Igaz a régi közhely: Az adatok képzik céged legfontosabb tulajdonát. Ezzel az öt alapvető biztonsági lépéssel garantálhatod adataid biztonságát.

Majdnem minden, amit a számítógép biztonsága érdekében teszünk, az adatvédelmet szolgálja. Tulajdonképpen nem azért telepítünk rosszindulatú szoftverek (malware) elleni védelmet, szigorítjuk a biztonsági konfigurációkat vagy alkalmazunk tűzfalakat, hogy csupán a felhasználókat védjük. Az elsőszámú feladat a cég adatainak védelme – beleértve az alkalmazottak és (különösen) az ügyfelek adatait.
De tudod mit? Az embereknek dolgozniuk kell ezekkel az adatokkal, ellenkező esetben nem lenne szükséges tárolni sem őket – épp ezért a legtöbb adatbiztonsági intézkedés arra összpontosít, hogy csak megbízható, feljogosított felek férjenek az adatokhoz. Kövesd ezt az öt javaslatot, és létfontosságú adataid megfelelő védettséget fognak élvezni!

1. Azonosítsd a legfontosabb adatokat!

Először is azonosítsd a legfontosabb adataidat. A legnehezebb rész ezek megtalálása. Egy vezető informatikus pár éve így fogalmazott: „Ha azt gondolod, tudod, hol van az összes adatod, minden bizonnyal csak viccelődsz.”
Az értékes adatokat adatbázisokban, adattárolókban és mostanság felhőkben, illetve adattárolókon és eltávolítható adathordozókon tárolják. Az értékes adatok közé tartoznak a tényleges adatokat továbbító és megőrző alrendszerek, többek között az Active Directory tartományvezérlők, a hitelesítési adatbázisok, a DNS-ek, a DHCP-k, hálózati routerek és egyéb szolgáltatások; ezek mind saját biztonsági rendszerrel vannak felszerelve.

Ajánlott minden adatot üzleti értéke és érzékenysége alapján osztályozni: korlátozd legértékesebb adataidat a lehető legkisebb mértékűre! A lehető legkevesebb adatot ajánlott tárolni, ugyanis az az adat van a legnagyobb biztonságban, amelyet eleve nem is tároltál el.

Minden adatnak rendelkeznie kell tulajdonossal, akinek feltehetők az adat állapotára, kezelésére és érvényességére vonatkozó kérdések. Minden adat rendelkezzen használhatósági időtartammal, aminek lejártával az adatokat megsemmisítik.

2. Tartsd rendben a hitelesítő adatokat!

A higiénia fontos a hitelesítő adatok esetén is – vagyis tartsd rendben kiemelt fiókjaidat: a cél az, hogy a lehető legkevesebbre, akár nullára minimalizáld az állandó tagságokat. Az adminisztratív tevékenységeket ajánlott a lehető legkevesebb jogosultság és hozzáférési jog segítségével elvégezni (ezeket néha "just enough", vagyis „épp elég” engedélynek hívják). A jogosultságokat és a hozzáférési jogokat csak akkor és csak arra időpontra ajánlott kibocsátani, amikor szükség van rájuk (ezeket "just in time", vagyis „pont időben” engedélynek nevezik).
Minden szervezetnek ajánlott minden privilegizált csoportban az állandó tagságok felülvizsgálata és az állandó hozzáférést nem igénylő tagok eltávolítása. Amennyiben ezt megfelelő szigorral és körültekintéssel végzik, a létszám általában csupán néhány állandó tagra csökkenthető. A legkedvezőbb esetekben csak egy vagy akár nulla állandó tag marad.

Az adminisztrátorok többségének ajánlott a kiemelt jogosultságokat és hozzáférési jogokat korlátozott módon biztosítani. Ezt sokszor az adminisztrátorok a kiemelt hitelesítő adatokból történő „kijelentkeztetésével” érik el: ez egy előre beállított lejárati idő segítségével történik.

A hitelesítő adatok higiéniája létfontosságú a jó adatbázis-biztonsághoz, mert a bizalmas adatokhoz való hozzáférés megszerzése végett a támadók gyakran – szinte mindig – megpróbálkoznak a kiemelt fiókok megtámadásával. A kiemelt fiókok számának minimalizálása csökkenti annak a kockázatát, hogy e fiókok egyikét feltörjék, és rosszindulatú célokra használják.

3. Állíts fel szigorú belső biztonsági határokat!

Rég elmúltak azok a napok, amikor egy hálózati tűzfal elegendő biztonságot nyújtott. A legtöbb vállalati hálózat központját különálló, izolált biztonsági határokkal kell ellátni, amelyekhez csak előre meghatározott felhasználói fiókok férhetnek hozzá. A szigorú belső határok létrehozása host-based (vagyis kliensoldali) tűzfalak, belső routerek, VLAN-ok, logikai hálózatok, VPN-ek, az IPSec és számos egyéb hozzáférési jogosultság ellenőrzésére szolgáló módszer segítségével történhet.

A felhasználók nagy része például képes lehet hozzáférni egy többrétegű webes alkalmazás front endjéhez, azonban azt ajánljuk, hogy csak nagyon kevés ember férhessen hozzá a back-end adatbázishoz. Talán csak az adatbázis illetékes adminisztrátorainak, néhány kiegészítő szervernek és felhasználónak ajánlott rendelkeznie hozzáféréssel az adatbázisszerverhez, illetve a front-end adatbázisokhoz és bármilyen middle-tier (köztes réteg) szolgáltatáshoz. Így, ha a támadók a megfelelő hitelesítő adatok nélkül megpróbálnak közvetlenül hozzáférni az adatbázishoz, e tevékenységük meggátolható, vagy legalább egy auditfigyelmeztetés kezdeményezhető.

4. Gondoskodj az adatok állandó titkosításáról!

A hagyományos adatvédelmi szolgáltatások kétféle titkosítást biztosítanak: az adatok szállítása közbeni titkosítást és a nyugalmi állapotban lévő adatok titkosítását. Azonban ez azt feltételezi, hogy a „rossz fiúk” még nem lopták el a legitim hitelesítő adatokat, amelyekkel hozzáférhetnek a kérdéses adatokhoz; ellenben sokszor pontosan ez a helyzet áll fenn.
Ha erős adatvédelmet szeretnél, gondoskodj adataid titkosításáról, bárhol is legyenek az adatok – különösen akkor, ha illegitim helyre kerülnek. Az adattolvajok számára ez a legfrusztrálóbb.

Sok megoldás az egyedi adatkomponenseket titkosítja, és a szállítási céltól függetlenül fenntartja a titkosítást. Egyesek alkalmazás-szolgáltatások, pl. a Microsoft Active Directory jogkezelő szolgáltatása, míg mások az adatokat közvetlenül az adatbázisban titkosítják, pl. a Microsoft SQL Transparent Data Encryption nevű szolgáltatása.

Miért jó módszer az adatok titkosítása? Ha valaki ellopja az adatokat, azok titkosítva maradnak, így használhatatlanná válnak.

5. Védd az ügyfelet!

A hackerek ritkán törtnek be közvetlenül a szerverekbe. Azonban ilyenek még mindig megesnek – például SQL injekciós támadások és a távoli puffertúlcsordulások –, de az ügyféloldali támadások sokkal gyakoribbak.
Ha szeretnéd megvédeni adataidat, gondoskodj az adatokhoz hozzáférő emberek biztonságáról. Ez az összes kritikus patch (programjavítás) egy-két héten belüli alkalmazását, a felhasználók a pszichológiai manipulációra (social engineering) való felkészítését, és a munkaállomások biztonságos kialakítását jelenti.

(Forrás)