Контакты
Подписка 2025

Гарда DBF: в первую очередь – защита данных

Дмитрий Горлянский, 13/08/24

Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).

Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж группы компаний “Гарда”

Опыт внедрения системы "Гарда DBF" (Database Firewall), которая защищает данные в СУБД от утечек, показывает, что при построении стратегии защиты баз данных заказчики обычно допускают ряд ошибок.

Ошибка 1. Защищать только ПДн

У большинства владельцев СУБД фокус смещен в сторону защиты персональных данных. Во многом это объясняется требованиями законодательства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая информация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п.

Именно поэтому важно понимать, какая информация в БД для каких нарушителей может представлять интерес, и применять соответствующие средства защиты.

Ошибка 2. Недостаточный аудит данных

Нередки случаи, когда отдел информационной безопасности не знает, сколько баз данных находится внутри организации. Первое сканирование "Гарда DBF" почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестировании продуктов, при работе с подрядчиками, или же их создают сами администраторы для резервного копирования.

Чтобы вовремя выявлять неконтролируемые базы, следует проводить регулярное сканирование инфраструктуры с помощью "Гарда DBF".

Ошибка 3. Производительность СУБД

Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэтому они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). "Гарда DBF" работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД.

В режиме блокировки "Гарда DBF" с использованием агента предельное снижение производительности составляет 6–7%.

ris3-Aug-13-2024-03-33-54-0820-PM

Технологии в "Гарда DBF"

Рассмотрим, какие технологии позволяют системе "Гарда DBF" создавать эффективную защиту для СУБД.

Полнота анализа

Обычно в СУБД предусмотрены средства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объектом интереса злоумышленников.

Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происходит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных.

Ключевое отличие "Гарда DBF" в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На основании контентного анализа детектировать утечки оказывается гораздо надежнее.

В "Гарда DBF" также предусмотрен механизм детектирования неявных обращений к таблицам через синонимы и представления.

Поведенческая аналитика

Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Современные средства защиты систем управления базами данных позволяют проверять, не занят ли вредоносной активностью сотрудник с легитимным доступом к данным.

В "Гарда DBF" для этого предусмотрен специальный инструмент – поведенческий анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обращений к СУБД, определяет по ним отклонения и таким образом детектирует аномальное поведение.

Кроме того, благодаря поведенческому анализу можно статистически оценивать работу пользователя и детектировать аномально большое количество запросов к СУБД или объемов выгруженных данных.

Поведенческая аналитика указывает на проблемы до того, как они оформляются в инцидент.

Блокирующие действия

В "Гарда DBF" реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не возвращается пользователю до тех пор, пока система не признает, что выдача легитимна.

Резюме: 5 типовых сценариев использования "Гарда DBF"

  1. Контроль и предотвращение массовых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД.
  2. Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (создание пользователей, смены паролей, назначение прав доступа).
  3. Выявление выгрузок по определенным критериям, например, по возрасту.
  4. Выявление и блокирование мошеннических действий с использованием привилегированного доступа.
  5. Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопасности.
  6. Выполнение требований регуляторов по 152-ФЗ и приказов ФСТЭК России для защиты КИИ.
Темы:ГардаЖурнал "Информационная безопасность" №3, 2024Защита СУБДDBF

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • В ложном слое не может быть легальных пользователей
    Екатерина Харитонова, руководитель продукта “Гарда Deception”, группа компаний “Гарда”
    Deception нередко называют последней линией обороны, однако есть и другое мнение, что это первый шаг активной защиты, отправная точка для проактивных действий в кибербезопасности. На самом деле Deception стоит рассматривать как наступательную стратегию.
  • Makves делает ставку на сервис высокого уровня
    Дмитрий Петушков, директор по развитию Makves
    Дмитрий Петушков, директор по развитию Makves (входит в группу компаний “Гарда”) рассказал о том, как выбрать эффективное ИБ-решение в условиях технологического паритета и на что стоит обратить внимание при выборе системы класса DCAP.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • Цели "Тантор Лабс" – отказоустойчивость и производительность российской СУБД
    Вадим Яценко, генеральный директор “Тантор Лабс”
    Про появление и развитие российской СУБД Tantor, о подходе к ее производительности и безопасности читателям журнала рассказал Вадим Яценко, генеральный директор “Тантор Лабс”.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...