Александр Шанин: При эксплуатации DAM-системы нельзя руководствоваться принципом “настроил и забыл”

Недавно компания «РТК-Солар» сообщила о запуске комплексной услуги по защите баз данных на основе продукта «Гарда БД». Почему для защиты информации в СУБД недостаточно использовать штатные средства безопасности и как в решении проблемы может помочь специализированный продукт класса DAM? Александр Шанин из компании «РТК-Солар» и Дмитрий Горлянский из «Гарда Технологий» ответили нам на эти вопросы и рассказали, где уже применяется «Гарда БД», как подготовиться ко внедрению решения и какие типовые ошибки встречаются при его эксплуатации.

Всё чаще в средствах массовой информации можно увидеть новости об утечках баз данных из организаций различных отраслей. Согласно недавней статистике Роскомнадзора, с начала этого года было зафиксировано не менее 60 крупных утечек персональных данных россиян. Как вы считаете, можно ли в сегодняшних реалиях обойтись штатными механизмами безопасности для защиты СУБД?

А. Ш.: Системы управления базами данных действительно обладают широким спектром встроенных механизмов безопасности: разграничение прав доступа, аудит учётных записей, ведение журнала событий. Эти инструменты обязательно нужно использовать, однако важно учитывать, что они могут создавать повышенную нагрузку на СУБД и не позволяют обеспечить полную защиту информации в базах данных от всех актуальных киберугроз. Например, стандартные средства точно не помогут предотвратить копирование информации из базы данных. Поэтому без специализированных решений, сконфигурированных должным образом, здесь не обойтись.

Д. Г.: До недавнего времени многие компании ограничивались использованием штатных средств, фокусируясь на выполнении требований регуляторов. На практике этого оказалось недостаточно, что подтверждают участившиеся случаи утечек баз данных. Так происходит потому, что штатные средства аудита предназначены для обнаружения целенаправленных хакерских атак, а большинство утечек происходят с использованием легитимного доступа.

Ещё один принципиальный недостаток встроенных механизмов аудита заключается в том, что журнал событий хранится там же, где находится сама СУБД. Представьте, что при хищении данных условный злоумышленник ещё и удалит все логи. Едва ли в этом случае компании удастся расследовать инцидент.

Для реальной защиты информации в базах данных следует использовать специализированные системы класса Database Activity Monitoring, или DAM. Они предназначены для мониторинга запросов к СУБД путём анализа сетевого трафика и позволяют сузить периметр защиты критической информации до самой базы данных. С помощью таких решений можно контролировать доступ легитимных пользователей, администраторов, а также различных смежных систем, которые используют конфиденциальную информацию из базы данных.

Как работают решения класса DAM и в чём их принципиальное отличие от штатных средств аудита СУБД?

Д. Г.: Возьмём для примера наш продукт «Гарда БД». Взаимодействие пользователей с базой данных происходит через специальное сетевое оборудование: на нём настраивается копия трафика, которая далее направляется на анализ в DAM-систему. Такой подход даёт возможность видеть все обращения к базе данных и в то же время позволяет исключить воздействие на её работу. Последнее очень важно в сегодняшних реалиях дефицита аппаратных средств и растущего по экспоненте объёма информации, которая хранится в базах данных.

При анализе сетевого трафика система разбирает не только SQL-запросы от пользователей к базе данных, но и поступающие на них ответы, что принципиально отличает DAM-решение от штатных средств аудита СУБД. На практике часто бывает важно не столько обнаружить попытки запроса данных из базы, сколько выяснить, удалось ли пользователю получить информацию (и какую именно). Всё это можно делать на уровне контроля сетевого трафика.

В каких отраслях сегодня уже используются DAM-системы и какая функциональность таких решений наиболее востребованна с учётом актуального ландшафта угроз?

Д. Г.: Для многих компаний сегодня актуальна задача по аудиту защищённости имеющихся баз данных. Наши заказчики стремятся увидеть целостную картину того, что у них происходит с базами данных и кто к ним обращается, чтобы посмотреть и проанализировать, как в организации устроено движение критической информации. Также широко востребованно построение профилей поведения для выявления аномальной активности в действиях с базами данных. В нашем случае профилирование можно применять как на уровне технологических учётных записей, так и на уровне данных, которые запрашивают пользователи.

