Databases: 7 tips om de security op scherp te zetten

Databases zijn het kloppende hart van iedere organisatie. Hier komen de belangrijke klant- en bedrijfsdata samen die nodig zijn om ‘business te doen’. Daar kun je maar beter zorgvuldig mee omgaan. Ik beschrijf in deze blog zeven best practices die helpen bij het aanscherpen van de databasesecurity.

Have I been pwned? Nieuwsgierig heb ik toch maar een keer mijn e-mailadres op de gelijknamige website ingetikt. En helaas, ook mijn inloggegevens lagen ooit op straat. Weliswaar alweer een tijdje geleden, in 2012 en 2013 toen respectievelijk Adobe en Dropbox slachtoffer waren van hacks. Gelukkig verander ik mijn wachtwoorden zeer frequent, anders zweefden mijn waardevolle records nu ergens op het dark web, waar ze voor veel geld worden verhandeld.

Natuurlijk sta ik niet alleen. Op haveibeenpwned.com staat de teller inmiddels op bijna 4 miljard ‘pwned accounts’. Die zijn gestolen tijdens databasehacks bij grote bedrijven zoals Dropbox, Yahoo en LinkedIn, waar hackers in één keer heel veel records kunnen buitmaken. Maar ook de databases van kleinere organisaties liggen regelmatig onder vuur.

Kroonjuwelen

Eigenlijk ieder bedrijf slaat wel waardevolle gegevens op in een database, van naw- en inloggegevens tot financiële data en medische informatie. Als die gegevens door een hack op straat komen te liggen, dan zijn de gevolgen vaak niet te overzien. De concurrentiepositie loopt gevaar doordat concurrenten er met de ‘kroonjuwelen’ vandoor gaan en klanten keren je boos de rug toe als bij de hack persoonsgegevens zijn gelekt.

In dit laatste geval verwacht ook de Autoriteit Persoonsgegevens tekst en uitleg over hoe het datalek tot stand is gekomen. Kun je die tekst en uitleg niet geven, dan kan de toezichthouder een fikse boete opleggen. Vanaf 25 mei 2018 kan die boete oplopen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Ondergeschoven kindje

Hoe komt het dan toch dat databasesecurity nog altijd een ondergeschoven kindje is waar bedrijven nauwelijks aandacht aan besteden? IDC berekende dat nog minder dan vijf procent van de totale uitgaven aan security wordt besteed aan datasecurity. Zelfs de meest basale beveiligingsmaatregelen worden niet getroffen.

Zo blijkt uit de Breach Level Index dat van alle records die hackers sinds 2013 hebben buitgemaakt slechts vier procent was versleuteld. Ook wordt de standaardconfiguratie vaak niet aangepast, waardoor poorten bijvoorbeeld onnodig open blijven staan. En patches worden niet uitgerold uit angst de database onderuit te halen. Waar die laksheid toe kan leiden, werd bijvoorbeeld begin dit jaar duidelijk toen cybercriminelen duizenden onbeveiligde MongoDB-databases gijzelden.

Best practices

Een groot deel van de incidenten op het gebied van datasecurity is echter te voorkomen door het volgen van een aantal best practices. Een strict patch managementbeleid blijft uiteraard de allerbelangrijkste. Daarnaast onderscheiden we zeven groepen van maatregelen:

1. Breng de huidige situatie in kaart

Dit is noodzakelijk om te achterhalen welke kwetsbaarheden er zijn, waar gevoelige data zich bevinden, wie daar toegang toe hebben en hoe. Zonder dit inzicht kun je data niet adequaat beschermen. Het uitvoeren van een assessment is ook een eerste stap op weg naar compliance met de Algemene Verordening Gegevensbescherming. Gebruik een database assessment tool voor het in kaart brengen van kwetsbaarheden, patchlevels en configuratiefouten. Deze tools zijn gratis te gebruiken.

2. Stel security policies op en implementeer technische beveiligingsmaatregelen

De bevindingen uit het vorig punt vormen de input voor het opstellen of aanpassen van een security policy. Vervolgens kunnen deze policies worden gebruikt voor de implementatie van een databasefirewall die beschermt tegen mogelijke dreigingen op de geconstateerde kwetsbaarheden. Dit wordt ook wel virtual patching genoemd. Ook kan een databasefirewall zorgen voor een ‘baseline’ van het normale verkeer om vervolgens afwijkingen te detecteren en hierover te alarmeren en rapporteren.

3. Monitor en blokkeer

Monitoring is cruciaal om databases te beschermen tegen aanvallen, ongeautoriseerde toegang en diefstal van data. Het kan bijvoorbeeld wenselijk zijn om een agent op alle databases te installeren die afwijkingen rapporteert. Bij de constatering van afwijkingen kan verdacht verkeer worden geblokkeerd.

4. Beperk de rechten van gebruikers met hoge rechten (high privileged accounts)

Een databasebeheerder beschikt als ‘super user’ vaak over nagenoeg onbeperkte rechten. Daar schuilt een groot risico in. Van dit nagenoeg onbeperkt privilege kan eenvoudig misbruik worden gemaakt, ook door hackers die de DBA compromitteren. Controleer tevens de aanwezigheid van andere accounts met hoge rechten. Kijk daarna kritisch of al die rechten echt wel nodig zijn.

5. Hereik de DBA securitypolicies

Hierin bepaal je wat een databasebeheerder allemaal wel en niet mag. In de ideale situatie laat je de activiteiten van een DBA ook nog een keer controleren door een tweede persoon, zodat je altijd het ‘4-ogenprincipe’ toepast. Zo voorkom je dat de slager zijn eigen vlees keurt. Een andere optie is om de database audit log naar een logging server te sturen, die niet door de DBA wordt beheerd.

6. Versleutel de data

Door database encryptie toe te passen wordt een extra beveiligingslaag gecreëerd. In de praktijk zien we dat dit veel te weinig wordt toegepast. Zonder encryptie blijven er voor hackers mogelijkheden om de database te ‘omzeilen’ door de bestanden te openen die de database gebruikt om data op te slaan.

7. Audit databases regelmatig

Beveiliging van databases stopt natuurlijk niet bij een eenmalig assessment en het treffen van beveiligingsmaatregelen, maar is een continu proces. Onderwerp de beveiliging van een database dan ook regelmatig aan een audit om te kijken of je nog compliant bent met geldende wet- en regelgeving.

Door: Simon van den Bos, Product Manager Motiv ICT Security