Os ataques por injeção de SQL são uma prática antiga, mas ainda bastante comum no mundo corporativo. Trata-se de um método que ataca aplicações web que possuem um repositório de dados.

Diferentemente dos ataques distribuídos de negação de serviço (em inglês, Distributed Denial of Service – DDoS), que podem ser executados independentemente da arquitetura do servidor, os ataques por injeção de SQL dependem apenas da presença de uma falha no software do alvo, ou do uso de más práticas de código.

No passado, empresas como Yahoo e The Pirate Bay, universidades e pequenos serviços governamentais foram vítimas desse tipo de ataque.

A maioria dos aplicativos web usa uma linguagem conhecida como SQL. Os ataques por injeção de SQL consistem no envio de um código SQL especialmente projetado para causar alguma ação maliciosa. O aplicativo então incorpora o código à sua estrutura e, no final, a injeção de SQL acaba garantindo ao hacker acesso à base de dados, expondo informações, ou até dando permissão de escrita e controle total dos dados.

Por que esse tipo de ataque ainda é comum

Um dos motivos pelos quais os ataques por injeção de SQL ainda são comuns é que as vulnerabilidades e os atrativos dos alvos desses ataques ainda existem. Bases de dados contendo informações críticas para uma aplicação nunca deixaram de ser interessantes para os hackers.

Além disso, ataques por injeção de SQL não precisam de muito para serem bem sucedidos. Basta um único computador, um pouco de paciência, tentativa, erro, ingenuidade e um pouco de sorte para dar certo.

Alguns ataques resultam de desenvolvimento preguiçoso e más práticas de programação, mas, na realidade, há vários outros erros que comuns que as empresas ainda cometem. Conheça alguns:

  • Ignorar os princípios mínimos de privilégios;
  • Conglomerar dados sensíveis;
  • Confiar cegamente nas entradas de usuários.

Como uma solução de segurança pode ajudar

Um ataque por injeção de SQL exibe tipicamente padrões de acesso à base de dados que não são característicos do uso comum. Por isso, para identificar esse tipo de ação, é necessário ser capaz de detectar anomalias no sistema e na rede.

Uma solução de segurança baseada em Gerenciamento e Correlação de Eventos de Segurança (SIEM) é a melhor ferramenta para mitigar os riscos causados por esse tipo de ataque. Quando combinadas com controles estratégicos, qualquer transferência inesperada de dados, seja para um repositório interno ou externo, gera um alerta. Isso é possível graças às trilhas de logs deixadas pelas atividades dos usuários.

O serviço On Premise Security da PROOF oferece implementação e suporte das soluções de todos os parceiros de segurança da PROOF, incluindo a Splunk, empresa indicada como líder pelo Gartner no Quadrante Mágico 2015 para SIEM.