Bezpieczeństwo bazodanowe w kontekście rekomendacji T

2010-09-01 17:55

Wydawać by się mogło, że niedawno opublikowana Rekomendacja T nie ma nic wspólnego z bezpieczeństwem IT gdyż dotyczy ryzyka kredytowego. Tymczasem punkt 14.1 zawiera rekomendacje dotyczące baz danych. Rekomendacja 14 brzmi: Przy ocenie zdolności kredytowej klienta detalicznego banki powinny korzystać z baz danych w celu weryfikacji poziomu zadłużenia klientów i historii spłat. W tym zakresie banki powinny korzystać z własnych i zewnętrznych baz danych.

Z powyższego zapisu – w ujęciu bezpieczeństwa bazodanowego – wynikają następujące aspekty:

  1. Niezwykle istotne jest bezpieczeństwo baz danych i zapewnienie na ich poziomie rozrzedzenia uprawnień oraz zapewnienie odpowiedniego audytu zdarzeń. W praktyce audyt zdarzeń jest albo wyłączony kompletnie albo jest stosowany w bardzo ograniczonej formie z powodów wydajnościowych. W tym przypadku jednak modyfikacja rekordu może oznaczać błędną analizę ryzyka kredytowego.
  2. Kolejnym krytycznym komponentem baz danych są interfejsy sieciowe. Współczesne serwery bazodanowe oferują wiele interfejsów pozwalających na dostęp i pracę w różnych trybach. Często nie są one jednak poprawnie zabezpieczone. Typowym przykładem może być listener bazy Oracle, który w wielu konfiguracjach jest publicznie dostępny.
  3. Poufność podczas wymiany informacji pomiędzy bazami jest następnym istotnym aspektem wynikającym z Rekomendacji T. Wiele interfejsów bazodanowych ma dzisiaj wsparcie dla protokołu SSL/TLS ale może nie być to najlepsze rozwiązanie ze względu na wydajność. Kolejnym istotnym zagadnieniem jest inspekcja ruchu w tunelu SSL/TLS pod kątem ataków przez systemy IPS.

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej