Ongepatchte databases vormen fors probleem

Dat stelde Sean Duca, enterprise solutions architect bij McAfee Australia, vorige week tijdens een presentatie. Volgens hem moeten beheerders in staat zijn om vast te stellen waar de data worden opgeslagen en om de informatie te beschermen.

"De data moeten toegankelijk zijn voor mensen binnen de organisatie, dus het is geen kwestie van de toegang tot de database simpelweg afsluiten. IT-managers en security-medewerkers moeten kunnen zien wie er toegang heeft tot de data en wat ze met de databases doen."

SQL injectie-aanvallen

Volgens Duca hebben hacktivisten van Anonymous een aantal organisaties aangevallen met behulp van SQL injectie-aanvallen. Die zijn "niet nieuws": het is een standaard hacking-methode waarbij opdrachten in een webformulier worden ingevoerd om te kijken of de backend waarin de data zijn opgeslagen, reageert.

Anonymous gebruikte deze truc bijvoorbeeld om de site van het ov-bedrijf in San Francisco te kraken in augustus. Die hack leidde tot het lekken van tweeduizend gebruikersnamen.

Uitrollen

"Het laat zien dat organisaties nog steeds onvoldoende bescherming hebben voor hun belangrijkste asset: hun data", aldus Duca. "We hebben altijd gezegd dat mensen hun systemen moeten patchen."

"Oracle brengt bijvoorbeeld elke maand een nieuwe lijst uit met ongeveer 40 kwetsbaarheden in hun databases. Dit betekent dat iedereen constant door een proces moet testen en het uitrollen van deze patches."

Vertraging

Hij voegde daaran toe dat database-beheerders ook oude databases zoals SQL 2000 niet mogen veronachtzamen. "Mensen weten wel dat ze de databases moeten patchen, maar ze maken zich zorgen over de gevolgen die dat kan hebben voor de oude databases."

Deze weerstand betekent dat sommige organisaties aan de afdeling IT vragen om de uitrol van patches uit te stellen. Als gevolg daarvan kan het installeren van de patches maanden of soms wel jaren vertraging oplopen.