Юрий Осипов, Газинформсервис: Самая большая угроза безопасности баз данных — человеческий фактор

Юрий Осипов, менеджер по продукту защищённая СУБД Jatoba компании Газинформсервис, рассказал порталу Cyber Media о самых распространенных ошибках в хранении и защите баз данных, преимуществах Jatoba перед другими СУБД и современных вызовах в сфере контроля утечек данных.

Cyber Media: Какие наиболее распространенные ошибки в хранении и защите баз данных вы наблюдаете на практике и как они могут угрожать безопасности компании?

Юрий Осипов: Подавляющее большинство проблем в работе любой информационной системы связано с человеческим фактором. И ошибки при настройке комплексной защиты СУБД не являются исключением:

1. Ошибки, сделанные на стадии проектирования архитектуры информационной системы с использованием СУБД. Такие ошибки исправить сложнее всего. Архитекторы систем, занимающиеся проектированием баз данных, в процессе подготовки уделяют недостаточное внимание вопросам обеспечения информационной безопасности именно СУБД. Правильным подходом для защиты критически важных данных является принцип «Разрешено то, что не запрещено». Это относится к любому взаимодействию с базой данных как потенциально враждебному.
2. Неправильная настройка самой СУБД. Часто люди из лучших побуждений совершают действия, приводящие к тому, что настройки системы безопасности нарушаются, открывая базу данных для атак.
3. Ошибки эксплуатации СУБД. При эксплуатации обязательно должны исполняться основные меры безопасности, включающие в себя установку исправлений безопасности, строгую аутентификацию, шифрование данных при передаче, а также мониторинг активности. Эти механизмы безопасности должны быть неотъемлемой частью службы базы данных и всегда должны быть включены.

Cyber Media: Какие ключевые преимущества предоставляет Jatoba в сравнении с другими СУБД с точки зрения защиты данных?

Юрий Осипов: Базы данных — одна из основных целей для злоумышленников, поскольку они представляют собой концентрированные репозитории, предназначенные для эффективного поиска, анализа и монетизации ценных данных.

В основном функционале СУБД Jatoba есть следующие критически важные возможности обеспечения информационной безопасности:

Управление пользователями и доступом. Используя графический инструмент администрирования JDS, возможно анализировать права администратора и пользователей по всему парку баз данных СУБД Jatoba, выясняя, кто и к каким объектам имеет права доступа и как данные права менялись с течением времени. Очень часто вызывает удивление количество пользователей в организациях, имеющих доступ к конфиденциальным данным, и то, сколько из них не соблюдают правила создания или ротации паролей, тем самым упрощая задачу для атаки злоумышленников.

Централизованный мониторинг активности. СУБД Jatoba централизованно собирает данные о действиях пользователей и администраторов для дальнейшего анализа и разбора инцидентов. Кроме того, имеется возможность получать оповещения в соответствии с настройками. Например, если ранее неактивная учётная запись пользователя внезапно начала подключаться к базе данных, офицер службы ИБ получит уведомление на электронную почту.

Блокировка несанкционированного SQL или применения SQL-инъекций. СУБД Jatoba включает в себя встроенный механизм SQL Firewall, который блокирует несанкционированный SQL или атаки SQL-инъекции. SQL Firewall может обнаружить подобную атаку, заблокировать ее и отправить предупреждение для расследования. SQL Firewall в базе данных нельзя обойти, и он не добавляет дорогостоящих переходов к сторонним приложениям.

Контроль доступа оператора/администратора. СУБД Jatoba имеет встроенный механизм ограничения прав оператора/администратора к защищаемым объектам баз данных. СУБД Jatoba помогает предотвратить доступ к конфиденциальным данным даже привилегированным пользователям, таким как администраторы БД, позволяя им выполнять свои обычные действия по управлению базами данных. Могут быть ограничены операции, связанные с чтением, добавлением, удалением, изменением содержимого защищаемых объектов, а также запрещено создание, удаление и изменение ролей в защищаемых объектах базы данных.

Встроенная политика управления паролями пользователей (расширенные парольные политики). В состав СУБД Jatoba входит компонент, позволяющий определить правила формирования паролей пользователей, частоту их смены, повторения ранее использовавшихся паролей. В зависимости от класса защищенности, с применением рекомендаций и практики использования в компаниях с различной политикой информационной безопасности, были созданы преднастроенные профили парольных политик для разных типов информационных систем.

