Контакты
Подписка 2024

Гарда DBF: в первую очередь – защита данных

Дмитрий Горлянский, 13/08/24

Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).

Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж группы компаний “Гарда”

Опыт внедрения системы "Гарда DBF" (Database Firewall), которая защищает данные в СУБД от утечек, показывает, что при построении стратегии защиты баз данных заказчики обычно допускают ряд ошибок.

Ошибка 1. Защищать только ПДн

У большинства владельцев СУБД фокус смещен в сторону защиты персональных данных. Во многом это объясняется требованиями законодательства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая информация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п.

Именно поэтому важно понимать, какая информация в БД для каких нарушителей может представлять интерес, и применять соответствующие средства защиты.

Ошибка 2. Недостаточный аудит данных

Нередки случаи, когда отдел информационной безопасности не знает, сколько баз данных находится внутри организации. Первое сканирование "Гарда DBF" почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестировании продуктов, при работе с подрядчиками, или же их создают сами администраторы для резервного копирования.

Чтобы вовремя выявлять неконтролируемые базы, следует проводить регулярное сканирование инфраструктуры с помощью "Гарда DBF".

Ошибка 3. Производительность СУБД

Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэтому они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). "Гарда DBF" работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД.

В режиме блокировки "Гарда DBF" с использованием агента предельное снижение производительности составляет 6–7%.

ris3-Aug-13-2024-03-33-54-0820-PM

Технологии в "Гарда DBF"

Рассмотрим, какие технологии позволяют системе "Гарда DBF" создавать эффективную защиту для СУБД.

Полнота анализа

Обычно в СУБД предусмотрены средства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объектом интереса злоумышленников.

Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происходит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных.

Ключевое отличие "Гарда DBF" в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На основании контентного анализа детектировать утечки оказывается гораздо надежнее.

В "Гарда DBF" также предусмотрен механизм детектирования неявных обращений к таблицам через синонимы и представления.

Поведенческая аналитика

Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Современные средства защиты систем управления базами данных позволяют проверять, не занят ли вредоносной активностью сотрудник с легитимным доступом к данным.

В "Гарда DBF" для этого предусмотрен специальный инструмент – поведенческий анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обращений к СУБД, определяет по ним отклонения и таким образом детектирует аномальное поведение.

Кроме того, благодаря поведенческому анализу можно статистически оценивать работу пользователя и детектировать аномально большое количество запросов к СУБД или объемов выгруженных данных.

Поведенческая аналитика указывает на проблемы до того, как они оформляются в инцидент.

Блокирующие действия

В "Гарда DBF" реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не возвращается пользователю до тех пор, пока система не признает, что выдача легитимна.

Резюме: 5 типовых сценариев использования "Гарда DBF"

  1. Контроль и предотвращение массовых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД.
  2. Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (создание пользователей, смены паролей, назначение прав доступа).
  3. Выявление выгрузок по определенным критериям, например, по возрасту.
  4. Выявление и блокирование мошеннических действий с использованием привилегированного доступа.
  5. Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопасности.
  6. Выполнение требований регуляторов по 152-ФЗ и приказов ФСТЭК России для защиты КИИ.
Темы:ГардаЖурнал "Информационная безопасность" №3, 2024Защита СУБДDBF

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Цели "Тантор Лабс" – отказоустойчивость и производительность российской СУБД
    Вадим Яценко, генеральный директор “Тантор Лабс”
    Про появление и развитие российской СУБД Tantor, о подходе к ее производительности и безопасности читателям журнала рассказал Вадим Яценко, генеральный директор “Тантор Лабс”.
  • "Гарда Маскирование" для автоматического обезличивания баз данных
    Артемий Новожилов, архитектор систем информационной безопасности группы компаний “Гарда”
    Несмотря на то, что компании вкладывают значительные средства в защиту персональных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, – утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая 152-ФЗ, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний “Гарда” предоставляет необходимый инструментарий.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Актуальные инструменты защиты персональных данных в СУБД
    Раджабали Гаджиев, Руководитель группы по технической защите чувствительной информации Cross Technologies
    Проблема утечек данных является одной из наиболее острых в современном мире информационных технологий. Все чаще компании и их клиенты оказываются под угрозой в связи с возможными утечками конфиденциальной информации, что влечет за собой серьезные финансовые и репутационные риски.
  • Нашпионить угрозу: как усилить средства защиты информации с помощью Threat Intelligence
    Илья Селезнев, руководитель продукта “Гарда Threat Intelligence” компании “Гарда Технологии” (входит в группу компаний “Гарда”)
    У каждого поставщика TI своя специфика, это связано с разнообразием источников информации, методологий сбора и анализа, а также с уникальной экспертизой каждой организации. В 2022 г. [1] свой продукт Threat Intelligence представила компания “Гарда Технологии”

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...