ما هو أمن قواعد البيانات؟

يجب أن يتولى أمن قواعد البيانات معالجة وحماية العناصر التالية:

• البيانات المخزّنة في قاعدة البيانات.
  
• نظام إدارة قواعد البيانات (DBMS).
  
• أي تطبيقات مرتبطة بقواعد البيانات.
  
• خادم قاعدة البيانات الفعلي أو خادم قاعدة البيانات الافتراضي والبنية التحتية للأجهزة.
  
• البنية التحتية للحوسبة أو الشبكة المستخدمة للوصول إلى قاعدة البيانات.

يُمثِّل أمن قواعد البيانات مجهودًا مُعقَّدًا ومليئًا بالتحديات يشمل جميع جوانب تقنيات وممارسات أمن المعلومات. كما يتعارض بطبيعته مع سهولة استخدام قاعدة البيانات. فكلما زادت سهولة الوصول إلى قاعدة البيانات واستخدامها، زادت قابليتها للتهديدات الأمنية؛ وكلما ازدادت منعة قاعدة البيانات ضد التهديدات، ازدادت صعوبة الوصول إليها واستخدامها. تُعرَف هذه المُفارقة أحيانًا باسم Anderson’s Rule.

يُعرَّف اختراق أمن البيانات، بحكم تعريفه، بأنه فشل في الحفاظ على سرية البيانات في قاعدة بيانات. يعتمد مدى الضرر الذي يُلحقه اختراق أمن البيانات بمؤسستك على عواقب أو عوامل مُتنوِّعة:

• انتهاك الملكية الفكرية: قد تكون ملكيتك الفكرية - كالأسرار التجارية والاختراعات والممارسات الاحتكارية - مهمة لقُدرتك على الحفاظ على ميزة تنافسية في السوق. إذا سُرقت هذه الملكية الفكرية أو انكشفت، فقد يصعب أو يستحيل الحفاظ على ميزتك التنافسية أو استعادتها.
  
  
• الإضرار بسمعة العلامة التجارية: قد يتردَّد العملاء أو الشركاء في شراء مُنتجاتك أو خدماتك (أو مُزاولة الأعمال مع شركتك) إذا لم يشعروا بأنهم يستطيعون الوثوق بك لحماية بياناتهم أو بياناتك.
  
  
• استمرارية الأعمال (أو انقطاعها): قد لا تتمكَّن بعض الشركات من مُواصلة العمل إلا بعد معالجة الخرق الأمني.
  
  
• الغرامات أو العقوبات المترتبة على عدم الامتثال: يمكن أن تكون التداعيات المالية الناجمة عن عدم الامتثال للوائح عالمية مثل قانون Sarbannes-Oxley (SAO) أو معيار أمن بيانات صناعات بطاقات الدفع Standard (PCI DSS)، أو لوائح خصوصية البيانات الخاصة بقطاعات معينة مثل قانون HIPAA، أو لوائح خصوصية البيانات الإقليمية، مثل اللائحة العامة لحماية البيانات في أوروبا (GDPR)، وخيمة للغاية، حيث قد تتجاوز الغرامات في أسوأ الحالات عدة ملايين من الدولارات عن كل انتهاك.
  
  
• تكاليف معالجة الاختراقات وإخطار العملاء: بالإضافة إلى تكلفة إخطار العملاء المتضررين بالاختراق، يتعين على المؤسسة التي تعرضت للاختراق تحمل نفقات أنشطة التحقيق الجنائي الرقمي، وإدارة الأزمات، وعمليات الفرز، وإصلاح الأنظمة المتأثرة، وغيرها.

قد تُؤدي العديد من حالات سوء تهيئة البرمجيات، أو الثغرات الأمنية، أو أنماط الإهمال وسوء الاستخدام، إلى وقوع اختراقات أمنية. تُعدّ الأسباب التالية من بين أكثر أنواع أو أسباب الهجمات شيوعًا على أمن قواعد البيانات:

يُمثّل التهديد الداخلي خطرًا أمنيًا من أي مصدر من ثلاثة مصادر لديها صلاحيات وصول مميزة إلى قاعدة البيانات:

• هجوم داخلي خبيث يريد إلحاق الضرر.
  
• تهديد داخلي من الإهمال يرتكب أخطاءً تجعل قاعدة البيانات عرضة للهجوم.
  
• المخترق، وهو شخص خارجي يحصل بطريقة ما على بيانات الاعتماد عبر خُدعة، مثل التصيّد الاحتيالي أو عن طريق الوصول إلى قاعدة بيانات بيانات الاعتماد نفسها.

تُعدّ التهديدات الداخلية من بين أكثر الأسباب شيوعًا لحدوث اختراقات أمن قواعد البيانات، وغالبًا ما تكون نتيجة السماح لعدد كبير جدًا من الموظفين بحيازة بيانات اعتماد وصول المستخدم المُميَّز.

تظل الحوادث وكلمات المرور الضعيفة ومشاركة كلمات المرور وغيرها من سلوكيات المستخدم غير الحكيمة أو غير المستنيرة سببًا  لما يقرب من نصف (49%) من جميع حالات اختراق أمن البيانات المبلغ عنها.

يعتمد المخترقون في أنشطتهم على اكتشاف الثغرات الأمنية في مختلف أنواع البرمجيات واستغلالها، بما في ذلك برمجيات إدارة قواعد البيانات. تقوم جميع الشركات الكبرى المُنتِجة لبرمجيات قواعد البيانات التجارية ومنصات إدارة قواعد البيانات مفتوحة المصدر بإصدار تحديثات أمنية دورية لسد هذه الثغرات، إلا أن عدم تثبيت هذه التحديثات في الوقت المناسب قد يُعرّض أنظمتك لمخاطر أكبر.

تُعتبر هذه الهجمات من التهديدات الموجّهة تحديدًا لقواعد البيانات، وتتمثّل في إدخال سلاسل برمجية هجومية مُصمَّمة بلغة SQL أو  NoSQL عشوائيًا في استعلامات قواعد البيانات التي تُرسلها تطبيقات الويب إلى الخادم، أو تضمينها في ترويسات HTTP. تُصبح المنظمات التي لا تلتزم بممارسات الترميز الآمن لتطبيقات الويب، ولا تُجري اختبارات اختراق دورية للكشف عن الثغرات الأمنية، عُرضةً كبيرةً لهذه الأنواع من الهجمات

يحدث تجاوز سعة المخزن المؤقت عندما تُحاول عملية برمجية كتابة كمية من البيانات تتجاوز المساحة المُخصَّصة لها في منطقة مُحدَّدة من الذاكرة ذات طول ثابت. يُمكن للمخترقين استغلال هذه البيانات الزائدة، التي يتم تخزينها في مواقع الذاكرة المُجاورة، كنقطة انطلاق لتنفيذ هجماتهم.

البرامج الضارة هي برمجيات مُصمَّمة خصيصًا لاستغلال الثغرات الأمنية في الأنظمة أو إلحاق الضرر بقواعد البيانات بطرق مُختلفة. يُمكن أن تنتشر البرامج الضارة عبر أي جهاز طرفي متصل بشبكة قاعدة البيانات.

تُصبح المنظمات التي تُهمل حماية بيانات النسخ الاحتياطية بنفس مستوى الضوابط الأمنية الصارمة المُطبَّقة على قاعدة البيانات الأصلية عُرضةً لهجمات تستهدف هذه النسخ.

تتفاقم هذه التهديدات بسبب ما يلي:

• تزايد أحجام البيانات: تستمر عمليات جمع البيانات وتخزينها ومعالجتها في النمو بشكل كبير في جميع المنظمات تقريبًا. يجب أن تكون أي أدوات أو ممارسات لأمن البيانات قابلة للتوسع بدرجة كبيرة لتلبية احتياجات المستقبل القريب والبعيد.
  
  
• توسّع البنية التحتية: تزداد بيئات الشبكة تعقيدًا باستمرار، لا سيما مع اتجاه الشركات إلى نقل أحمال التشغيل لديها إلى بيئات  سحابية متعددة الأوساط السحابية أو الهجينة، مما يضاعف من صعوبة اختيار الحلول الأمنية المناسبة ونشرها وإدارتها.
  
  
• تزايد صرامة المتطلبات التنظيمية: لا يزال مشهد الامتثال التنظيمي في جميع أنحاء العالم يزداد في التعقيد، مما يجعل الالتزام بجميع التفويضات أكثر صعوبة.
  

