>