对了解数据库安全最佳实践的需求不断增长,并且清楚了解数据库安全威胁和漏洞是所有网络安全专业人员都需要学习的宝贵技能。
“过去,作为数据库管理员 (DBA) 的您应该尽可能轻松地完成这项工作,而现在情况不再如此,”
“有些事情您需要做,有些事情您需要分开,以确保您将用户帐户和密码保存在安全的位置,并且不与其他团队和其他系统共享这些内容。变了很多。”
最近备受瞩目的数据泄露事件有多种形式:
- 日本电子商务平台 Mercari 最近披露了一起数据泄露事件,该事件暴露了数万条客户财务记录。
- 俄罗斯黑客在SolarWind 的 Orion 网络管理软件中添加了恶意代码,以访问高级政府官员的电子邮件帐户,包括国土安全部代理负责人和该部门网络安全人员的电子邮件帐户。
- 一次网络钓鱼攻击暴露了加利福尼亚州数千名州工作人员的社会安全号码和其他个人信息。
- 据称,总部位于芝加哥的 CNA Financial 已支付 4000 万美元以从 3 月份的勒索软件攻击中恢复对其系统的访问权限,而 Colonial Pipeline 则支付了 500 万美元以重新获得其 IT 网络。
数据库安全性如何演变
“当我刚开始担任 DBA 时,主要是希望人们拥有最少的特权,”在数据库管理和安全领域工作了近 20 年的数据库安全工程师 Monette 说。
“您将在所有数据库中全面使用相同的服务帐户或相同的用户帐户。这不是现在的最佳做法。您不希望使用同一个服务帐户,因为如果它遭到入侵,那么攻击者就可以在您的所有系统上运行。”
Monette 认为数据库安全是 IT 和安全专业人员以及数据库管理员的一项重要且不断增长的需求。在指导了许多初级数据库管理员和其他专业人士之后,她创建了一个九门课程的学习路径来教授这些所需的技能。
数据库安全培训课程
Monette 的数据库安全学习路径中涵盖的主题包括:
- 数据库安全评估
- 谁负责数据安全?
- 哪些数据需要更高的安全性?
- 什么时候数据库安全很重要?
- 为什么需要数据库安全?
- 如何保护使用中的数据库
- 如何保护动态数据库
- 如何保护静态数据库
- 审计和监控数据库安全
- 数据库安全政策和程序
“我知道我更擅长动手学习和视觉学习,所以我试图展示诸如标记化或加密之类的东西是如何工作的——这些东西在听到时会更复杂一些,”她解释道。“我尝试提供可视化和实践培训,以便您可以真正了解事情是如何运作的。我真的很喜欢人们把手放在键盘上并在他们使用键盘时理解它。”
学习路径涵盖 SQL(关系型数据库)和 MongoDB(非关系型数据库)。
“我完成了安装过程并设置了一些数据混淆——所以数据屏蔽和加密并解释了你为什么想要这样做,”Monette 说。她还演示了创建视图、使用模式和提供选项以减少谁有权访问哪些数据。
这些课程还涵盖了解数据库后端和保护敏感数据的安全协议的方法和原因
数据库安全专业人员所需的技能
Monette 解释说,无论您是在医疗保健、零售、电视还是小型夫妻店工作,您都将持有某种类型的消费者数据。
“如果只是他们的姓名和地址,那仍然是受保护的信息,”Monette 说。“即使您不害怕有人窃取敏感数据,您也不想让自己对某人敞开心扉,因为这可能会毁掉一家企业,尤其是小型企业,因为这会毁掉您拥有的一切并需要从头开始。 ”
这就是为什么要知道的最重要的事情之一是如何对数据进行分类以及为什么要对这些数据进行分类,Monette 说。“这些课程肯定涵盖了这一点,并且还涵盖了保护数据的方法:使用中的数据、传输中的数据和静态数据。”
“制定好的政策通常是人们最不关心的事情,但它应该与数据分类一起放在那里,”她指出。“在对数据进行分类时,您还需要制定政策。”
数据和威胁的扩散
数据库的激增以及云计算和存储使用的增加使数据库安全成为重中之重。
“存储数据的方式还有很多。您有本地部署,也有在云中——如果数据库在云中,您作为数据库管理员的责任是什么?你在那里扮演什么角色?” 莫内特问道。
“我们讨论了谁负责数据安全——基本上每个人都是——但其中也有部分和部分,团队比其他人承担更多的责任。老实说,我认为每个人都应该知道这些技能。”