في الهجوم لحجب الخدمة (DoS)، يُعرّض المُهاجم الخادم الهدف – خادم قاعدة البيانات في هذه الحالة – لكمّ هائل من الطلبات، ممّا يُعيق الخادم عن الاستجابة للطلبات الصحيحة من المستخدمين الحقيقيين، وغالباً ما يُصبح الخادم غير مستقر أو يتعطل.

في الهجوم الموزع لحجب الخدمة (DDoS)، يأتي هذا الكم الهائل من الطلبات من خوادم متعددة، مما يزيد من صعوبة إيقاف الهجوم.

نظرًا لأن قواعد البيانات يمكن الوصول إليها عبر الشبكة، فإن أي خطر أمني يُهدِّد أي عنصر في البنية التحتية للشبكة يُعتبر أيضًا خطرًا على قاعدة البيانات، وأي هجوم يُصيب جهاز المستخدم أو محطة العمل يُمكن أن يُعرّض قاعدة البيانات للخطر. وبالتالي، يجب أن يتجاوز نطاق أمن قواعد البيانات حدود قاعدة البيانات وحدها.

عند تقييم أمن قواعد البيانات في بيئتك لتحديد أهم أولويات فريقك، ضع في اعتبارك كلًا من المجالات التالية:

• الأمن المادي: سواءً كان خادم قاعدة بياناتك محليًا أو في مركز بيانات سحابي، يجب أن يتواجد ضمن بيئة مُحكمة وآمنة ومُراقبة مناخيًا. إذا كان خادم قاعدة البيانات موجودًا في مركز بيانات سحابي، فإن مُزوّد الخدمة السحابية يتكفّل بذلك.
  
  
• الضوابط الإدارية وضوابط الوصول إلى الشبكة: يجب أن يقتصر الوصول إلى قاعدة البيانات على أقل عدد ممكن من المستخدمين، مع تقييد صلاحياتهم بالحد الأدنى اللازم لإنجاز مهامهم. وبالمثل، يجب تقييد الوصول إلى الشبكة بالحد الأدنى من الصلاحيات المطلوبة.
  
  
• أمن حساب المستخدم والجهاز: احرص دائمًا على معرفة هوية من يصل إلى قاعدة البيانات وتوقيت وكيفية استخدام البيانات. يُمكن أن تُنبِّهك حلول مُراقبة البيانات في حال كانت أنشطة البيانات غير طبيعية أو تنطوي على مخاطر. يجب أن تكون جميع أجهزة المستخدمين المُتصلة بالشبكة التي تضم قاعدة البيانات آمنة ماديًا (مُقتصرة على المستخدم المُصرَّح له فقط) وخاضعة لضوابط أمنية في جميع الأوقات.
  
  
• التشفير: تجب حماية جميع البيانات، بما في ذلك البيانات الموجودة في قاعدة البيانات وبيانات الاعتماد، بأفضل تشفير في فئته أثناء التخزين والنقل. ينبغي التعامل مع كافة مفاتيح التشفير وفقًا لإرشادات أفضل الممارسات المُتَّبعة في هذا المجال.
  
  
• أمن برامج قاعدة البيانات: احرص دائمًا على استخدام أحدث نسخة من برنامج إدارة قواعد البيانات، وقُم بتثبيت جميع التحديثات الأمنية عند توفرها.
  
  
• أمن التطبيقات وخادم الويب: أي تطبيق أو خادم ويب يتصل بقاعدة البيانات يُمكن أن يُشكّل منفذًا للهجمات، لذا يجب إخضاعه لاختبارات أمنية دورية وإدارته وفقًا لأفضل الممارسات الأمنية.
  
  
• أمن النسخ الاحتياطي: يجب أن تخضع جميع النسخ الاحتياطية أو النُسخ المُطابقة أو الصور لقاعدة البيانات لنفس الضوابط الأمنية (أو ضوابط أمنية مُماثلة في صرامتها) المُطبَّقة على قاعدة البيانات الأصلية.
  
  
• التدقيق: احتفظ بسجل لجميع عمليات تسجيل الدخول إلى خادم قاعدة البيانات ونظام التشغيل، وكذلك سجِّل جميع العمليات التي تُجرى على البيانات الحساسة. يجب إجراء عمليات تدقيق لمعايير أمان قاعدة البيانات بانتظام.