Cyber Media: Какие вызовы стоят перед компаниями в борьбе за защиту информации, особенно с точки зрения контроля утечек?

В момент возникновения информационных систем появилась и угроза, исходящая от собственных сотрудников организаций: она связана с передачей информации конкурентам. Ущерб измеряется десятками миллиардов рублей. В случае инсайдерских утечек контроль доступа и защита периметра не всегда в полной мере помогают, когда злоумышленник уже находится внутри периметра компании. По итогам первого полугодия 2024 года Россия заняла лидирующую позицию в мировом рейтинге по количеству объявлений о продаже баз данных компаний на теневых форумах. Доля российских объявлений составила около 10% от общего числа, согласно отчету компании Positive Technologies, обнародованному в июле 2024 года. В пятерку лидеров также вошли США (8%), Индия (7%), Китай (6%) и Индонезия (4%). Слитые в даркнет базы содержат персональные данные из учетных записей и коммерческую тайну.

По оценкам компании F.A.C.C.T., в первом полугодии 2024 года в публичный доступ впервые было выложено 150 баз данных российских компаний. Около 30% от общего числа утечек составили базы данных компаний, специализирующихся на розничной онлайн-торговле. Общее количество строк данных пользователей в утечках с начала 2024 года достигло 200,5 млн.

Наверное, самое правильное решение для компаний в настоящее время — начать внедрять технологию нулевого доверия. Это означает, что к каждому взаимодействию между людьми и системами или между системами надо относиться так, как если бы они были потенциально скомпрометированы, а затем применять соответствующие меры безопасности для минимизации риска. Это не паранойя, а разумная предосторожность.

Cyber Media: Какую роль играет мониторинг действий пользователей баз данных в предотвращении утечек данных и какие механизмы контроля наиболее эффективны в этом процессе?

Юрий Осипов: Постоянный и максимально подробный мониторинг действий пользователей служит базой для предотвращения утечек данных. Можно выделить основные действия, которые могут свидетельствовать о попытках получения информации или подготовки к незаконному доступу к данным в СУБД:

• попытки отключения аудита;
• отключение канала шифрования передачи данных;
• изменение уровня важности сообщений аудита;
• отключение оповещения о событиях и другие.

Несомненно, все эти события, равно как и события аутентификации и авторизации, непосредственные действия пользователя в базе данных должны фиксироваться в отдельных журналах событий информационной безопасности. Доступ к ним должен быть только у сотрудников ИБ.

Cyber Media: Как вы видите развитие технологий защиты баз данных в ближайшие годы и какие лучшие практики в этой области вы бы рекомендовали внедрять уже сейчас?

На мой взгляд, наиболее активно будет развиваться направление применения искусственного интеллекта и машинного обучения для защиты баз данных. Эффективность любой системы безопасности, в том числе и системы безопасности СУБД, сводится к двум основным метрикам: как быстро может быть обнаружено нарушение и как быстро на него отреагирует система.

Искусственный интеллект — это не только чат-боты, отвечающие на любые вопросы, но и инструменты, которые трансформируют все уровни стека программного обеспечения, в том числе СУБД. Эффективно используя искусственный интеллект и машинное обучение, новые решения, обеспечивающие защиту информации на уровне СУБД, будут обращаться к таким источникам информации для управления системами, как журнальные файлы, бизнес-транзакции, конфигурации приложений, назначение ролей и прав, и другим источникам, неизвестным традиционным средствам обеспечения безопасности. Технологии искусственного интеллекта и машинного обучения помогут прослеживать связь событий и применять эвристику для выявления шаблонов, тенденций и аномалий в данных, включая обнаружение новых тревожных сигналов, добавление контекста к ним, быстрое реагирование и устранение инцидентов.

Искусственный интеллект уже сейчас способен обнаруживать отклонения от стандартных закономерностей работы с СУБД, которые могут указывать на попытку взлома.

erid: 2SDnje2dZCw

* Реклама, Рекламодатель ООО «ГАЗИНФОРМСЕРВИС», ИНН 7838017968