10 อันดับภัยคุกคามบนระบบฐานข้อมูล

imperva_logo

Imperva Application Defense Center (ADC) ทีมงานวิจัยเกี่ยวกับภัยคุกคามบนโลกไซเบอร์ของ Imperva Inc. บริษัทชั้นนำทางด้านระบบรักษาความปลอดภัยของเว็บแอพพลิเคชัน ระบบไฟล์และฐานข้อมูล ได้เปิดเผยภัยคุกคามและการบุกรุกโจมตีระบบฐานข้อมูลยอดนิยมในปี 2013 ดังนี้

imperva_top_10_db_threats

1. การไม่จำกัดสิทธิ์ให้เหมาะสม (Excessive and Unused Privileges)
การให้สิทธิ์ในการจัดการระบบฐานข้อมูลแก่ผู้ใช้จนเกินขอบเขตของงานที่รับผิดชอบ อาจส่งผลให้ผู้ใช้เหล่านั้นนำสิทธิ์ไปใช้ในทางที่ผิดได้ ยกตัวอย่างเช่น พนักงานธนาคารที่สามารถแก้ไขข้อมูลผู้ถือบัญชี อาจใช้สิทธิ์ที่เกินมาในการเพิ่มยอดเงินในบัญชีแก่คนรู้จัก หรือบางบริษัทไม่ได้ทำการริบสิทธิ์คืนแก่พนักงานที่ลาออกไปแล้ว ก็อาจส่งผลให้พนักงานแอบเข้ามาขโมยข้อมูลได้เช่นเดียวกัน

2. การใช้สิทธิ์ในทางที่ผิด (Privilege Abuse)
ผู้ใช้นำสิทธิ์ที่ตนมีอยู่ในใช้ในทางที่ไม่เหมาะสม หรือเป็นอันตรายต่อองค์กร เช่น เว็บแอพพลิเคชันของโรงพยาบาลที่ใช้ดูฐานข้อมูลผู้ป่วย ถูกจำกัดให้ดูข้อมูลผู้ป่วยได้ทีละคน และไม่สามารถบันทึกหรือคัดลอกข้อมูลออกไปได้ แต่ผู้ไม่ประสงค์ดีอาจละเมิดข้อจำกัดนั้นด้วยการเชื่อมต่อกับฐานข้อมูลผ่านแอพพลิเคชันอื่น เช่น Ms-Excel แล้วใช้สิทธิ์ที่ตนมีอยู่ดึงข้อมูลผู้ป่วยออกมาใส่ตารางและบันทึกออกไปได้ ก่อให้เกิดข้อมูลรั่วไหลได้

3. SQL Injection
การทำ SQL Injection ทำให้ผู้ไม่ประสงค์เข้าถึงระบบฐานข้อมูลได้ถึงแม้ว่าจะไม่มีสิทธิ์ โดยการใส่คำสั่ง SQL ทั่วไปผ่านช่องทางเชื่อมต่อกับฐานข้อมูล เช่น เว็บแอพพลิเคชัน แต่แอบแฝงด้วยคำสั่งที่ก่อให้เกิดผลลัพธ์ที่ไม่พึงประสงค์ต่อระบบฐานข้อมูล เช่น บายพาสการพิสูจน์ตัวตน หรือการแก้ไขฐานข้อมูล เป็นต้น

4. มัลแวร์ (Malware)
การก่อการร้ายบนโลกไซเบอร์หรือแฮ็คเกอร์มักจะโจมตีโดยอาศัยหลายๆเทคนิครวมๆกัน เช่น ทำ Spear Phishing อีเมลล์ และปล่อยมัลแวร์เพื่อเจาะระบบและขโมยข้อมูล มัลแวร์ในระบบเครือข่ายอาจช่วยให้ผู้ไม่ประสงค์ดีเจาะระบบฐานข้อมูลได้ง่ายยิ่งขึ้น

