Гарда DBF: в первую очередь – защита данных

У большинства владельцев СУБД фокус смещен в сторону защиты персональных данных. Во многом это объясняется требованиями законодательства. Но в последние годы категории утекающих данных стали разнообразнее. В СУБД находится много чувствительных сведений, например, техническая информация об объектах инфраструктуры (включая КИИ), используемых средствах защиты, IP-адресах, логи АСУ ТП и систем безопасности и т.п.

Именно поэтому важно понимать, какая информация в БД для каких нарушителей может представлять интерес, и применять соответствующие средства защиты.

Нередки случаи, когда отдел информационной безопасности не знает, сколько баз данных находится внутри организации. Первое сканирование «Гарда DBF» почти всегда выявляет теневые базы, к которым не применяются никакие СЗИ. Теневые базы могут возникать по разным причинам: например, во время тестировании продуктов, при работе с подрядчиками, или же их создают сами администраторы для резервного копирования.

Чтобы вовремя выявлять неконтролируемые базы, следует проводить регулярное сканирование инфраструктуры с помощью «Гарда DBF».

Часто владельцам важно не создавать дополнительной нагрузки на СУБД, поэтому они не хотят интегрировать средства защиты с базами данных. Это актуально для высоконагруженных баз данных, и малейшее замедление работы может привести к негативным последствиям (например, в ФНС). «Гарда DBF» работает в режиме мониторинга копии трафика, и такой вариант использования никак не влияет на производительность СУБД.

В режиме блокировки «Гарда DBF» с использованием агента предельное снижение производительности составляет 6–7%.

Рассмотрим, какие технологии позволяют системе «Гарда DBF» создавать эффективную защиту для СУБД.

Полнота анализа

Обычно в СУБД предусмотрены средства штатного аудита, но настраивают их, как правило, администраторы БД, а логи хранят там же, где и сама база данных. И то, и другое становится объектом интереса злоумышленников.

Главная слабость штатного аудита заключается в том, что он анализирует только поступающие к БД запросы. Но чтобы по запросам понять, что происходит и квалифицировать активность, как подозрительную, надо детально знать структуру базы данных.

Ключевое отличие «Гарда DBF» в том, что, помимо парсинга запросов, система анализирует контент и контекст ответов на эти запросы. Если происходит утечка информации, ее можно детектировать не по подозрительному запросу к таблице, а по потоку данных ответа, который, например, содержит записи о кредитных картах или о номерах телефона. На основании контентного анализа детектировать утечки оказывается гораздо надежнее.

В «Гарда DBF» также предусмотрен механизм детектирования неявных обращений к таблицам через синонимы и представления.

Поведенческая аналитика

Большой проблемой детектирования инцидентов становятся многочисленные сотрудники с легитимным доступом к защищаемой информации. Поэтому довольно сложно отличить зловредные действия от штатной работы. Современные средства защиты систем управления базами данных позволяют проверять, не занят ли вредоносной активностью сотрудник с легитимным доступом к данным.

В «Гарда DBF» для этого предусмотрен специальный инструмент – поведенческий анализ. Он профилирует работу с данными пользователей СУБД. То есть система выявляет параметры обращений к СУБД, определяет по ним отклонения и таким образом детектирует аномальное поведение.

Кроме того, благодаря поведенческому анализу можно статистически оценивать работу пользователя и детектировать аномально большое количество запросов к СУБД или объемов выгруженных данных.

Поведенческая аналитика указывает на проблемы до того, как они оформляются в инцидент.

Блокирующие действия

В «Гарда DBF» реализован функционал активной защиты баз данных, включая синхронные блокировки по результатам срабатывания политик безопасности, в том числе с учетом контентного анализа. Запрос блокируется, а результат не возвращается пользователю до тех пор, пока система не признает, что выдача легитимна.

• Контроль и предотвращение массовых утечек критичной информации, при которой происходит выгрузка большого объема информации из СУБД.
• Аудит критических операций в СУБД, представляющих возможные косвенные признаки инцидента (создание пользователей, смены паролей, назначение прав доступа).
• Выявление выгрузок по определенным критериям, например, по возрасту.
• Выявление и блокирование мошеннических действий с использованием привилегированного доступа.
• Безопасность СУБД как сервиса: контроль и блокирование SQL-запросов, которые изменяют параметры безопасности.
• Выполнение требований регуляторов по 152-ФЗ и приказов ФСТЭК России для защиты КИИ.