Group IB

Базы данных и их защита с помощью решений класса DAM

Базы данных и их защита с помощью решений класса DAM
Базы данных и их защита с помощью решений класса DAM
16.11.2022

2022-й год оказался богат на массовые утечки персональных данных: Яндекс.Еда, Delivery Club, Гемотест, Туту.Ру и другие крупные компании оказались жертвами атак. К утрате конфиденциальной информации привели 55% случаев киберинцидентов, нацеленных на частных лиц, говорится в отчете Positive Technologies. Примечательным трендом является тот факт, что довольно большое число баз данных размещено на теневом рынке бесплатно, т.е. целью злоумышленников стало причинение ущерба компаниям без получения личной материальной выгоды.

Государственные органы усилили внимание к этому типу инцидентов. Например, известно, что Минцифры подало на рассмотрение в Государственную Думу законопроект, в соответствии с которым компании будут «награждаться» штрафом от 1% до 3% от годового оборота за массовые утечки персональных данных. Значительно возросшее количество инцидентов по компрометации баз данных выводит вопросы их защиты на передний план.

Что же становится причинами утечек баз данных? Зачастую это не единичный «недосмотр», а целый комплекс причин. К основным можно отнести неограниченные привилегии сотрудников, внедрение SQL-кода, эксплуатацию уязвимостей систем управления базами данных (СУБД) и т.д. В связи с разнообразием способов компрометации баз данных решение задач по их защите носит комплексный характер. В идеальном случае оно включает в себя управление правами доступа пользователей, статическое и динамическое маскирование баз данных, блокировку вредоносных веб-запросов и ряд других методик. Одним из ключевых способов, позволяющих снизить риски компрометации баз данных, является применение специализированных решений класса Database Access Management (DAM) и Database Firewall (DBF), которые позволяют бороться с несанкционированным доступом к СУБД, фиксировать попытки повышения привилегий, сканировать СУБД на наличие уязвимостей и т.д.

Основными задачами DAM/DBF-решений являются сканирование баз на наличие уязвимостей, обнаружение конфиденциальных данных, отслеживание и пресечение неавторизованных или нетипичных запросов и команд, выявление и пресечение подозрительной активности пользователей. Работают решения этого класса в нескольких режимах:

  • первый – зеркалирование трафика, когда копия трафика направляется в DAM-систему;
  • второй – с помощью агентов, которые устанавливаются на сервер СУБД, благодаря чему можно контролировать локальные и сетевые подключения к базам данных, а также «в разрыв» между пользователями и сервером СУБД;
  • третий даёт возможность пресекать подозрительные действия в соответствии с настройками политик безопасности. При обнаружении, например, копирования баз данных, удаления и т.д. в службу информационной безопасности мгновенно отправляется оповещение, а сама операция блокируется.

Каким же образом работает DAM-решение? Начинается всё со сканирования сети на наличие баз конфиденциальной информации, в первую очередь, персональных данных. К слову, если нелояльный сотрудник скопирует к себе на виртуальную машину базу персональных данных с целью последующего сбыта на теневом рынке, отследить это можно будет именно с помощью DAM-решения, которое регулярно проверяет сеть на наличие баз данных.

Далее с помощью технологий машинного обучения и поведенческого анализа DAM-решение определяет профили пользователей и фиксирует значимые отклонения в трафике. Здесь могут использоваться различные триггеры, такие как геолокация, существенные отклонения в объеме трафика при обращении к базам данных и другие.

Сетевой экран с функцией машинного обучения блокирует нежелательные действия с базами данных, которые идут вразрез с политиками ИБ, благодаря поведенческому анализу на основе анализа названий таблиц и полей, а также геолокации строятся профили пользователей, а на основе анализа количества запросов, аномально больших выгрузок и других параметров фиксируются отклонения от типичного для профиля поведения. Также важной функцией DAM-решений является возможность ретроспективного анализа благодаря хранению всех обращений пользователей к базам данных, что является важным элементом при проведении расследований инцидентов, связанных с базами данных.

Наряду с анализом обращений важно использовать и другие превентивные меры защиты, к которым, в первую очередь, относятся решения, позволяющие шифровать все или определенные поля в базах данных, а также продукты, осуществляющие маскирование баз данных. Говоря о последних, выделяют два вида маскирования: статическое и динамическое. Оба этих метода направлены, в первую очередь, на защиту от легитимных пользователей, к которым можно отнести сотрудников организаций и разработчиков из подрядных организаций. Статическое маскирование позволяет создать копию базы, реальные данные которой заменены на синтетические, а динамическое маскирование даёт возможность в зависимости от уровня доступа и роли сотрудника скрывать ту информацию, доступ к которой у конкретной роли запрещён.

