Журнал "Information Security/ Информационная безопасность" #1, 2026

Откуда берется тихая утечка? Один из самых распространенных сце- нариев – компрометация приложения. Веб-приложение взламывают, но дальше злоумышленник не идет напрямую в базу под левым пользователем. Он исполь- зует тот же самый пул соединений, кото- рый приложение использует годами. Для базы данных это абсолютно леги- тимный доступ: знакомая учетка, знако- мый источник, корректные запросы. Нет никакого вторжения в привычном смыс- ле. Меняется только цель этих запросов, но сама БД этого не знает. Второй частый вариант – компрометация учетной записи разработчика, администра- тора или сервисного пользователя. Дальше начинается аккуратная работа с данными – без спешки, без массовых выгрузок, с оглядкой на привычное поведение. Есть, конечно, сценарии, где участвует внутренний пользователь, но и здесь все не так прямолинейно. Речь не о чело- веке, который за вечер скачивает дамп и уходит с флешкой. Чаще это посте- пенная выгрузка – месяцами, неболь- шими объемами, в неудобное для детек- та время. Иногда это делается осознан- но, иногда – под видом служебной необходимости или автоматизации. Наконец, отдельная категория – тех- нические и полуавтоматические сцена- рии. Скрипты, интеграции, копии для аналитики, временные выгрузки, которые перестали быть временными. Они могут работать годами, постепенно расширяя объем данных, которые оказываются за пределами исходного контура. Формаль- но здесь вообще нет нарушителя – есть плохо контролируемый процесс, который со временем начинает напоминать утечку по всем последствиям. Одиночные СЗИ не справляются Проблема тихой эксфильтрации ста- новится особенно заметной, когда смот- ришь на нее через призму отдельных классов средств защиты. Каждый из них по-своему прав, но видит только часть картины – и именно на этом раз- рыве атака и держится. Сетевые средства, включая NDR, хорошо чувствуют инфраструктуру. Они видят маршруты, источники, направле- ния трафика, умеют замечать сканиро- вание, вторжения, нетипичные соеди- нения. Но когда речь заходит о работе приложений с базами данных, этот инструментарий быстро упирается в свой потолок. NDR позволяет детекти- ровать тихую эксфильтрацию, но при работе с базами данных требуется глу- бокая аналитика для повышения точ- ности анализа и снижения ложных сра- батываний, поэтому эту задачу решает DBF. Средства защиты баз данныхпре- красно понимают, что происходит внут- ри СУБД. Они видят SQL-операции, знают, какие таблицы читают, кто и с какими правами это делает. Но они не отвечают на ключевой вопрос: что про- исходит с данными после того, как они покинули базу. Для DBF выгрузка закончилась в момент выполнения запроса. SIEM в этой схеме часто оказывается не спасением, а даже усилителем про- блемы. Отдельные факты – доступ к чувствительной таблице, нетипичный сетевой поток, активность с конкретного IP – по отдельности не выглядят инци- дентом. А без заранее выстроенной логики корреляции они и не склады- ваются в историю. В результате каждый инструмент дела- ет ровно то, для чего он был создан, но эксфильтрация происходит между ними. Связка технологий NDR и DBF Идея связать сетевую аналитику и контроль операций в базах данных на первый взгляд кажется неочевидной, но именно она дает возможность увидеть тихую эксфильтрацию. Самый простой сценарий начинается со стороны сети. NDR фиксирует подо- зрительную активность в виде списка IP-адресов: источник, который ведет себя нетипично, хост с признаками ком- прометации или тихой эксфильтрации, соединения, не укладывающиеся в про- филь нормального поведения (baseline). Сам по себе этот сигнал еще не говорит об утечке данных. Но информация о таких источниках передается в систему DBF, и контекст резко меняется. SQL- запросы, которые выглядели вполне легитимными, начинают рассматривать- ся иначе, потому что они приходят от сетевого источника, уже помеченного c помощью NDR как подозрительный. Проект с такой интеграцией был успешно реализован на основе решений "Гарда NDR" 1 и "Гарда DBF" 2 в 2025 г. 56 • ТЕХНОЛОГИИ Технологии NDR и Database Firewall (DBF) против тихой эксфильтрации из баз данных тихой эксфильтрацией данных из баз есть одна неприятная особенность: в большинстве реальных случаев она вообще не выглядит как эксфильтрация. Нет ни дампов, ни пиков тра- фика, ни экзотических SQL-конструкций. Есть обычные SELECT, знакомые учетные записи и зашифрованный тра- фик, который снаружи ничем не отличается от легитимного. Именно поэтому такие инциденты часто проходят мимо средств защиты. С Дмитрий Ларин, руководитель продуктового направления по защите баз данных компании “Гарда” "Гарда NDR" – решение для защиты от сложных и неизвестных киберугроз на основе анализа сетевого трафика и телеметрии с возможностью активного реа- гирования на инциденты. "Гарда DBF" – система комплексной защиты данных в СУБД и бизнес-приложе- ниях. Осуществляет независимый контроль операций и реагирует на угрозы в режиме реального времени. Позволяет контролировать действия привилегиро- ванных пользователей, обнаруживать факты сокрытия следов несанкциониро- ванной активности. Фото: Компания "Гарда" 1 https://garda.ai/products/network-security/ndr 2 https://garda.ai/products/data-protection/dbf