ארכיון עבור דצמבר, 2007

31
דצמ
07

הגנה על נתונים רגישים בבסיסי נתונים/Database Security

לפני מספר שנים שיתף אותי מנהל אבטחת מידע בחשש שלו שמישהו יפרוץ לארגון ויגנוב מספרי כרטיסי אשראי או מידע אחר על לקוחות. שאלתי אותו, באותה שיחה, האם הוא לא חושש מגניבת המידע מתוך הארגון והוא ענה לי שיש לו DB ישן והוא לא יודע כיצד להגן עליו מעבר להרשאות ברמת האפליקציה. וחוץ מזה, צריך לסמוך על מישהו בארגון – למשל, DBA, מפתחים – לא?

אז זהו, שלא. כיום, אני מחפש פתרונות לסיטואציה דומה. בארגון ישנם אנשי DBA, עשרות מתכנתים, כלכלנים שעושים ניתוחים פיננסיים על מידע בגישה ישירה ל – DB ואחרים – בסה"כ עשרות אנשים – שקיבלו הרשאות גישה ישירה ב – SQL לבסיסי נתונים. לך תתמודד עם הטיעון: אנחנו צריכים את זה למען העבודה, למען מטרות הארגון.

בשנה האחרונה בחנתי מספר אפשרויות שאציין כאן מבלי לטעון ששיטה אחת טובה מאחרת ומבלי לפרט יתרונות וחסרונות. זו רק נקודת התחלה לבדיקה מהי השיטה הטובה בארגון.

  1. הצפנת שדות רגישים ע"י תוכנה.
  2. הגבלת הרשאות גישה ברמת אובייקטים דרך ההרשאות של ה – DB.
  3. הגבלת הרשאות גישה ברמת עמודה ע"י פתרון כגון Database Vault (לסביבת Oracle).
  4. הגבלת גישה ע"י Database Firewall.

בצורה כזו, ניתן לאפשר גישה לכל הרשומות, אך בו בזמן לחסום גישה למידע רגיש גם דרך כלי SQL. מי שיטען שלצורך ניהול בסיס נתונים ברמת DB או ניתוח סטטיסטי לצורך ניתוח אסטרטגי של השוק לצרכי שיווק, הוא חייב לראות את כל הרשומות, נוכל לא לאפשר גישה לפרטי כרטיס אשראי או מידע רגיש אחר שאינו שדה אינדקס.

חשוב לזכור שהצלחת הטמעת אחד מהפתרונות לעיל תלוי לא רק בתאימות הכלי לסביבת הארגון, אלא גם לתהליך שאינו טכני. מישהו צריך לשבת עם מנהלי המידע וללמוד איזה מידע רגיש יש במערכת, איפה (סביבות/טבלאות/שדות), מי ניגש אליו וכדומה. מדובר בתהליך ארוך שדורש משאבים. עדכונים לגבי אופן המימוש שנבחר יבואו בהמשך.

תמים שנה אזרחית טובה לכולם תמים

CISO

מודעות פרסומת
26
דצמ
07

עוד דומיין נחטף, הפעם בגלל פירצה ב- Gmail

הפואנטה בפוסט היא לא הפירצה שהתגלתה ב – Gmail, אלא אובדן הדומיין.

אומנם הפוסט כתוב באנגלית והוא ארוך, אך הוא נוגע ללב (אני לא ציני) ויותר מזה מדגים את הצורך בהגנה על דומיינים ומציג כמה התופעה נפוצה, כפי שכבר דנתי כאן וכאן.

CISO

28/2/08: לא ברור לי איך הלינק לפוסט נעלם. אני זוכר שבדקתי את הפוסט לאחר שהעליתי אותו. בכל מקרה, לאחר חיפוש ארוך מצאתי את הפוסט והחזרתי את הלינק.

15
דצמ
07

גנבו את האתר/חטיפת דומיין

האתר של 4chan.org נחטף. יותר נכון, הדומיין שלהם נגנב והאתר שלהם אינו זמין. הנושא נדון כאן לפני זמן לא רב.

מעניין מה הנזק הכספי שינבע מהחטיפה.

CISO

06
דצמ
07

למה להצפין את כל ה – Hard Disk?

בבלוג הזה אני משתדל להמנע מציטוט בלוגים אחרים. המטרה אינה לפרסם פוסטים רבים אלא לדון בנושאים אקטואליים לארגונים. במקרה של הפוסט הזה אני בכל זאת מצטט את ברוס שנייר.

בכמה ארגונים בהם הייתי מעורב בפעילות אבטחת מידע, כולל במקום הנוכחי, כשדנו בצורך להצפין מחשבים ניידים, ביקשתי להצפין את כל הדיסק הקשיח בעוד שהמתנגדים טענו שעקב בעיות ביצועים יש להסתפק בהצפנת Volume שבו יישמרו הקבצים הרגישים.

מעבר לעובדה שעובד עשוי מטעמי נוחות לשמור קובץ באזור לא מוצפן, הציטטה הבאה, הלקוחה מהבלוג של ברוס שנייר, נותנת טיעון מנצח:

The reason you encrypt your entire disk, and not just key files, is so you don't have to worry about swap files, temp files, hibernation files, erased files, browser cookies or whatever. You don't need to enforce a complex policy about which files are important enough to be encrypted. And you have an easy answer to your boss or to the press if the computer is stolen: no problem; the laptop is encrypted. 

תזכרו: מעבר להצפנה הראשונה שלוקחת יותר זמן, אין באמת ירידה בזמן הגישה לקבצים מוצפנים.

CISO

02
דצמ
07

ספאם ואנונימיות

שואלים אותי בעבודה לא מעט כיצד להמנע מכמויות הספאם שהם מקבלים, וזאת למרות שמותקן אנטי-ספאם בכניסה לרשת. הנה כמה הצעות שיכולות לצמצם את הנזק:

  • לא להשתמש בכתובת המייל של העבודה (בית) לרישום לאתרים. ניתן להשתמש בכתובת ציבורית (כגון gmail) שכל יעודה רישום לאתרים – קבלת סיסמא מהשרת. רעיון חמוד אפשר למצוא באתר הבא המספק כתובת ממוחזרת לשימוש מוגבל בזמן – 15 דקות.

  • אל תענו (Reply) לדואר זבל אף פעם.

  • לרוב, לינק במייל 'המאפשר' להסיר מרשימת תפוצה הנו דרך נוספת להשיג את הפרטים שלכם במרמה.

  • לשלוח מייל לרשימת תפוצה מוסתרת (Bcc) ולבקש מהממוענים לעשות לנהוג כך.

  • להשתמש ב – Anonymous Proxy לגלישה כדי להסתיר את פרטי הגולש (כתובת IP, סוג דפדפן ועוד). הצעה זו מתאימה יותר לגולשים מקצועיים שיש להם מה להסתיר.

CISO




דצמבר 2007
א ב ג ד ה ו ש
« נוב   ינו »
 1
2345678
9101112131415
16171819202122
23242526272829
3031