Журнал "Information Security/ Информационная безопасность" #3, 2024

Опыт внедрения системы "Гарда DBF" (Database Firewall), которая защищает данные в СУБД от утечек, показывает, что при построении стратегии защиты баз данных заказчики обычно допускают ряд ошибок. Ошибка 1. Защищать только ПДн У большинства владельцев СУБД фокус смещен в сторону защиты персо- нальных данных. Во многом это объ- ясняется требованиями законодатель- ства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая инфор- мация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п. Именно поэтому важно понимать, какая информация в БД для каких нару- шителей может представлять интерес, и применять соответствующие средства защиты. Ошибка 2. Недостаточный аудит данных Нередки случаи, когда отдел инфор- мационной безопасности не знает, сколь- ко баз данных находится внутри органи- зации. Первое сканирование "Гарда DBF" почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестиро- вании продуктов, при работе с подрядчи- ками, или же их создают сами админи- страторы для резервного копирования. Чтобы вовремя выявлять неконтроли- руемые базы, следует проводить регу- лярное сканирование инфраструктуры с помощью "Гарда DBF". Ошибка 3. Производительность СУБД Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэто- му они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). "Гарда DBF" работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД. В режиме блокировки "Гарда DBF" с использованием агента предельное снижение производительности состав- ляет 6–7%. Технологии в "Гарда DBF" Рассмотрим, какие технологии позво- ляют системе "Гарда DBF" создавать эффективную защиту для СУБД. / Уровень 2 / Полнота анализа Обычно в СУБД предусмотрены сред- ства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объ- ектом интереса злоумышленников. Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происхо- дит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных. Ключевое отличие "Гарда DBF" в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На осно- вании контентного анализа детектировать утечки оказывается гораздо надежнее. В "Гарда DBF" также предусмотрен механизм детектирования неявных обра- щений к таблицам через синонимы и представления. Поведенческая аналитика Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Совре- менные средства защиты систем управ- ления базами данных позволяют прове- рять, не занят ли вредоносной актив- ностью сотрудник с легитимным досту- пом к данным. В "Гарда DBF" для этого предусмотрен специальный инструмент – поведенче- ский анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обра- щений к СУБД, определяет по ним откло- нения и таким образом детектирует ано- мальное поведение. Кроме того, благодаря поведенческо- му анализу можно статистически оцени- вать работу пользователя и детектиро- вать аномально большое количество запросов к СУБД или объемов выгру- женных данных. Поведенческая аналитика указывает на проблемы до того, как они оформ- ляются в инцидент. Блокирующие действия В "Гарда DBF" реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не воз- вращается пользователю до тех пор, пока система не признает, что выдача легитимна. Резюме: 5 типовых сценариев использования "Гарда DBF" 1. Контроль и предотвращение мас- совых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД. 2. Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (созда- ние пользователей, смены паролей, назначение прав доступа). 3. Выявление выгрузок по определен- ным критериям, например, по возрасту. 4. Выявление и блокирование мошен- нических действий с использованием привилегированного доступа. 5. Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопас- ности. 6. Выполнение требований регулято- ров по 152-ФЗ и приказов ФСТЭК Рос- сии для защиты КИИ. l 16 • СПЕЦПРОЕКТ Гарда DBF: в первую очередь – защита данных грозы для СУБД исходят не только от внешних, но и от внутренних злоумышленников. Ими могут быть как привилегированные пользователи (администраторы СУБД, подряд- чики, разработчики), так и обычные сотрудники, которые в силу должностных обязанно- стей имеют доступ к чувствительным данным в СУБД (менеджеры по работе с клиента- ми, колл-центр, техподдержка, ИТ и пр.). У Дмитрий Горлянский, руководитель направления технического сопровождения продаж группы компаний “Гарда” На правах рекламы