Mitigação de ameaça de privilégios excessivos

Abstract

Dados vitais para as organizações são preservados em seus bancos de dados, neles estão informações de clientes, fornecedores, recursos humanos, dados financeiros. Esses dados precisam ser protegidos. Segundo estatísticas, a ameaça mais comum para bancos de dados no ano de 2015 é a ameaça de privilégios excessivos e não usados. Este trabalho se propõe a abordar métodos e práticas para mitigar a ameaça de privilégios excessivos apresentando uma situação hipotética de uma loja de roupas que precisa ter os privilégios de acesso de seus funcionários restringido. Foi usado o banco de dados Firebird 2.5 juntamente com SGBD IBExpert para a criação do banco de dados, para a modelagem de ameaças foram utilizados o software Microsoft Threat Modeling Tool 2016, e as metodologias STRIDE e SDL. Neste aspecto a modelagem e implementação do banco de dados usando o princípio de menor privilégio se mostrou eficiente para minimizar a ameaça de privilégios excessivos restringindo o acesso dos usuários ao mínimo possível às suas funções. Onde também foi constatado que o banco de dados Firebird 2.5 possui ferramentas para a implementação da mitigação das ameaças identificadas.

Vital data for organizations are preserved in their databases, customer information, suppliers, human resources, financial data. These data need to be preserved. According to statistics, the biggest threat to databases saw in 2015 is the threat of excessive and unused privileges. This paper aims to address methods and practices to mitigate a threat of excessive privileges by presenting a hypothetical situation of a clothing store that needs to restricted access privileges of its employees. The Firebird 2.5 database was used with IBExpert DBMS for database creation, a threat modeling was applied by the Microsoft Toolkit Modeling Tool 2016, and the STRIDE and SDL methodologies. In this regard, modeling and implementing the database using the least privileged principle proved to be efficient in minimizing a threat of excessive privileges by restricting access to the minimum levels of its functions. Firebird 2.5 has tools to mitigate identified threats.