Az adatbázisokat ma már nemcsak hírnevet kereső, hanem anyagi előnyökre vágyó belső és külső támadók is veszélyeztetik. A vevők személyes adatait eltulajdonító, pénzt lopó vagy a célba vett céget megzsaroló belső és külső támadók a vállalkozás jó hírét, anyagi helyzetét és a vevők bizalmát veszélyeztetik.

Emiatt az adatbázisok védelme egyre több cégnél jelent komoly gondot. A védelmi megoldások gyártói erre a hagyományos adatbázis-megoldásokat kiegészítő olyan módszerek létrehozásával válaszoltak, amelyek ott folytatják, ahol a többiek abbahagyták. Az egyik ilyen módszer az adatbázisok behatolás elleni védelme.

Az adatbázisok hagyományos védelme
Az egyik jelenleg használt adatbázis-védelmi módszer a hozzáférés korlátozása. Az adatbázis-táblázatokat meghatározott hozzáférési jogokkal úgy alakítják ki, hogy csak az adott funkciót betöltő, jogos felhasználók kérdezhessék le azokat. Az ilyen hozzáférési jogok biztosítják az adatbázisok elengedhetetlen védelmét.

Az adatbázisok azonban általában jóval szélesebb körĹą hozzáférést biztosítanak, mint amire a hozzájuk csatlakozó alkalmazásnak szüksége van. Ez az ellentmondás onnan ered, hogy az adatbázisokat és az alkalmazásokat eltérő elvek szerint tervezik meg. Az adatbázisoknál lazább a hozzáférés szabályozása, hogy az egy alkalmazással dolgozó számos jogos felhasználó bármelyike gyors választ kaphasson. Az alkalmazás az összes felhasználó nevében egy felhasználói hozzáférést használva kapcsolódik az adatbázishoz. A felhasználók hozzáférését az alkalmazás korlátozza. Ha az adatbázis hozzáférését a szükségesnél lazábban szabályozzuk, azzal gyengítjük a védelmet.

A hálózat szintjén dolgozó, hagyományos védelmi megoldások, például a hálózati behatolást észlelő rendszerek (NIDS) és a tĹązfalak csak a hálózati protokoll szintjén képesek észlelni a támadást. A tartalom ellenőrzése is csak a legáltalánosabb protokollokra, az FTP-re és a HTTP-re korlátozódik. Még ha ellenőrzik is az adatbázis nyelvét, ez az ellenőrzés a lekérdezésre, annak szerkezetére, szintaktikájára stb. korlátozódik. Mi több, szintaktikailag semmi kivetnivaló nincs egy olyan lekérdezésben, amelynek egy része rosszindulatú, és a szükséges információnál többhöz fér hozzá. Ha pedig titkosított az adatkapcsolat, a tartalom ellenőrzése nehézkessé válik.

Világos, hogy az adatbázisok védelmének javításához foglalkozni kell az ilyen kiskapukkal. Itt lép be az új módszer, az adatbázisok behatolás elleni védelme.

Az adatbázisok behatolás elleni védelme
Az adatbázis behatolás elleni védelme kiegészíti a hagyományos óvintézkedéseket, például a hozzáférés szabályozását vagy a portok lezárását. Az adatbázis behatolás elleni védelménél az adatbázisra küldött minden egyes SQL-parancsot vagy -lekérdezést megvizsgáljuk, hogy rosszindulatú-e. Ez időazonosan vagy legalábbis megközelítőleg időazonosan mĹąködik, és leleplezi mind a belülről, mind a kívülről jövő rosszindulatú próbálkozásokat.

A rosszindulatú és a hasznos SQL-lekérdezések felismeréséhez az adatbázis behatolás elleni védelmét valós környezetben kell betanítani. Az egyes levélszemét-elhárító rendszerekben alkalmazott módszerekhez hasonlóan a felderítési üzemmód bekapcsolása előtt az adatbázist behatolás ellen védő rendszernél is rá kell szánni az időt a cégnél üzemelő különböző megoldásoktól származó szokványos, szabályszerĹą SQL-lekérdezések megismertetésére.

Ezeknek a lekérdezéseknek a tanulmányozását követően olyan minták jönnek létre, amelyek megadják az észlelt SQL-lekérdezések határait. E minták alapján állíthatja össze az adatbázis-felelős az érvényesnek tekintett SQL-lekérdezéseket. A minták dzsókerkarakterek vagy reguláris kifejezések használatával történő általánosításával – a korlátok szem előtt tartása mellett – lefedhetők a változatok. Mivel az adott alkalmazás által az adatbázishoz küldött különféle SQL-parancsok száma és fajtája hosszú időn át jórészt változatlan, ez az észlelési módszer igen hatékony.

Az így kapott minták összessége lehetővé teszi, hogy az adatbázist behatolás ellen védő rendszer meg tudja különböztetni az érvényes lekérdezést a rosszindulatútól, például egy mindennapos, a bejegyzések bizonyos részére irányulót a megszokottól eltérően az összes bejegyzésre irányulótól.

A tanulóképességet a védelmi rendszergazdák saját szabályainak használatát lehetővé tevő, konfigurálható mechanizmus egészíti ki. A rendszergazda egy gazdag szabálynyelv használatával nem csupán az SQL-parancsok szerint, hanem a felhasználó, a gép és a lekérdezést küldő alkalmazás, valamint a lekérdezés időpontja és a meghatározott idő alatt kiadott bizonyos fajta lekérdezések száma alapján is szĹąrhet. Így olyan szabályokat hozhat létre, amelyek például akkor is riasztanak, ha egy rendszergazdai jogokkal rendelkező felhasználó egy bizonyos IP-tartományból a hivatali órákon kívül próbál meg hozzáférni a bankkártyák adataihoz.

Ez a rendellenességek észlelésére épülő módszer teszi lehetővé, hogy az adatbázist behatolás ellen védő rendszer átlásson a szabályszerĹąnek tĹąnő rosszindulatú lekérdezéseken, és riaszthassa a rendszergazdát, aki vagy leállítja a további adatátvitelt, vagy részletesen megvizsgálja az eseményt.

A teljesítmény az elsődleges
Az adatbázisoknál természetesen lényeges a teljesítmény, így a hatékony, de a teljesítményt lerontó védelmi megoldásokat mellőzni szokták. Az adatbázis behatolás elleni védelménél nem jelent gondot a teljesítmény, hiszen a minták egybeesését használó észlelési módszer a védelmi rendszer gyors és hatékony mĹąködését biztosítja.

Az adatbázis behatolás elleni védelme az adatbázisokban tárolt kényes információknak a rosszul alkalmazott, illetve rosszindulatú kérések elleni védelmével hasznosan egészíti ki a cég információvédelmét. Az adatbázis behatolás elleni védelmének telepítésével a vállalkozás az információvagyont és ezen keresztül a jó hírnevét, valamint a vevők bizalmát fenntartó, hatékonyan védő eszközhöz jut.