Leestips Security Harbour
Boeken
Oracle Security Step-by-Step, version 2.0 (2004) – Pete Finnigan
http://www.amazon.com/Oracle-Security-Step-Step-Version/dp/0974372749
In dit praktische boek staat een groot aantal tips, maar tevens code waarmee u de beveiliging van uw Oracle 9i of 10g databases kunt verbeteren. Ook staan er (en dit boek is een van de weinige bronnen op dat gebied) tips in over hoe Oracle Application Server 10g beter beveiligd kan worden. Een versie voor Oracle database 11g is nog niet gesignaleerd.
HOWTO Secure and Audit Oracle 10g and 11g (2009) – Ron Ben-Natan
http://www.amazon.com/HOWTO-Secure-Audit-Oracle-10g/dp/1420084127
“HOWTO Secure and Audit Oracle 10g and 11g” het enige boek over Oracle security (voorzover wij weten) dat helemaal up-to-date is tot en met versie 11g. Niet alleen komt de beveiliging van de database, de listener en Oracle accounts aan bod, maar ook worden diverse features die Oracle ten behoeve van security biedt besproken, zoals Virtual Private Database, Database Vault, Audit Vault en Fine-Grained Auditing.
The Oracle Hacker’s Handbook (2007) – David Litchfield
http://www.amazon.com/Oracle-Hackers-Handbook-Hacking-Defending/dp/0470080221/ref=sr_1_1?ie=UTF8&s=books&qid=1258461140&sr=1-1
Dit boek bekijkt Oracle security meer vanuit het oogpunt van een hacker. Het is aardig om eens te zien hoe een hacker te werk gaat om Oracle’s (vroegere, maar inmiddels met patches gerepareerde) zwakheden te benutten. Het is echter niet bedoeld als praktisch handboek om de beveiliging van de database te verbeteren.
Whitepapers en rapporten
2008 Data Breach Investigations Report – Verizon Business Risk Team
http://www.verizonbusiness.com/resources/security/databreachreport.pdf
Dit rapport is essentieel voor diegenen security binnen hun organisatie onder de aandacht willen krijgen. Het rapport somt de achtergronden van 500 inbraken op. Zo blijkt dat een computerinbraak vaak pas na maanden ontdekt wordt. En hoewel de meeste inbraken van buiten af worden uitgevoerd, brengt een inbraak van binnenuit een organisatie substantieel meer schade toe.
Websites en blogs
Oracle database benchmark - Center for Internet Security
http://www.cisecurity.org/bench_oracle.html
Het Center for Internet Security heeft een uitgebreide checklist m.b.t. Oracle security: privileges, parameters, directory- en filepermissies, het is redelijk compleet. Er is een dergelijke benchmark voor Oracle database 8i, 9i en 10g en 11g. Registratie is noodzakelijk.
Oracle and Oracle Security Information – Pete Finnigan
http://www.petefinnigan.com/
Dit is zo’n beetje het startpunt geworden voor iedereen die op zoek is naar informatie over Oracle security. Pete Finnigan heeft veel artikelen en tools verzameld en geschreven en hij houdt met succes een weblog bij. Daarnaast is zijn Oracle Blogs Aggregator (http://www.petefinnigan.com/news/blogs) ook heel handig.
Red Database Security – Alexander Kornbrust
http://www.red-database-security.com/
Behalve voor Alexander Kornbrust’s whitepapers, presentaties en blog, is zijn site ook een aanrader voor wie wil weten wat de laatste Oracle Critical Patch Update nu eigenlijk bijwerkt.
Project Lockdown –Arup Nanda (Oracle)
http://www.oracle.com/technology/pub/articles/project_lockdown/index.html
Een goed startpunt om aan Oracle database security te werken is Project Lockdown. Project Lockdown bestaat uit vier fasen: verbeteringen die in een dag, een week, een maand of een kwartaal te bereiken zijn. Geen zorgen als u het niet binnen die tijd haalt. Het ligt niet (altijd) aan uw DBA. Sommige zaken kosten vooral tijd in de organisatie.
