Юрий Осипов, менеджер по продукту защищённая СУБД Jatoba компании Газинформсервис, рассказал порталу Cyber Media о самых распространенных ошибках в хранении и защите баз данных, преимуществах Jatoba перед другими СУБД и современных вызовах в сфере контроля утечек данных.
Cyber Media: Какие наиболее распространенные ошибки в хранении и защите баз данных вы наблюдаете на практике и как они могут угрожать безопасности компании?
Юрий Осипов: Подавляющее большинство проблем в работе любой информационной системы связано с человеческим фактором. И ошибки при настройке комплексной защиты СУБД не являются исключением:
Cyber Media: Какие ключевые преимущества предоставляет Jatoba в сравнении с другими СУБД с точки зрения защиты данных?
Юрий Осипов: Базы данных — одна из основных целей для злоумышленников, поскольку они представляют собой концентрированные репозитории, предназначенные для эффективного поиска, анализа и монетизации ценных данных.
В основном функционале СУБД Jatoba есть следующие критически важные возможности обеспечения информационной безопасности:
Управление пользователями и доступом. Используя графический инструмент администрирования JDS, возможно анализировать права администратора и пользователей по всему парку баз данных СУБД Jatoba, выясняя, кто и к каким объектам имеет права доступа и как данные права менялись с течением времени. Очень часто вызывает удивление количество пользователей в организациях, имеющих доступ к конфиденциальным данным, и то, сколько из них не соблюдают правила создания или ротации паролей, тем самым упрощая задачу для атаки злоумышленников.
Централизованный мониторинг активности. СУБД Jatoba централизованно собирает данные о действиях пользователей и администраторов для дальнейшего анализа и разбора инцидентов. Кроме того, имеется возможность получать оповещения в соответствии с настройками. Например, если ранее неактивная учётная запись пользователя внезапно начала подключаться к базе данных, офицер службы ИБ получит уведомление на электронную почту.
Блокировка несанкционированного SQL или применения SQL-инъекций. СУБД Jatoba включает в себя встроенный механизм SQL Firewall, который блокирует несанкционированный SQL или атаки SQL-инъекции. SQL Firewall может обнаружить подобную атаку, заблокировать ее и отправить предупреждение для расследования. SQL Firewall в базе данных нельзя обойти, и он не добавляет дорогостоящих переходов к сторонним приложениям.
Контроль доступа оператора/администратора. СУБД Jatoba имеет встроенный механизм ограничения прав оператора/администратора к защищаемым объектам баз данных. СУБД Jatoba помогает предотвратить доступ к конфиденциальным данным даже привилегированным пользователям, таким как администраторы БД, позволяя им выполнять свои обычные действия по управлению базами данных. Могут быть ограничены операции, связанные с чтением, добавлением, удалением, изменением содержимого защищаемых объектов, а также запрещено создание, удаление и изменение ролей в защищаемых объектах базы данных.
Встроенная политика управления паролями пользователей (расширенные парольные политики). В состав СУБД Jatoba входит компонент, позволяющий определить правила формирования паролей пользователей, частоту их смены, повторения ранее использовавшихся паролей. В зависимости от класса защищенности, с применением рекомендаций и практики использования в компаниях с различной политикой информационной безопасности, были созданы преднастроенные профили парольных политик для разных типов информационных систем.
Cyber Media: Какие вызовы стоят перед компаниями в борьбе за защиту информации, особенно с точки зрения контроля утечек?
В момент возникновения информационных систем появилась и угроза, исходящая от собственных сотрудников организаций: она связана с передачей информации конкурентам. Ущерб измеряется десятками миллиардов рублей. В случае инсайдерских утечек контроль доступа и защита периметра не всегда в полной мере помогают, когда злоумышленник уже находится внутри периметра компании. По итогам первого полугодия 2024 года Россия заняла лидирующую позицию в мировом рейтинге по количеству объявлений о продаже баз данных компаний на теневых форумах. Доля российских объявлений составила около 10% от общего числа, согласно отчету компании Positive Technologies, обнародованному в июле 2024 года. В пятерку лидеров также вошли США (8%), Индия (7%), Китай (6%) и Индонезия (4%). Слитые в даркнет базы содержат персональные данные из учетных записей и коммерческую тайну.
