Разработчики: | WareValley |
Технологии: | СУБД |
по поиску уязвимостей СУБД - решением компании WareValley Cyclone.
Проведение в организациях отдельных проверок информационной безопасности, таких как user enumeration (получения списка действующих логинов пользователей), проверки взлома паролей и фаззинг могут не дать полной картины безопасности СУБД. С этой задачей справляется Cyclone - обеспечивает многомерную проверку безопасности СУБД по различным глобальным стандартам и дает рекомендации по улучшению ее степени защиты.
Cyclone работает со следующими СУБД: Oracle, MS SQL, Server IBM DB2 / UDB, Sybase ASE, Mysql и др.
Cyclone в режиме сканера собирает информацию о системе: обнаруживает установленные СУБД и определяет их версии, проводит тест на проникновение, симулирует атаки внешних хакеров, проводит аудит системы и готовит отчет. Cyclone обнаруживает критичные данные по определенным запросам и анализирует степень защиты этих данных. В процессе проведения аудита Cyclone выдает рекомендации по устранению уязвимостей с помощью сообщений Fit Scripts. В конце аудита пользователь получает полный отчет уязвимостей СУБД и методов их устранения.
Ниже приведены 10 основных угроз СУБД с точки зрения уязвимостей и ошибок конфигурации:
- Имя пользователя установлено по умолчанию или отсутствует, пароль слабый
- Внедрение кода в SQL-запрос СУБД
- Несоответствующие ролям привилегии отдельных пользователей и групп
- Подключение неиспользуемых функций СУБД
- Нарушенное конфигурационное управление (broken configuration management)
- Переполнение буфера (buffer overflows)
- Превышение привилегий (privilege escalation)
- Атаки DDoS
- Отсутствие последних патчей на СУБД (un-patched databases)
- Незашифрованные конфиденциальные данные (unencrypted sensitive data)
Все эти и многие другие уязвимости могут быть найдены и устранены с помощью решения Cyclone, основными функциями которого является:
- Обнаружение с помощью теста на проникновение критических уязвимостей системы безопасности (protocol vulnerability, password attack, buffer over-flow, DDOS attack). Анализ возможности «падения» базы данных вследствие таких воздействий как переполнение буфера (BOF) и атаки DoS. Кроме этого во время этого теста проверяется устойчивость СУБД к Brute Forcing, Dictionary Attack, Password Cracking methods
- Поиск всех остальных уязвимостей системы с помощью Аудита Безопасности, который включает: определение уязвимости вследствие неправильно установленных привилегий (пароли и профили), неправильно организованного Backup, выдачу статуса по установке необходимых патчей (Patch Management) и статуса интеграции ОС и приложения
- Простое управление политикой безопасности по полученным рекомендациям Fix Scripts
- Получение полного отчета по оценке уязвимостей СУБД
Подрядчики-лидеры по количеству проектов
SAP CIS (САП СНГ) (38)
Softline (Софтлайн) (35)
РДТЕХ (33)
BeringPro (БерингПойнт) ранее BearingPoint Russia (28)
ФОРС - Центр разработки (25)
Другие (732)
Сапиенс солюшнс (Sapiens solutions) (7)
BeringPro (БерингПойнт) ранее BearingPoint Russia (3)
Navicon (Навикон) (3)
Инфосистемы Джет (2)
Крок (2)
Другие (35)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (1)
Айтеко (Ай-Теко, iTeco) (1)
Астерос (1)
Атомдата (Atomdata) (1)
Группа Борлас (Borlas) (1)
Другие (20)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Oracle (44, 179)
SAP SE (6, 178)
Microsoft (23, 142)
PostgreSQL Global Development Group (14, 126)
Постгрес профессиональный (ППГ, Postgres Professional) (6, 40)
Другие (263, 242)
SAP SE (3, 11)
Microsoft (3, 11)
PostgreSQL Global Development Group (3, 10)
Oracle (2, 4)
Постгрес профессиональный (ППГ, Postgres Professional) (2, 3)
Другие (10, 13)
PostgreSQL Global Development Group (4, 9)
Постгрес профессиональный (ППГ, Postgres Professional) (2, 6)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
Arenadata (Аренадата Софтвер) (3, 2)
Apache Software Foundation (ASF) (2, 2)
Другие (9, 9)
PostgreSQL Global Development Group (3, 13)
Постгрес профессиональный (ППГ, Postgres Professional) (1, 6)
Arenadata (Аренадата Софтвер) (3, 5)
Apache Software Foundation (ASF) (3, 4)
Тантор Лабс (Tantor Labs) (2, 3)
Другие (8, 10)
PostgreSQL Global Development Group (4, 11)
Arenadata (Аренадата Софтвер) (3, 6)
VMware (2, 6)
Постгрес профессиональный (ППГ, Postgres Professional) (2, 5)
Сбербанк-Технологии (СберТех) (2, 2)
Другие (5, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Oracle Database - 106
Microsoft SQL Server - 104
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 103
PostgreSQL СУБД - 80
SAP HANA (High Performance Analytic Appliance) - 72
Другие 374
Microsoft SQL Server - 9
SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8
PostgreSQL СУБД - 7
Oracle Database - 3
SAP HANA (High Performance Analytic Appliance) - 3
Другие 21
Postgres Pro СУБД - 5
ADB - Arenadata DB - 2
PostgreSQL СУБД - 2
Tarantool Платформа in‑memory вычислений - 2
Oracle Database - 2
Другие 13
Postgres Pro СУБД - 6
PostgreSQL СУБД - 4
Tantor СУБД - 3
ADB - Arenadata DB - 3
ClickHouse - система управления базами данных (СУБД) - 2
Другие 10
PostgreSQL СУБД - 5
ADB - Arenadata DB - 5
Postgres Pro СУБД - 3
Diasoft Digital Q.Database - 2
ADH - Arenadata Hadoop - 2
Другие 9