Ogrom organizacji na całym świecie używa usług w chmurze. Ich błędne konfiguracje mogą się zdarzyć najlepszym, czego skutkiem jest dostęp do danych przez osoby postronne. Im bardziej zaawansowane środowisko IT, tym skala problemu zabezpieczenia bazy danych jest większa.
Tworzenie kopii zapasowych baz danych jest niezbędne. Backup operatora to za mało. Kopia zapasowa powinna być przechowywana w 2-3 miejscach, niepołączonych ze sobą sieciowo. Co najmniej 1 kopia zapasowa powinna offline, na wypadek braku dostępu do Internetu. Istnieje wiele różnego rodzaju praktyk dla backupów. Weźmy rekomendacje CISA za przykład – zalecane jest robienie kopii w 3 miejscach. Z kolei ENISA wspomina, aby kopia zapasowa była przechowywana poza środowiskiem IT organizacji. Oczywiście absolutne must-have jest szyfrowanie tych kopii oraz testowanie przywracania danych, aby zrobić to gwałtownie i sprawnie po incydencie.
Wspominam o kopii zapasowej, aby zrobić dobry podkład pod zabezpieczenie backupów. Otóż Microsoft zapowiedział wersję Microsoft Defender dla relacyjnych baz danych online:
- Aurora PostgreSQL
- Aurora MySQL
- PostgreSQL
- MySQL
- MariaDB
Kluczowym ryzykiem dla baz danych online jest niepoprawna konfiguracja dostępu do danych, złe zabezpieczenia – dostęp do bazy dla nieprzewidzianych aktorów, otwarte niektóre porty, niewystarczające zabezpieczenia zdalnego logowania do bazy, możliwość ataków brute-force. To są fakty, prawdziwe incydenty ataków, które miały miejsce. Dlatego Microsoft chce pomóc w wykrywaniu problemów z bazami danych.
Udoskonala usługę Microsoft Defender pod kątem wykrywania dostępu do bazy z podejrzanej lokalizacji lub innych domen AD niż te, które należą do organizacji. Logi będą analizowane z ostatnich 60 dni – administrator będzie miał wgląd w to, kto i w jaki sposób loguje się do baz. Dodatkowo panel administratora będzie zawierał informacje, z którego zainfekowanego komputera w organizacji próbowano się logować do bazy. Microsoft Defender dla baz będzie też wykrywał ataki siłowe – ataki słownikowe podczas próby zalogowania.
Wsparcie dla zabezpieczenia baz danych przewidziane jest dla relacyjnych baz danych w chmurze AWS za pośrednictwem integracji rozszerzenia z usługą zarządzania Microsoft for Cloud. Ochrona w pełni integruje się z Microsoft XDR (eXtended Detection and Resposne) zapewniając naprawdę już szeroki wachlarz informacji zwrotnych z telemetrii.