По оценкам компании F.A.C.C.T., в первом полугодии 2024 года в публичный доступ впервые было выложено 150 баз данных российских компаний. Около 30% от общего числа утечек составили базы данных компаний, специализирующихся на розничной онлайн-торговле. Общее количество строк данных пользователей в утечках с начала 2024 года достигло 200,5 млн.
Наверное, самое правильное решение для компаний в настоящее время — начать внедрять технологию нулевого доверия. Это означает, что к каждому взаимодействию между людьми и системами или между системами надо относиться так, как если бы они были потенциально скомпрометированы, а затем применять соответствующие меры безопасности для минимизации риска. Это не паранойя, а разумная предосторожность.
Cyber Media: Какую роль играет мониторинг действий пользователей баз данных в предотвращении утечек данных и какие механизмы контроля наиболее эффективны в этом процессе?
Юрий Осипов: Постоянный и максимально подробный мониторинг действий пользователей служит базой для предотвращения утечек данных. Можно выделить основные действия, которые могут свидетельствовать о попытках получения информации или подготовки к незаконному доступу к данным в СУБД:
Несомненно, все эти события, равно как и события аутентификации и авторизации, непосредственные действия пользователя в базе данных должны фиксироваться в отдельных журналах событий информационной безопасности. Доступ к ним должен быть только у сотрудников ИБ.
Cyber Media: Как вы видите развитие технологий защиты баз данных в ближайшие годы и какие лучшие практики в этой области вы бы рекомендовали внедрять уже сейчас?
На мой взгляд, наиболее активно будет развиваться направление применения искусственного интеллекта и машинного обучения для защиты баз данных. Эффективность любой системы безопасности, в том числе и системы безопасности СУБД, сводится к двум основным метрикам: как быстро может быть обнаружено нарушение и как быстро на него отреагирует система.
Искусственный интеллект — это не только чат-боты, отвечающие на любые вопросы, но и инструменты, которые трансформируют все уровни стека программного обеспечения, в том числе СУБД. Эффективно используя искусственный интеллект и машинное обучение, новые решения, обеспечивающие защиту информации на уровне СУБД, будут обращаться к таким источникам информации для управления системами, как журнальные файлы, бизнес-транзакции, конфигурации приложений, назначение ролей и прав, и другим источникам, неизвестным традиционным средствам обеспечения безопасности. Технологии искусственного интеллекта и машинного обучения помогут прослеживать связь событий и применять эвристику для выявления шаблонов, тенденций и аномалий в данных, включая обнаружение новых тревожных сигналов, добавление контекста к ним, быстрое реагирование и устранение инцидентов.
Искусственный интеллект уже сейчас способен обнаруживать отклонения от стандартных закономерностей работы с СУБД, которые могут указывать на попытку взлома.
erid: 2SDnje2dZCw
* Реклама, Рекламодатель ООО «ГАЗИНФОРМСЕРВИС», ИНН 7838017968
Руководитель L1 SOC UserGate Иван Костыря — один из докладчиков первого дня SOC Forum, где он рассказывает о том, как построить команду в SOC при дефиците кадров.
Ирина Левова — директор по стратегическим проектам Ассоциации больших данных (АБД).
Современные киберугрозы и хакерские атаки всё чаще направлены не на кражу данных, а на их полное уничтожение.
Отечественная отрасль микроэлектроники переживает подъем – уже сейчас доля отечественных производителей составляет более 25%, а к 2030 году они могут занять почти половину рынка.
Максим Казенков — DevOps-специалист по информационной безопасности VK.
Цифровизация и внедрение ИИ заставляют нефтегазовые компании выходить за рамки формальной отчетности по безопасности.
Инфраструктурный ресерч в России выходит на новый уровень.
В условиях стремительной цифровизации и обострения геополитической обстановки вопрос кибербезопасности перестал быть узкоспециализированной темой – он стал вопросом национальной безопасности России.
В интервью для Cyber Media Евгений рассказал о современных трендах в резервном копировании, новых киберугрозах для систем хранения данных, типичных ошибках компаний при организации защиты резервных копий и о том, как правильно строить стратегию сохранения данных с учетом принципов информационной безопасности.
Победитель премии «Киберпросвет–2025» в номинации «Киберволонтер года» Артем Гулюк — действующий сотрудник управления по противодействию киберпреступности УВД Брестского облисполкома Республики Беларусь.
