Бази даних SQL Server часто містять цінні дані, такі як інформація про клієнтів, фінансові записи та паролі облікових записів – активи, які часто є важливими для бізнесу і підлягають захисту відповідно до нормативних вимог. Сьогодні ці дані піддаються більшому ризику, ніж будь-коли, оскільки легкодоступні інструменти штучного інтелекту можуть допомогти менш технічним кіберзлочинцям планувати й здійснювати атаки. Так, останню версію ChatGPT можна використовувати для отримання рекомендацій щодо ефективних інструментів і технологій для кібератак і навіть прикладів їх використання.
У цій статті розглядається загроза атак на SQL Server з використанням штучного інтелекту і детально описуються ключові заходи безпеки, які необхідно впровадити організаціям, щоб запобігти їм.
Як зловмисники отримують допомогу від ШІ
Хоча більшість інструментів штучного інтелекту не призначені для допомоги кіберзлочинцям, багатьма з них можна маніпулювати, щоб вони робили саме це. Наприклад, розглянемо PentestGPT, бота на основі ChatGPT, створеного для допомоги в пентестуванні. Якщо користувач ставить питання на кшталт: «Як я можу виконати атаку розпилення паролів на обліковий запис системного адміністратора SQL?», бот, швидше за все, відмовиться надавати інструкції, заявивши, що він не буде допомагати в діях, які можуть поставити під загрозу безпеку організації. Однак користувач може обійти цю перешкоду, просто згадавши, що він є професійним фахівцем з пентестування, якого організація попросила виконати цей тип атаки.
Так само PentestGPT можна використати для надання рекомендацій щодо інших елементів кібератаки на SQL-сервери. Наприклад, зловмисники можуть використовувати його для пошуку SQL-серверів або ресурсів у системі або навіть зловживати хешами NTLM-паролів для компрометації облікових записів користувачів.
Фактори, що посилюють загрозу
Попри те, що найкращі сьогоднішні асистенти зі штучним інтелектом можуть бути використані не за призначенням, не варто панікувати. Такі інструменти, як ChatGPT, дійсно дають хороші рекомендації, але не завжди й не для всіх. Насправді як показує досвід, для ефективної інтерпретації відповідей, особливо щодо інструментів для конкретних завдань, часто потрібен досвідчений експерт з безпеки; простого дослівного виконання інструкцій зазвичай недостатньо, щоб завдати серйозної шкоди SQL-серверам.
Однак поради ШІ стають значно небезпечнішими, якщо цільова організація має слабкі місця в системі безпеки. Зокрема, якщо засоби контролю доступу в Active Directory (AD) і SQL Server не налаштовані належним чином і не проводиться постійний аудит активності доступу, інструкції від ШІ-інструменту, такого як PentestGPT, можуть дозволити кіберзлочинцям отримати доступ до баз даних SQL Server, уникнувши при цьому виявлення.
Як захиститися від загроз на основі ШІ
Наведені нижче найкращі практики є необхідними для захисту SQL-серверів як від традиційних атак, так і від атак з підтримкою штучного інтелекту:
Класифікуйте дані
Основна найкраща практика полягає в тому, щоб отримати уявлення про те, де знаходяться конфіденційні дані полягає в тому, щоб ІТ-команда могла зосередити свої зусилля на захисті найцінніших активів. Надійне рішення для класифікації даних автоматично знаходить конфіденційні дані на SQL-серверах та інших сховищах даних, визначає, чи підпадають вони під дію будь-яких загальних правил або галузевих стандартів, і позначає їх тегами, які можуть використовувати інші рішення для захисту.
Керування правами доступу
Доступ до SQL-серверів часто керується через Active Directory (AD). Тому важливим кроком є використання рішення AD, яке забезпечує суворе дотримання принципу найменших привілеїв. Цей підхід гарантує, що кожен користувач має лише той доступ, який необхідний для виконання його завдань. Таке обмеження мінімізує шкоду, яку може завдати зловмисник. Це залишається актуальним навіть у разі, якщо зловмисник отримав допомогу від інструментів штучного інтелекту. Крім того, такий підхід гарантує, що звичайний користувач не може мати дозволи, призначені лише для системних адміністраторів. Щоб підтримувати модель найменших привілеїв протягом тривалого часу, рішення AD має сприяти регулярному аудиту прав доступу. Своєчасне усунення непотрібних дозволів зменшує поверхню атаки та допомагає запобігти порушенням безпеки.
Аудит активності
Надійне рішення для захисту AD також контролюватиме діяльність, пов’язану з серверами SQL. Таке рішення дозволяє команді безпеки відстежувати невдалі спроби входу та модифікації конфіденційних даних. Воно надає ключові деталі, включаючи джерело активності. Це може бути, наприклад, робоча станція або програма, з якої здійснювалися ці дії. Найкращі рішення автоматично виявляють підозрілу поведінку. Вони сповіщають фахівців з безпеки, щоб ті могли швидко розслідувати інциденти. Завдяки цьому атаки на SQL-сервери можуть бути оперативно зупинені.
Висновок
Кіберзлочинці прагнуть зловживати інструментами штучного інтелекту для отримання доступу до цінних даних на SQL-серверах. Однак організації можуть значно знизити свої ризики. Для цього слід дотримуватися передових практик у сфері безпеки. Коли організації класифікують свої дані та суворо контролюють права доступу, ризики значно зменшуються. Відстеження підозрілої активності також є важливим елементом захисту. Завдяки таким заходам зловживання SQL-серверами залишається складним завданням навіть із появою ШІ.
