Database activity monitoring Cover Giacomo Lanzi

Database Activity Monitoring: cos’è e come metterlo in pratica

Estimated reading time: 6 minuti

Il Database Activity Monitoring (DAM) è una tecnologia applicata alla sicurezza dei database. Il DAM può combinare più dati di monitoraggio della rete e le informazioni di audit per fornire un quadro completo di tutte le attività di un database. I dati raccolti dal DAM vengono poi utilizzati per analizzare le attività del database, supportando le indagini relative alle violazioni dei sistemi IT e scovando anomalie.

Il DAMP invece, è un’estensione del DAM che si applica per bloccare tutte le attività non autorizzate.

Il DAM è importante per proteggere i database contenenti informazioni sensibili dagli attacchi esterni da parte degli hacker. Secondo le più recenti indagini, il numero delle violazioni dei database è aumentato esponenzialmente, mettendo a rischio le informazioni personali degli utenti. Per garantire una protezione completa ad un sistema informatico, la soluzione migliore è avvalersi di un servizio SOCaaS.

Inoltre, il DAM fornisce un sistema di monitoraggio degli accessi da parte di utenti e applicazioni con privilegi. Può funzionare come un controllo aggiuntivo per i problemi legati alla separazione dei compiti degli utenti privilegiati, monitorando l’attività degli amministratori.

Questa tecnologia migliora la sicurezza del database rilevando attività insolite sia di lettura che di aggiornamento del database. L’aggregazione degli eventi del database, la correlazione e il reporting forniscono una capacità di audit del database senza la necessità di abilitare le funzioni native. Queste, infatti, diventano facilmente molto dispendiose in termini di risorse man mano che il livello di auditing aumenta.

database activity monitoring

Database Activity Monitoring: casi d’uso

Monitoraggio degli utenti privilegiati

Questo include il monitoraggio degli utenti con privilegi elevati (superuser), come gli amministratori di database (DBA), gli amministratori di sistema (sysadmin), gli sviluppatori, l’help desk e il personale. È essenziale per la protezione contro le minacce sia esterne che interne. Il monitoraggio degli utenti privilegiati include il controllo di tutte le attività e transazioni. Include anche l’identificazione di attività anomale, come ad esempio la visualizzazione di dati sensibili o la creazione di nuovi account con privilegi elevati.

Inoltre, dato che solitamente gli attacchi hacker puntano ad ottenere credenziali di utenti con privilegi di alto livello, il monitoraggio delle attività con privilegi elevati è anche un modo efficace per identificare i sistemi compromessi.

Il monitoraggio degli utenti con elevati privilegi amministrativi aiuta a garantire:

La privacy dei dati, facendo in modo che solo le applicazioni e gli utenti autorizzati possano visualizzare le informazioni sensibili.

Data governance, in modo che le strutture e i valori critici del database non vengano modificati al di fuori delle procedure di controllo aziendali.

Monitoraggio delle applicazioni: Lo scopo principale del monitoraggio dell’attività delle applicazioni è quello di fornire un livello maggiore di responsabilità dell’utente finale e rilevare le frodi (e altri abusi di accesso legittimo) che si verificano attraverso le applicazioni aziendali, piuttosto che attraverso l’accesso diretto al database.

Protezione dagli attacchi informatici: la SQL injection è un tipo di attacco usato per sfruttare pratiche di codifica sbagliate in applicazioni che utilizzano database. L’hacker utilizza l’applicazione per inviare un’istruzione SQL col fine di estrapolare le informazioni presenti nel database.

Uno dei modi in cui il DAM può aiutare nella prevenzione di attacchi di tipo SQL Injecton è monitorando le attività dell’applicazione, generando come riferimento una linea di “comportamento normale” e identificando gli attacchi scovando divergenze dalle normali strutture e istruzioni SQL.

Database Activity Monitoring: caratteristiche principali

Gli strumenti di Database Activity Monitoring utilizzano diversi meccanismi di raccolta dei dati, li dati per l’analisi e segnalano i comportamenti che violano le politiche di sicurezza o indicano la presenza di anomalie comportamentali. Con il progresso tecnologico, le funzionalità dei DAM aziendali stanno iniziando ad ampliarsi introducendo nuovi strumenti capaci di rilevare le attività dannose o gli accessi anomali o non approvati dell’amministratore del database (DBA).

Alcune delle funzionalità di Database Activity Monitoring più avanzate includono:

– La capacità di monitorare attacchi intra-database e back-door in tempo reale

– Blocco e prevenzione delle intrusioni

– Individuazione dei dati a rischio

– Miglior visibilità del traffico delle applicazioni

– La capacità di offrire il monitoraggio dell’attività del database in ambienti virtualizzati o nel cloud

Alcune imprese sono anche alla ricerca di altre funzioni. Alcune di queste sono:

Funzionalità di DLP (Data Loss Prevention) capaci di affrontare i problemi di sicurezza. Per esempio come l’identificazione dei dati e i requisiti di protezione del Payment Card Industry (PCI) ed altre normative incentrate sui dati. Un’altra funzionalità interessante sono i rapporti di attestazione dei diritti dell’utente del database, richiesti da un’ampia gamma di regolamenti. Ancora, la capacità di offrire il monitoraggio dell’attività del database in ambienti virtualizzati, o anche nel cloud, dove non esiste una topologia di rete ben definita o coerente. Infine, una miglior integrazione con i prodotti di scansione delle vulnerabilità.

Struttura di un Database Activity Monitoring

Il Database Activity Monitoring può essere classificato in base alla sua tipologia di architettura. Le tre tipologie di architetture sono:

Architettura basata sull’intercettazione

La maggior parte dei moderni sistemi di Database Activity Monitoring analizzano e raccolgono le attività del database, I sistemi DAM individuano dei punti in cui possono esaminare i flussi delle comunicazioni col fine di ottenere richieste e risposte senza dover interrogare il database.

Architettura basata sulla memoria

Alcuni sistemi DAM hanno un sensore che si collega ai database interrogandolo continuamente per raccogliere le istruzioni SQL mentre vengono eseguite.

Architettura basata sui log

Si definiscono così quelle tipologie di DAM che analizzano ed estraggono le informazioni dai log delle transazioni. Questi sistemi sfruttano il fatto che molti dei dati siano memorizzati all’interno dei registri di ripristino ed estrapolano le informazioni contenute in questi log. Sfortunatamente, non tutte le informazioni richieste si trovano nei registri di ripristino.

Questi sistemi sono un ibrido tra un vero sistema DAM (che è completamente indipendente dal DBMS) e un SIEM che si basa sui dati generati dal database.

Database activity monitoring Cover

Conclusioni

Le attività di Database Activity Monitoring offrono una protezione da tutte le minacce rivolte ai database monitorando e segnalando tutte le attività anomale del database e degli utenti con privilegi di amministrazione elevati.

La tutela delle informazioni è un aspetto che non bisogna trascurare. Utilizzare un servizio SOCaaS può aiutare a prevenire e a mitigare gli attacchi informatici, garantendo una sicurezza completa sotto ogni aspetto, salvaguardando l’integrità dei nostri dati sensibili.

Hai qualche dubbio o necessiti saperne di più a riguardo? Contattaci premendo il pulsante qui in basso, saremo pronti a rispondere ad ogni domanda.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter