CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN CƠ SỞ DỮ LIỆU
2.2. Các giải pháp phòng chống tấn công CSDL
2.2.3. Giám sát và ngăn chặn
- Cảnh báo và ngăn chặn theo thời gian thực: Giám sát tất cả các hoạt động truy cập CSDL và cách thức thực hiện theo thời gian thực để phát hiện rò rỉ dữ liệu, như: truy vấn SQL bất hợp pháp, các giao dịch Big Data hay các cuộc tấn công vào giao thức và hệ thống. Khi xuất hiện dấu hiệu cố ý truy cập trái phép dữ liệu, cần đưa ra cảnh báo hoặc chấm dứt phiên làm việc đó. Sử dụng một giải pháp cụ thể để đảm bảo chính sách an toàn (đã được định nghĩa trước hoặc tùy chỉnh) như kiểm tra lưu lượng truy cập CSDL để xác định phương thức tấn công dựa trên các dạng tấn công phổ biến, chẳng hạn như tấn công DoS hay các hoạt động trái phép khác. Chính sách bảo mật này không chỉ giúp phát hiện việc lạm dụng đặc quyền quá mức của người dùng mà cũng góp phần ngăn ngừa các mối đe dọa tấn công CSDL khác.
- Phát hiện truy cập bất thường: Xây dựng thông tin đầy đủ về các hoạt động bình thường của từng người dùng CSDL. Giám sát các điều bất thường xảy ra sẽ giúp phát hiện các mối đe dọa tấn công CSDL, như: tấn công DoS, mã độc, tấn công Input Injection, hay các hoạt động bất thường khác. Nếu bất kỳ người dùng nào có hoạt động bất thường so với thông tin đã xây dựng về người dùng đó, cần đưa ra cảnh bảo và ngăn chặn người dùng đó ngay. Xây dựng thông tin về các hoạt động bình thường của người dùng CSDL giúp phát hiện các truy cập trái phép tới dữ liệu nhạy cảm trong CSDL.
- Ngăn chặn yêu cầu độc hại từ ứng dụng Web: Vì ứng dụng Web thường là nơi bắt đầu để thực hiện tấn công Input Injection, nên một phương
Application Firewall - WAF). Một WAF giúp nhận diện và ngăn chặn kiểu tấn công Input Injection vào ứng dụng Web. Để bảo vệ chống lại các cuộc tấn công Input Injection, một WAF cần:
+ Kiểm tra các giá trị tham số HTTP đối với các ký tự đặc biệt như dấu nháy, dấy ngoặc và dự báo được sự xuất hiện các ký tự đặc biệt này có phải nhằm mục đích tấn công hay không.
+ Sử dụng các chính sách được xây dựng nhằm chống lại tấn công Input Injection để cảnh báo và ngăn chặn.
- Giám sát hoạt động CSDL: Các giải pháp DAP có thể kiểm toán và giám sát các hoạt động của người dùng có quyền cao nhất (quản trị viên hệ thống và CSDL). Những người dùng này có quyền sử dụng cao nhất khi truy cập vào CSDL, do đó cần chú ý lớp người dùng này. Họ có thể lạm dụng đặc quyền hay bị mã độc tấn công dẫn đến nguy cơ mất dữ liệu và gây nguy hiểm cho hệ thống.
- Áp dụng các điều khiển kết nối: Ngăn chặn tình trạng quá tải tài nguyên máy chủ bằng cách hạn chế mức kết nối, truy vấn, và các thông số khác cho mỗi người dùng CSDL.
- Xác thực giao thức truyền nhận: Khi theo dõi hoạt động của CSDL có thể giúp phân tích các giao thức truyền nhận và các bất thường xảy ra. Khi có việc truyền nhận bất thường xuất hiện, cần kích hoạt cảnh bảo và ngăn chặn giao dịch thực hiện.
- Phản ứng kịp thời: Mối đe dọa tấn công DoS vào CSDL với mục tiêu làm quá tải tài nguyên máy chủ, khiến CSDL hoạt động chậm hoặc "treo". Sử dụng các giải pháp theo dõi sự phản ứng kịp thời của hệ thống sẽ giúp tạo ra các cảnh báo khi hệ thống phản ứng chậm trễ.