Компания Aladdin представила новое решение SafeData для защиты баз данных Oracle

Компания Aladdin представила новое решение SafeData для защиты баз данных Oracle

Компания Aladdin представила уникальный комплекс решений SafeData, предназначенный для повышения уровня информационной безопасности СУБД Oracle, обеспечиваемого штатными средствами, в соответствии с требованиями российского законодательства, международных стандартов и внутренних политик ИБ различных структур.

Комплекс решений SafeData, объединяющий весь спектр технологий Aladdin на основе eToken для применения их в СУБД Oracle, включает основные аспекты обеспечения безопасности баз данных. В концепции Aladdin к ним, в первую очередь, относится безопасная и надежная аутентификация, предполагающая разграничение доступа. Все пользователи, включая администратора, прошедшие процедуры идентификации и аутентификации, имеют доступ только к необходимой им информации, в строгом соответствии с занимаемой должностью.

Вторым важным аспектом является защита данных криптографическими методами, причем шифровать необходимо как передаваемые в сети данные, так и данные, записываемые на съёмный носитель. Аудит доступа к данным — третья составляющая концепции Aladdin, согласно которой действия с данными должны протоколироваться, при этом к протоколу не должны иметь доступ пользователи, на машинах которых ведется аудит.

Основным отличием комплекса решений SafeData является строгая ориентация на выполнение требований различных регуляторов, которые в рамках концепции Aladdin по защите баз данных, представляются в виде пятиуровневой иерархической системы документов по ИБ. Она включает уровень международных стандартов (ISO 15408-99, ISO/IEC 27001, ISO/IEC 17799, PCI DSS и др.), уровень ФЗ РФ (Об ЭЦП, О персональных данных, О техническом регулировании и др.), правительственный уровень (Постановление «Об организации лицензирования о.в.д.», ГОСТ Р ИСО/МЭК 15408 и др.), уровень ведомственных распорядительных документов (например, ФСБ, ФСТЭК, Банка России) и последний пятый уровень – это корпоративная политика (концепция, правила), требования по обеспечению ИБ в организации.

К особенностям комплекса решений SafeData на технологическом уровне относятся применение выборочного шифрования колонок таблиц с использованием произвольных алгоритмов с сохранением структуры запросов, хранение «закрытого» ключа пользователя в смарт-карте или USB-ключе, проверка целостности пакетов алгоритмов шифрования перед применением (только после этой проверки реализуется вычисление ключа шифрования), использование on-line шифрования, асинхронный сбор данных аудита, а так же контроль целостности настроек и доступности серверов аудита

Основной причиной обращения Aladdin к вопросам усиления средств защиты, используемых в организациях, ИТ-инфраструктура которых базируется на платформе Oracle, является тот факт, что зрелость рынка крупных отраслевых и госорганизаций, как наиболее активных потребителей продуктов Oracle, объективно требует усиления встроенных средств защиты баз данных. «По нашему опыту на сегодняшний день штатные средства безопасности используются на 3-5%, при этом часто они не настроены должным образом. Не менее редки ситуации, в которых встроенные средства заменяются на аналогичные по функционалу собственные разработки или готовые разработки. Однако тенденцией сегодняшнего дня является использование по максимуму встроенных средств защиты и дополнение их, в случае недостающей функциональности, продуктами сторонних вендоров, например, Aladdin SafeData для СУБД Oracle», - комментирует Александр Додохов, руководитель направления защиты баз данных, компания Aladdin Software Security R.D.

В пользу данной тенденции по мнению специалистов Aladdin, говорят, прежде всего, растущие нужды бизнеса с точки зрения безопасности и требования законодательства. Так, одним из важных дополнений штатных средств может стать использование российской криптографии. Криптографические алгоритмы могут применяться в процессе аутентификации, выработки ЭЦП (ГОСТ Р 34.10-2001), для защиты канала связи (ГОСТ 28147-89, ГОСТ Р 34.11-94) и шифрования данных (ГОСТ 28147-89).

Следует отметить, что комплекс решений SafeData на основе eToken полностью решает проблему хранения ключевой информации для аутентификации и криптографической защиты данных, проблему привилегированных пользователей (угроза «инсайдера»), вопрос использования наследованных приложений и российской криптографии. При этом, единое персонализированное средство аутентификации eToken может быть использовано для целого для целого ряда продуктов, куда входит: Oracle DB Server, Oracle Application Server, Oracle eBusiness Suite, Oracle I & A Management и др.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в Node.js ставят под удар миллионы Windows-приложений

Кураторы проекта Node.js из OpenJS Foundation выпустили обновления с патчами в ветках 24.x, 22.x и 20.x. Апдейты устраняют проблемы, актуальные для приложений Windows и веб-сервисов, использующих JavaScript-движок V8.

По оценкам экспертов, затронуты миллионы серверных и полнофункциональных приложений. Уровень угрозы в обоих случаях определен как высокий.

Уязвимость CVE-2025-27210 представляет собой возможность обхода защиты от path traversal (выхода за пределы рабочего каталога), которая проявляется при использовании API-функции path.join() и возникла из-за неполного патча для CVE-2025-23084.

Ошибка в реализации функции path.normalize() позволяет получить несанкционированный доступ к файлам и папкам с помощью недопустимого имени — такого как CON, PRN, AUX (в Windows резервируются для системных устройств, к которым можно обратиться напрямую).

Уязвимость CVE-2025-27209 классифицируется как HashDoS — возможность вызвать отказ приложения (DoS) через создание множественных коллизий хешей. Проблема была привнесена с выпуском Node.js 24.0.0, который изменил алгоритм вычисления хешей строк.

Реализованная в движке V8 хеш-функция rapidhash ускорила процесс, но при этом также открыла дверь для атак HashDoS. Злоумышленник, контролирующий ввод строк для хеширования, может скормить в хеш-таблицу данные таким образом, чтобы все они попали в один слот.

В результате скорость поиска элементов и вставки новых коллизий упадет, а потребление памяти будет расти, что в итоге приведет к DoS. Знания зерна алгоритма для генерации хеш-коллизий в данном случае не потребуется.

Патчи для Node.js включены в состав сборок 20.19.4, 22.17.1 и 24.4.1. Организациям, использующим Windows-приложения на основе Node.js, рекомендуется приоритизировать обновление.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru