Угрозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подрядчики, разработчики), так и обычные сотрудники, которые в силу должностных обязанностей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиентами, колл-центр, техподдержка, ИТ и пр.).
Автор: Дмитрий Горлянский, руководитель направления технического сопровождения продаж группы компаний “Гарда”
Опыт внедрения системы "Гарда DBF" (Database Firewall), которая защищает данные в СУБД от утечек, показывает, что при построении стратегии защиты баз данных заказчики обычно допускают ряд ошибок.
Ошибка 1. Защищать только ПДн
У большинства владельцев СУБД фокус смещен в сторону защиты персональных данных. Во многом это объясняется требованиями законодательства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая информация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п.
Именно поэтому важно понимать, какая информация в БД для каких нарушителей может представлять интерес, и применять соответствующие средства защиты.
Ошибка 2. Недостаточный аудит данных
Нередки случаи, когда отдел информационной безопасности не знает, сколько баз данных находится внутри организации. Первое сканирование "Гарда DBF" почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестировании продуктов, при работе с подрядчиками, или же их создают сами администраторы для резервного копирования.
Чтобы вовремя выявлять неконтролируемые базы, следует проводить регулярное сканирование инфраструктуры с помощью "Гарда DBF".
Ошибка 3. Производительность СУБД
Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэтому они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). "Гарда DBF" работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД.
В режиме блокировки "Гарда DBF" с использованием агента предельное снижение производительности составляет 6–7%.
Технологии в "Гарда DBF"
Рассмотрим, какие технологии позволяют системе "Гарда DBF" создавать эффективную защиту для СУБД.
Полнота анализа
Обычно в СУБД предусмотрены средства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объектом интереса злоумышленников.
Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происходит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных.
Ключевое отличие "Гарда DBF" в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На основании контентного анализа детектировать утечки оказывается гораздо надежнее.
В "Гарда DBF" также предусмотрен механизм детектирования неявных обращений к таблицам через синонимы и представления.
Поведенческая аналитика
Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Современные средства защиты систем управления базами данных позволяют проверять, не занят ли вредоносной активностью сотрудник с легитимным доступом к данным.
В "Гарда DBF" для этого предусмотрен специальный инструмент – поведенческий анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обращений к СУБД, определяет по ним отклонения и таким образом детектирует аномальное поведение.
Кроме того, благодаря поведенческому анализу можно статистически оценивать работу пользователя и детектировать аномально большое количество запросов к СУБД или объемов выгруженных данных.
Поведенческая аналитика указывает на проблемы до того, как они оформляются в инцидент.
Блокирующие действия
В "Гарда DBF" реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не возвращается пользователю до тех пор, пока система не признает, что выдача легитимна.
Резюме: 5 типовых сценариев использования "Гарда DBF"
- Контроль и предотвращение массовых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД.
- Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (создание пользователей, смены паролей, назначение прав доступа).
- Выявление выгрузок по определенным критериям, например, по возрасту.
- Выявление и блокирование мошеннических действий с использованием привилегированного доступа.
- Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопасности.
- Выполнение требований регуляторов по 152-ФЗ и приказов ФСТЭК России для защиты КИИ.