5. การตรวจสอบการใช้งานฐานข้อมูลไม่ดีพอ (Weak Audit Trail)
การที่ไม่สามารถเรียกดูข้อมูลการใช้งานฐานข้อมูลตามที่ต้องการได้ทำให้เกิดความเสี่ยงต่อองค์กรเป็นอย่างมาก ซึ่งองค์กรส่วนใหญ่ในปัจจุบันนิยมใช้เครื่องมือในการตรวจสอบ (Audit Tool) ของระบบฐานของมูลที่มีมาให้อยู่แล้ว ซึ่งเครื่องมือดังกล่าวมีประสิทธิภาพไม่เพียงพอต่อการติดตามการใช้งาน การตรวจจับการโจมตี หรือการวิเคราะห์เชิงสถิติ ทั้งยังบริโภคทรัพยากรของระบบฐานข้อมูลและพื้นที่ฮาร์ดดิสก์อย่างมหาศาล นอกจากนี้ระบบฐานข้อมูลที่แตกต่างกัน เช่น MsSQL, Oracle หรือ DB2 ก็จะมีระบบการตรวจสอบการใช้งานฐานข้อมูลที่แตกต่างกัน ไม่สามารถใช้ร่วมกันได้ ส่งผลให้เป็นการยากที่จะจัดเก็บและวิเคราะห์ข้อมูลการใช้งานระบบฐานข้อมูลแบบรวมศูนย์

นอกจากนี้ ผู้ใช้งานที่มีสิทธิ์ระดับ admin ไม่ว่าจะเป็นผู้ดูแลระบบ หรือได้รับสิทธิ์มาจากการแฮ็ค สามารถปิดการตรวจสอบการใช้งานระบบฐานข้อมูลได้ทันที ทำให้สามารถเข้าถึงฐานข้อมูลโดยที่ไม่มีใครตรวจสอบได้ ดังนั้น หน้าที่ในการตรวจสอบจึงควรแยกออกมาจากผู้ดูแลระบบและเซิฟเวอร์ฐานข้อมูล เพื่อให้มั่นใจได้ว่าสามารถตรวจสอบและติดตามการเข้าถึงฐานข้อมูลของทุกคนได้จริง

6. การโจรกรรมที่จัดเก็บข้อมูล (Storage Media Exposure)
ที่จัดเก็บข้อมูลสำรอง (Backup Storage) นิยมเป็นเป้าหมายของการโจมตีซึ่งมีระบบการป้องกันต่ำ ทำให้สาเหตุที่ข้อมูลรั่วไหลส่วนใหญ่มาจากการขโมยข้อมูลบนระบบสำรองทั้งสิ้น

7. การโจมตีผ่านทางช่องโหว่ของระบบฐานข้อมูลที่ตั้งค่าไม่ดี (Exploitation of Vulnerable, Misconfigured Databases)
มันเป็นเรื่องง่ายที่จะค้นหาฐานข้อมูลที่มีช่องโหว่ หรือไม่ได้อัพเดทแพทช์ล่าสุด รวมทั้งฐานข้อมูลที่ใช้การตั้งค่าพารามิเตอร์ตามค่าดั้งเดิม (Default accounts and configuration parameters) แฮ็คเกอร์จึงให้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีระบบฐานข้อมูลขององค์กร จากสถิติของ IOUG (Independent Oracle User Group) ระบุว่า 28% ของผู้ใช้งาน Oracle ไม่เคยอัพเดทแพทช์ หรือไม่ทราบว่ามีแพทช์ใหม่ต้องอัพเดท และ 10% ใช้เวลานานกว่า 1 ปีในการอัพเดทแพทช์ใหม่ แฮ็คเกอร์มักใช้ช่วงเวลาดังกล่าวที่ไม่ได้อัพเดทแพทช์ในการโจมตีระบบฐานข้อมูล