Среди способов применения DAM-решений – отслеживание создания администраторами копий баз данных клиентов, помощь в расследовании инцидентов утечки персональных данных клиентов и ряд других кейсов.

А можно ли сэкономить? Поможет интегратор

Среди наиболее часто возникающих вопросов фигурируют следующие: как снизить стоимость владения, в каких случаях имеет смысл внедрять DAM «в разрыв», с какими ИБ-решениями интегрируются современные DAM-системы и каким образом они встраиваются в процесс менеджмента инцидентов. Ответим по порядку.

Чаще всего стоимость владения DAM-системой возрастает из-за наличия постороннего трафика в SPAN. Мы советуем выделять СУБД в отдельный физический сегмент, чтобы иметь возможность зеркалирования только трафика СУБД. Еще один эффективный способ – закрыть контуры тестовых сегментов системой статического маскирования, таким образом утечки из этих сегментов не будут критичны. Помимо непосредственных тактических шагов следует помнить, что помощь внешнего подрядчика также может снизить стоимость владения системой. Экспертиза и опыт интегратора позволяют предложить клиентам наиболее оптимальные и нетребовательные к ресурсам способы решения типовых задач.

DAM-системы позволяют определять слабые места механизмов аутентификации. Установка решения «в разрыв» между пользователями и сервером СУБД позволяет отслеживать обращения к базам данных в реальном времени, снижая риски несанкционированного доступа, снимая необходимость контроля активностей пользователей с разными правами. У решения есть и минусы. Среди них снижение скорости обработки запросов к базам данных, а также необходимость дополнительного резервирования. Чтобы свести риски к минимуму, установку «в разрыв» требуется выполнять под контролем высококвалифицированных специалистов – у эксперта, настраивающего блокировки, должно быть глубокое понимание функций БД и их связи с бизнес-процессами.

Интеграция DAM-решений с любыми SIEM (Security Information and Event Management) и LDAP (Lightweight Directory Access Protocol) расширяет возможности анализа событий. Для оптимизации у DAM-системы должны быть предустановленные политики, рекомендуемые для экспорта в SIEM, и возможность передавать отчеты в информационные системы в формате CSV. Например, перечисленными функциями обладает, но не ограничивается, российская система «Гарда Аналитика».

Надо понимать, что внедрение DAM не сводится лишь к развертыванию и настройке. Процесс подразумевает и консалтинг, и использование других инструментов обеспечения безопасности. По сути, речь идет о трансформации или создании целой стратегии защиты информации в компании.

Обратимся к практике

Крупный банк обнаружил утечку персональных данных. Все каналы выгрузки, по мнению службы информационной безопасности банка, были под контролем, но количество утечек росло. С помощью технологии DAM-системы компании «Гарда Технологии» было установлено, что происходит обращение к определенным полям базы данных, которые дают возможность выяснить информацию о клиенте из автоматизированной банковской системы. На основе аналитики DAM-системы удалось выявить несколько новых способов получения информации из базы данных, которые не контролировались ранее средствами защиты, и установлены сотрудники, распространявшие данные клиентов.

После жалоб клиентов на утечку персональных данных с помощью DAM-решения было запущено сканирование, которое выявило факт появления в корпоративной сети новой теневой базы данных, в которую небольшими порциями передавались данные клиентов. Сотрудник, виновный в создании нелегитимной копии базы данных, был привлечён к ответственности.

Решения класса DAM позволяют бороться не только с инцидентами информационной безопасности. Существуют определенные сценарии использования данных продуктов, позволяющих предотвратить потери бизнеса из-за злоупотребления полномочиями. Например, известны случаи, когда с помощью DAM-решения были установлены виновники разглашения информации о заработных платах. Ими оказались внутренние сотрудники, имевшие доступ к истории операций по картам банка.

База данных компании является одним из ключевых активов бизнеса и требует непрерывной защиты, тем более в условиях кратного увеличения числа кибератак. Собственник бизнеса нередко задает ИБ-специалисту вопрос: зачем тратить средства на приобретение решений по анализу доступа к базам данных, не будет ли достаточно штатных систем? Аргументов за специализированные решения несколько. Во-первых, использование встроенных средств существенно (до 40%) снижает производительность СУБД. Во-вторых, отсутствует контроль привилегированных пользователей. Наконец, в-третьих, отсутствуют способы реагирования на инциденты. И самый главный – цена утраты клиентских данных возрастает. Оптимизировать затраты на новый инструмент можно с помощью привлеченных специалистов, представителей вендоров и интеграторов. А обнаружить и предотвратить угрозы значительно дешевле, чем восстанавливать отток клиентов и оплачивать штрафы.

Автор: Яков Гродзенский, руководитель направления информационной безопасности CTI


Комментарии 0