Обнаружение взлома базы данных
Меня интересует обнаружение нарушений базы данных.
В настоящее время я использую Auditd для обнаружения дампа базы данных с помощью mysqldump.
Интересно, что еще я могу сделать, чтобы обнаружить потенциальное нарушение базы данных?
Спасибо за любые идеи!
1 ответ
Общий термин, не относящийся конкретно к защите баз данных, — это «система обнаружения вторжений» (IDS) и часто тесно связанный с ним « система предотвращения вторжений» (IPS).
Статья в Википедии весьма информативна: https://en.wikipedia.org/wiki/Intrusion_detection_system .
Другой тесно связанный термин — это управление информацией о безопасности и событиями (SIEM).
Обычно вы пытаетесь обнаружить потенциальные нарушения базы данных так же, как вы проверяете свою обычную безопасность, но относительно легко висящие плоды — это такие вещи, как сканирование портов. Когда появится возможность удаленного подключения к вашему серверу базы данных, должен прозвучать большой сигнал тревоги.
Другие легко висящие плоды — это системы, которые не обновляются с помощью обновлений безопасности и исправлений ошибок или, например, слишком щедрых разрешений файловой системы.
Гораздо труднее обнаружить плохие приложения, например уязвимость к SQL-инъекции.