Analisi nella Sicurezza del Database

In uno degli articoli precedenti abbiamo discusso l’importanza delle tracce di audit. Può trovarlo qui: https://www.datasunrise.com/professional-info/aim-of-a-db-audit-trail/

In questo articolo discuteremo come queste tracce possono essere utilizzate per migliorare la sicurezza del database. Quando utilizzate efficacemente, le tracce di audit possono aiutare a identificare punti deboli, colmare queste lacune e proteggere l’azienda dai problemi associati alla sicurezza del database.

Alcuni Consigli Utili

Le tracce di audit sono più efficaci quando sono automatizzate. Il punto è che l’audit può anche aiutare a rivelare attività sospette interne o uso improprio. Il luogo dove vengono archiviati i registri e chi ha accesso a questi registri è anche critico per mantenere l’integrità della traccia di audit.

Conoscere quali informazioni includere nei registri è anche importante. Raccomandiamo che i registri includano informazioni di base, come utenti del database coinvolti, data e ora, e i risultati della query. Nota che i registri di DataSunrise includono tali informazioni.

Potrebbero esserci altre informazioni specifiche da aggiungere a seconda delle esigenze di sicurezza, degli standard di sicurezza con cui si desidera essere in linea e dei requisiti di reporting.

Ecco alcuni consigli importanti:

• Assicurarsi che le informazioni della traccia di audit siano archiviate in un luogo sicuro e siano regolarmente salvate;
• Includere solo informazioni utili e necessarie nella traccia di audit per evitare il sovraccarico di archiviazione;
• Rivedere periodicamente i registri di audit per mitigare il rischio;
• Coordinarsi con le parti correlate per garantire la sicurezza e la disponibilità delle tracce di audit del loro sistema.

Strumenti per Analizzare le Tracce di Audit

Secondo il Manuale NIST, gli strumenti per analizzare le tracce di audit devono soddisfare i seguenti requisiti:

• La capacità per i revisori di riconoscere sia l’attività normale che quella insolita;
• La capacità di interrogare e filtrare i registri di audit per informazioni specifiche;
• La capacità di elevare le revisioni delle tracce di audit se viene rilevato un problema;
• Lo sviluppo di linee guida di revisione al fine di identificare attività non autorizzate;
• L’uso di strumenti automatizzati per mantenere le informazioni delle tracce di audit al minimo e allo stesso tempo estrarre informazioni utili dai dati raccolti.

DataSunrise include alcune delle funzionalità sopra menzionate. Tuttavia, DataSunrise non è un sistema analitico SIEM – raccoglie solo eventi di audit e li passa ai programmi dedicati tramite Syslog. Non raccomandiamo determinati strumenti – spetta a Lei scegliere il software da utilizzare.

A sua volta, la funzionalità di Data Audit di DataSunrise consente di monitorare l’attività del database e raccogliere le seguenti informazioni:

• Nome utente del database;
• Utente dell’applicazione cliente;
• Applicazione cliente utilizzata per interrogare il database;
• Host cliente;
• Durata della sessione;
• Numero di righe interessate;
• Testo della query;
• Database, schemi, tabelle e colonne interessati dalla query intercettata.

Alcune Migliori Pratiche

Per quanto tempo conservare la traccia?

Non ci sono linee guida su un periodo di tempo specifico per mantenere i registri di audit. L’unica risposta è – il più a lungo possibile. Il tempo specifico dipende principalmente dalla capacità di archiviazione. Ma nota che dovrebbe essere in grado di recuperare una traccia di audit associata a un determinato evento. Ecco perché dovrebbe conservare il registro di audit per tutta la vita del registro del database.

Quanto spesso rivedere le tracce?

Le revisioni delle tracce di audit variano in base all’azienda e possono avvenire trimestralmente o annualmente durante un audit di sicurezza. Si raccomanda di sviluppare le proprie linee guida di revisione per mantenere la regolarità delle revisioni.