Parliamo di sicurezza dei database e presentiamo il nostro nuovo servizio SQL Server Hardening, concepito per valutare la configurazione della sicurezza di un ambiente SQL Server e individuare i miglioramenti applicabili dal punto di vista dell’infrastruttura e dei dati. Grazie al nostro servizio SQL Server Hardening, siamo in grado di rilevare la configurazione dello strato di sicurezza di un ambiente SQL Server ed evidenziare eventuali azioni correttive per garantire la sicurezza di questo elemento dell’infrastruttura aziendale.

1. SQL Server Hardening
Dueville, VI
2023.03.23

2. Chi sono?
20+ years in SQL Server
14+ years in BI
In September 2014,
founder of Datamaze
www.datamaze.it

3. La sicurezza dei nostri dati
 Negli ultimi anni, le violazioni della sicurezza dei dati rappresentano un tema
comune
 Cyber crime e spionaggio sono i motivi principali di queste violazioni che si
concretizzano attraverso
 malware,
 botnet,
 furto di credenziali,
 sfruttamento delle vulnerabilità di sicurezza.
 Il risultato si traduce in furto di informazioni personali, finanziarie o di altro
genere
 World’s Biggest Data Breaches & Hacks — Information is Beautiful

4. Conseguenze della violazione dei dati
 Per definizione, un “data breach” è il mancato mantenimento della
riservatezza dei dati all’interno di un database
 Quali sono i danni potenziali?
 Perdita di privacy o riservatezza dei dati
 Perdita dell'integrità dei dati
 Proprietà intellettuale compromessa
 Danni alla reputazione del marchio
 Continuità operativa
 Ammende o sanzioni in caso di inosservanza
 Costi di indennizzo e notifica ai clienti

5. Sicurezza di un database
 L’insieme degli strumenti, controlli e misure progettati per definire
preventivamente e preservare la riservatezza, l'integrità e la disponibilità di
un database management system (DBMS) e del suo contenuto
 Dobbiamo proteggere tutto lo stack che compone un DBMS
 I dati contenuti nel database
 Il servizio di gestione di database(SQL Server, Oracle, …)
 Eventuali applicazioni associate (nel caso di SQL Server, SSAS, SSIS, SSRS, …)
 Il database server fisico e/o virtuale e l'hardware sottostante
 L'infrastruttura informatica e/o di rete utilizzata per accedere al database
 Mantenere la sicurezza è un processo in contrasto con l'usabilità di un
database (Anderson's rule (computer science) - Wikipedia)

6. Quali sono le minacce…
 Pressioni dall’esterno sull'ambiente IT
 Volume dei dati
 Infrastruttura distribuita
 Requisiti normativi
 Carenza di competenze informatiche
 Minacce interne
 Dolo
 Negligenza
 Errore umano
 Phishing
 Cattiva gestione delle password
 Esfiltrazione “involontaria” di dati
 Attacchi informatici
 Vulnerabilità del software del
database
 Attacchi basati su SQL/NoSQL
injection
 Attacchi Denial of Service
(DoS/DDoS),
 Malware
 Spyware
 Ransomware

7. SQL Server best practices
 Verifica il termine del supporto
 Aggiornare regolarmente il database server ed il sistema operativo
 Attiva degli audit sull’attività svolta da utenti ed applicazioni
 Verifica i tuoi utenti
 L’account sa
 Le password
 Gli utenti sysadmin
 Testa la sicurezza del tuo ambiente
 Verifica di essere nelle condizioni di ripristinare i tuoi sistemi

8. SQL Server Hardening
 Add-on al nostro servizio di Health Check (ma può essere eseguito anche
indipendentemente)
 Si svolge in tre momenti
 Intervista preliminare con il cliente e raccolta oggettiva dei parametri di
configurazione e del rispetto delle best practices
 Discussione dei risultati
 Applicazione delle best practices individuate e concordate
 Ambiti di verifica
 Installazione, aggiornamenti e patch
 Riduzione della superficie di attacco
 Autenticazione e autorizzazione
 Regole di gestione delle password
 Auditing e logging
 Sviluppo applicazioni
 Encryption
 Altre considerazioni
 Alcuni controlli saranno implementati anche all’interno di SQL Catcher