Контакты
Подписка 2026

Гарда DBF: в первую очередь – защита данных

Дмитрий Горлянский, 13/08/24

Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).

Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж группы компаний “Гарда”

Опыт внедрения системы "Гарда DBF" (Database Firewall), которая защищает данные в СУБД от утечек, показывает, что при построении стратегии защиты баз данных заказчики обычно допускают ряд ошибок.

Ошибка 1. Защищать только ПДн

У большинства владельцев СУБД фокус смещен в сторону защиты персональных данных. Во многом это объясняется требованиями законодательства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая информация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п.

Именно поэтому важно понимать, какая информация в БД для каких нарушителей может представлять интерес, и применять соответствующие средства защиты.

Ошибка 2. Недостаточный аудит данных

Нередки случаи, когда отдел информационной безопасности не знает, сколько баз данных находится внутри организации. Первое сканирование "Гарда DBF" почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестировании продуктов, при работе с подрядчиками, или же их создают сами администраторы для резервного копирования.

Чтобы вовремя выявлять неконтролируемые базы, следует проводить регулярное сканирование инфраструктуры с помощью "Гарда DBF".

Ошибка 3. Производительность СУБД

Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэтому они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). "Гарда DBF" работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД.

В режиме блокировки "Гарда DBF" с использованием агента предельное снижение производительности составляет 6–7%.

ris3-Aug-13-2024-03-33-54-0820-PM

Технологии в "Гарда DBF"

Рассмотрим, какие технологии позволяют системе "Гарда DBF" создавать эффективную защиту для СУБД.

Полнота анализа

Обычно в СУБД предусмотрены средства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объектом интереса злоумышленников.

Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происходит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных.

Ключевое отличие "Гарда DBF" в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На основании контентного анализа детектировать утечки оказывается гораздо надежнее.

В "Гарда DBF" также предусмотрен механизм детектирования неявных обращений к таблицам через синонимы и представления.

Поведенческая аналитика

Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Современные средства защиты систем управления базами данных позволяют проверять, не занят ли вредоносной активностью сотрудник с легитимным доступом к данным.

В "Гарда DBF" для этого предусмотрен специальный инструмент – поведенческий анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обращений к СУБД, определяет по ним отклонения и таким образом детектирует аномальное поведение.

Кроме того, благодаря поведенческому анализу можно статистически оценивать работу пользователя и детектировать аномально большое количество запросов к СУБД или объемов выгруженных данных.

Поведенческая аналитика указывает на проблемы до того, как они оформляются в инцидент.

Блокирующие действия

В "Гарда DBF" реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не возвращается пользователю до тех пор, пока система не признает, что выдача легитимна.

Резюме: 5 типовых сценариев использования "Гарда DBF"

  1. Контроль и предотвращение массовых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД.
  2. Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (создание пользователей, смены паролей, назначение прав доступа).
  3. Выявление выгрузок по определенным критериям, например, по возрасту.
  4. Выявление и блокирование мошеннических действий с использованием привилегированного доступа.
  5. Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопасности.
  6. Выполнение требований регуляторов по 152-ФЗ и приказов ФСТЭК России для защиты КИИ.
Темы:ГардаЖурнал "Информационная безопасность" №3, 2024Защита СУБДDBF
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Теневые БД от забытых тестов до умышленных схем
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Теневые базы данных – это часть инфраструктуры Shadow IT, которая находится вне формального учета и контроля служб ИБ и ИТ. Среди всех видов теневых ИТ-активов ИИ-помощники и базы данных остаются наиболее уязвимыми и желанными для злоумышленников. Теневые базы данных могут быть полностью рабочими, но при этом отсутствовать в актуальной инвентаризации, модели угроз и регламенте контроля. Разбиремся, как такие базы данных появляются в ИТ-инфраструктуре компании и какие риски кибербезопасности с ними связаны.
  • Технологии NDR и Database Firewall (DBF) против тихой эксфильтрации из баз данных
    Дмитрий Ларин, руководитель продуктового направления по защите баз данных группы компаний "Гарда"
    С тихой эксфильтрацией данных из баз есть одна неприятная особенность: в большинстве реальных случаев она вообще не выглядит как эксфильтрация. Нет ни дампов, ни пиков трафика, ни экзотических SQL-конструкций. Есть обычные SELECT, знакомые учетные записи и зашифрованный трафик, который снаружи ничем не отличается от легитимного. Именно поэтому такие инциденты часто проходят мимо средств защиты.
  • 5 вопросов при выборе Anti-DDoS
    Вадим Солдатенков, руководитель направления продуктов “Гарда Anti-DDoS”, группа компаний “Гарда”
    Первая DDoS-атака всегда приходит внезапно. Каналы заполняются мусорными запросами, задержки отклика сервера растут, пользователи жалуются, мониторинг показывает критические ошибки. DDoS-атаки, к сожалению, уже не исключение, а привычный фон. Каждая волна становится сложнее: за флудом на сетевом или транспортном уровнях модели OSI скрываются целевые запросы к API и прикладным сервисам, а шифрование трафика еще сильнее усложняет задачу. Разберем пять ключевых аспектов выбора Anti-DDoS-решения, от которых зависит выживаемость и устойчивость ИТ-инфраструктуры в условиях постоянных атак.
  • Как ретейлу и маркетплейсам защитить данные своих клиентов от утечки
    Дмитрий Ларин, руководитель продуктового направления по защите баз данных группы компаний "Гарда"
    В первом полугодии 2025 г. почти половина всех утечек персональных данных в России пришлась на интернет-торговлю и ретейл ‒ 46% [1]. Роскомнадзор только за период с 2024 по 2025 гг. зафиксировал 22 случая утечек из сервисов онлайн-торговли. Базы клиентов, история заказов, контакты, данные о доставке и оплате ‒ все это выло выложено на теневых форумах. Компании, допустившие утечки, не только понесли репутационные потери, но и были оштрафованы на общую сумму свыше 900 тыс. руб. [2]. Для отрасли это не единичные истории ‒ утечка перестала быть чем-то из новостей про других. Она напрямую влияет на продажи, лояльность клиентов и доверие к бренду.
  • NDR + NAC: практическая стратегия сетевого реагирования
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    Скорость развития современных сетевых атак такова, что системы защиты не успевают адекватно реагировать. При этом им не только важно быстрее “стрелять”, но и точнее ”прицеливаться”, иначе можно парализовать работу всей инфраструктуры. Как совместить скорость и точность, чтобы защитить инфраструктуру, а не навредить ей? Все больше специалистов находят ответ в тандеме NDR и NAC, и давайте разберемся, почему.
  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...