8. การไม่จัดการข้อมูลสำคัญให้ดี (Unmanaged Sensitive Data)
หลายองค์กรมักมีปัญหาในการจับเก็บข้อมูลสำคัญ เช่น ลืมไปว่ามีข้อมูลสำคัญบางอย่างถูกจัดเก็บไว้ในฐานข้อมูลนี้ หรือมีการสร้างฐานข้อมูลขึ้นมาใหม่ เช่น ในระบบทดสอบแอพพิลเคชันใหม่ เหล่านี้ถ้าไม่มีการแจ้งให้ทีมรักษาความปลอดภัยทราบ อาจส่งผลให้ข้อมูลสำคัญในฐานข้อมูลมีความเสียงถูกขโมยไปได้ เนื่องจากไม่มีการควบคุมและกำหนดสิทธิ์ในการเข้าถึง

9. Denial of Service (DoS)
DoS เป็นรูปแบบการโจมตีที่พบได้โดยทั่วไป ที่ก่อกวนระบบเครือข่ายและฐานข้อมูลให้ผู้ใช้งานไม่สามารถใช้บริการได้ เทคนิคของ DoS มีหลากหลายรูปแบบ แต่ที่ใช้กับระบบฐานข้อมูลมักจะเป็นการทำให้เซิฟเอวร์บริโภคทรัพยากรมากจนเกินไป เช่น การส่งคำร้องขอแก่ฐานข้อมูลเป็นจำนวนมหาศาล ทำให้ RAM และ CPU ของเซิฟเวอร์รับภาระไม่ไหว ส่วนใหญ่แฮ็คเกอร์มักมีเป้าหมายในการข่มขู่บังคับให้ทำตามข้อเรียกร้องของตน ไม่เช่นนั้นจะทำให้ระบบฐานข้อมูล่ม เป็นต้น

10. ขาดความรู้และความเชี่ยวชาญทางด้านความปลอดภัย
หลายองค์กรที่เกิดปัญหาถูกโจมตี หรือข้อมูลรั่วไหล สาเหตุที่พบได้บ่อยมักมาจากการขาดประสบการณ์ในการติดตั้งและกำหนดนโยบายระบบรักษาความปลอดภัยให้เหมาะสมต่อสภาพการใช้งาน จากข้อมูลแบบสำรวจการรั่วไหลของข้อมูลของ PWC พบว่า 75% ของปัญหามีพนักงานมาเกี่ยวข้องและนโยบายรักษาความปลอดภัยไม่เข้มงวด และ 54% ของธุรกิจขนาดเล็กไม่มีโปรแกรมให้ความรู้ทางด้านระบบรักษาความปลอดภัยแก่พนักงาน

รายละเอียดเพิ่มเติม: http://www.imperva.com/docs/WP_TopTen_Database_Threats.pdf

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CoreWeave พร้อมขยายธุรกิจด้วยวงเงินสินเชื่อ 650 ล้านดอลลาร์

CoreWeave ผู้ให้บริการคลาวด์สำหรับการประมวลผล AI ได้รับวงเงินสินเชื่อ 650 ล้านดอลลาร์สหรัฐฯ จากบริษัทการลงทุนชั้นนำเพื่อขยายธุรกิจทั่วโลกและเพิ่มขีดความสามารถในโครงสร้างพื้นฐานสำหรับ AI

รู้จักกับโซลูชัน AlgoSec ผู้เชี่ยวชาญด้าน Network Security Policy Management โดย GrowPro และ Perion Solution

หากคุณกำลังเผชิญกับความยุ่งยากจาก Firewall Policy นับพันรายการ หรือนโยบายการใช้โซลูชันป้องกันหลายแบรนด์ ซึ่งทำให้เวลาส่วนใหญ่จมกับกับการบริหารจัดการ แถมเกิดความผิดพลาดได้บ่อยครั้ง โซลูชัน Network Security Policy Management อาจเป็นคำตอบสำหรับคุณ

Leave a Reply