إلى جانب تطبيق ضوابط أمنية مُتعدِّدة المستويات عبر بيئة الشبكة بالكامل، يتطلّب أمن قواعد البيانات وضع الضوابط والسياسات المُناسبة للتحكّم في الوصول إلى قاعدة البيانات ذاتها. ويتضمن ذلك:

• ضوابط إدارية تُحدّد آليات إدارة التثبيت والتغيير والتكوين لقاعدة البيانات.
  
  
• ضوابط وقائية تُحدّد آليات التحكّم في الوصول والتشفير والترميز وإخفاء البيانات.
  
  
• ضوابط استقصائية لمراقبة مراقبة نشاط قاعدة البيانات وأدوات منع فقدان البيانات. تتيح هذه الحلول إمكانية تحديد الأنشطة غير المألوفة أو المشبوهة والتنبيه بشأنها.

يجب أن تتكامل سياسات أمن قواعد البيانات مع أهداف أعمالك العامة ودعمها، مثل حماية الملكية الفكرية الهامة وسياسات الأمن السيبراني وسياسات أمن الحوسبة السحابية الخاصة بك. احرص على تحديد مسؤولية الحفاظ على الضوابط الأمنية وتدقيقها داخل منظمتك، وأن تتكامل سياساتك مع سياسات مُزوِّد الخدمة السحابية في اتفاقيات المسؤولية المُشتركة. ينبغي وضع ضوابط الأمان وبرامج التدريب والوعي الأمني، واستراتيجيات اختبار الاختراق وتقييم الثغرات الأمنية لدعم سياسات الأمان الرسمية المُعتمدة.

يُقدِّم اليوم مجموعة واسعة من البائعين أدوات ومنصات حماية البيانات. يجب أن يتضمن الحل الشامل جميع القدرات التالية:

• الاكتشاف: ابحث عن أداة يمكنها البحث عن الثغرات الأمنية وتصنيفها في جميع قواعد بياناتك - سواء كانت مستضافة في السحابة أو محليًا - وتقديم توصيات لمعالجة أي ثغرات أمنية يتم اكتشافها. في كثير من الأحيان، تكون قدرات الاكتشاف ضرورية للوفاء بمتطلبات الامتثال التنظيمي.
  
  
• مراقبة نشاط البيانات: يجب أن يتمتّع الحلّ بالقدرة على مُراقبة وتدقيق جميع أنشطة البيانات عبر قواعد البيانات كافة، سواء كان النشر محليًا أو في السحابة أو في حاوية. ينبغي أن ينبهك الحل بشأن الأنشطة المشبوهة في الوقت الحقيقي حتى تتمكن من الاستجابة للتهديدات بسرعة أكبر. ستحتاج أيضا إلى حل يمكّنك من فرض القواعد والسياسات، والفصل بين الواجبات، ويوفر لك رؤية واضحة لحالة بياناتك من خلال واجهة مستخدم شاملة وموحدة. احرص على أن يكون أيّ حلّ تختاره قادرًا على إنشاء التقارير التي تحتاجها للوفاء بمتطلبات الامتثال.
  
  
• قدرات التشفير والترميز: عند حدوث اختراق، يوفر التشفير خط دفاع أخير ضد الاختراق. يجب أن تتضمّن أيّ أداة تختارها قدرات تشفير مرنة قادرة على حماية البيانات في البيئات المحلية والسحابية والهجينة ومتعددة السحابات. ابحث عن أداة تتمتّع بإمكانيات تشفير للملفات ووحدات التخزين والتطبيقات تتوافق مع متطلبات الامتثال في مجال عملك، والتي قد تستلزم ترميز البيانات (إخفاء البيانات) أو إمكانيات مُتقدّمة لإدارة مفاتيح الأمان.
  
  
• تحسين أمن البيانات وتحليل المخاطر: يُمكّنك استخدام أداة قادرة على توليد رؤى سياقية من خلال دمج معلومات أمن البيانات مع التحليلات المتقدمة من إنجاز مهام التحسين وتحليل المخاطر وإعداد التقارير بسهولة. اختر حلًا قادرًا على الاحتفاظ بكميات كبيرة من البيانات التاريخية والحديثة وتجميعها حول حالة وأمن قواعد بياناتك، وابحث عن حل يوفر إمكانيات استكشاف البيانات والتدقيق وإعداد التقارير من خلال لوحة معلومات شاملة وسهلة الاستخدام للخدمة الذاتية.