Анализ защищённости корпоративных сетей все чаще показывает, что в целом уровень обеспечения информационной безопасности заметно возрос, однако существует ряд проблем, которым до сих пор не уделяется должного внимания. Одна из них - это защищённость корпоративных систем управления базами данных (СУБД). Как известно, критичная для компании информация часто хранится в базах данных, и именно они, как правило, являются конечной целью злоумышленника.
Для крупных корпоративных решений Oracle - наиболее распространенная СУБД. Поэтому мы уделяем особое внимание анализу ее безопасности и предлагаем отдельную услугу по комплексному аудиту защищенности СУБД Oracle.
СУБД Oracle представляет собой сложнейшее программное решение, имеющее большое количество архитектурных, программных и административных проблем безопасности, о которых написана не одна статья и книга, но, тем не менее, до сих пор многие администраторы даже не подозревают об их существовании.
Специалисты Digital Security давно сотрудничают в области поиска и анализа уязвимостей c корпорацией Oracle, а также с известными международными экспертами, что позволяет гарантировать необходимое качество при оценке защищенности вашей СУБД и предлагать эффективные рекомендации как по повышению защищённости, так и по соответствию актуальным стандартам, таким как PCI DSS и СТО БР ИББС.
Методика аудита и содержание работ
Аудит проводится как с использованием инструментальных средств (сканеры, скрипты), так и вручную, с учетом особенностей конкретной инсталляции СУБД Oracle. В ходе работы специалисты проводят полную комплексную оценку защищённости и готовят конкретные рекомендации по тестируемой системе.
Основные проводимые работы:
- проверка безопасности службы Листенера (сетевые настройки, пароли, журналирование событий и т.д.);
- стойкость паролей и парольная политика (пароли по умолчанию, подбор паролей, профили безопасности, поиск паролей в СУБД/ОС, перехват по сети);
- повышение привилегий (уязвимости, подробный анализ пользовательских ролей и привилегий, доступ к критичным данным и процедурам);
- возможность компрометации ОС через процедуры СУБД;
- анализ корректности настроек СУБД в ОС и прав доступа к конфигурационным, трассировочным и исполняемым файлам;
- анализ безопасности настроек аудита;
- обнаружение возможных «руткитов» и «бэкдоров» в СУБД;
- анализ безопасности дополнительных настроек и модулей (TDE,VPD, Database Vault, Audit Vault, Secure Backup …);
- безопасность сервера приложений и других дополнительных продуктов и компонентов (Oracle Application Server, Oracle SOA, Oracle BI, Oracle SES и многие другие);
- и многое другое.
Результаты аудита
По итогам работ вы получаете детальный отчёт, содержащий:
- описание выявленных уязвимостей;
- результаты реализации уязвимостей и оценку рисков;
- обнаруженные недостатки конфигурации СУБД и прав доступа;
- недостатки конфигурации и уязвимости дополнительных приложений;
- подробные рекомендации по повышению защищённости с учётом особенностей тестируемой системы, а также комментарии по внедрению рекомендаций;
Статьи по теме:
Традиционная благодарность специалистам DSecRG в октябрьском пакете обновлений Oracle за 2009 год
Digital Security: обзор последних уязвимостей СУБД Oracle
Команда Metasploit представила на BlackHat 2009 инструмент для анализа защищённости Oracle
Digital Security: «Безопасность Oracle глазами аудитора: нападение и защита»
Digital Security: Новые уязвимости Oracle
Очередная благодарность специалистам DSecRG в январском пакете обновлений Oracle
Выложены три новых эксплоита к уязвимостям в СУБД Oracle
Специалисты Digital Security находят уязвимости для Oracle
Безопасность СУБД Oracle
Различные способы получения SID базы данных в СУБД Oracle
Проникновение в ОС через приложения. Получение доступа к ОС, используя непривилегированную учётную запись в СУБД Oracle
Проблемы безопасности СУБД Oracle. Последние тенденции
Основные проблемы безопасности корпоративных СУБД
Форма заказа:
наверх