Если смотреть на востребованность решения в отраслевом разрезе, то на примере нашего продукта среди пользователей DAM-систем я бы в первую очередь выделил финансовый сектор — банки и страховые компании. Они работают с большим количеством конфиденциальных данных своих клиентов и стремятся обеспечивать не только соответствие требованиям регуляторов, но и практическую безопасность СУБД. Также продукт востребован в телекоммуникационной отрасли, прежде всего для защиты биллинговых систем. В последнее время высокий интерес к решению стали проявлять и промышленные предприятия. Для них важно обеспечить безопасность конфиденциальной информации, которая хранится в базах данных и используется различными автоматизированными средствами для расчёта тех или иных показателей. Также мы видим интерес к продукту со стороны крупных ретейлеров: здесь востребованны функциональные возможности решения по профилированию пользовательских запросов.

Дмитрий Горлянский

Руководитель технического сопровождения клиентов компании «Гарда Технологии»

Более 10 лет сопровождает проекты внедрения систем информационной безопасности в компаниях финансового сектора, промышленных предприятиях, телеком-операторах и государственных структурах России и СНГ.

Эксперт в области построения процессов информационной безопасности в организациях, проектирования и внедрения систем защиты персональных данных и сетевой форензики. Спикер крупнейших конференций по информационной безопасности. Ведущий вебинаров по защите конфиденциальной информации. Автор статей по информационной безопасности.

Какие злонамеренные действия можно обнаружить с помощью решения? Приведите примеры из вашей практики.

Д. Г.: Один из ярких примеров касается банковской сферы.

В стремлении обналичить деньги мошенники открывают так называемые счета-«пирамидки»: регистрируют один за другим новые лицевые счета, каждый раз перекладывая деньги на вновь созданный счёт и закрывая предыдущий.

Банки с этим борются, и на одном из внедрений продукта у нас была задача по выявлению таких «пирамидок». В качестве решения мы реализовали обнаружение лицевых счетов, которые были открыты и закрыты в течение одного дня. Для этого мы настроили в системе политики для мониторинга программно-аппаратных комплексов, обеспечивающих открытие и закрытие счетов. Далее из всех срабатываний выделили отдельные индексы — номера необходимых лицевых счетов. Последним шагом настроили автоматизированное формирование отчёта в конце каждого рабочего дня по срабатываниям заложенных нами политик с группировкой по номеру счёта. В результате на первой странице отчёта у нас всегда находились счета, которые были открыты и закрыты в один день.

Интересные кейсы применения решения есть и в нефтяной промышленности, где продукт используется для выявления различных нарушений со стороны недобросовестных сотрудников.

Например, в одном из случаев администратор базы данных заметил поступившую от специального робота информацию о незаконной врезке в нефтепровод и предложил её организаторам удалить запись за вознаграждение. В другом случае администратор пытался подменить в базе данных показания датчика температуры, которые использовались для расчёта объёма нефти в нефтехранилище.

Подобные действия служат хорошим примером аномальной активности, которую система успешно обнаруживает за счёт встроенного модуля поведенческой аналитики. При выявлении таких отклонений от нормального профиля поведения продукт сразу же уведомляет специалистов по кибербезопасности.

Все ли задачи «Гарда БД» решает из коробки? В каких случаях может понадобиться дополнительная настройка продукта?

А. Ш.: Продукт содержит большое количество шаблонов с различными настройками и политиками, доступных «из коробки». Однако в зависимости от задачи для использования решения могут потребоваться дополнительные настройки. Например, при построении профилей поведения понадобится создавать индивидуальные политики. Также важно учитывать необходимость работы над снижением количества ложноположительных срабатываний.

Д. Г.: Шаблонные настройки — это своего рода «лучшие практики», которые применимы в организациях любой отрасли, где есть задача обеспечить защиту баз данных. По мере возникновения новых кейсов мы постоянно пополняем и развиваем набор шаблонных политик. Как правило, когда появляется новый кейс, актуальный для одного банка, с большой долей вероятности он оказывается применимым для всей отрасли. То же самое касается и других отраслей. При этом хочется отметить, что по результатам накопления экспертизы мы не только привносим в продукт улучшения, но и в том числе оказываем помощь в настройке решения в сложных кейсах.

На что нужно обратить внимание для успешного внедрения и эксплуатации продукта?

А. Ш.: В первую очередь нужно разобраться с тем, что именно требуется защищать. Для этого надо понимать, как устроена внутренняя инфраструктура организации, где именно хранятся те или иные критически значимые данные и в каком виде. Важно знать, как в компании устроены бизнес-процессы, у каких сотрудников есть доступ к конфиденциальным данным.

В случаях, когда такой информации нет, мы рекомендуем начать с контроля SPAN-трафика. На первичном этапе его анализ помогает консолидировать информацию обо всех имеющихся базах данных, понять, какие из них используются наиболее часто, и приоритизировать меры по их защите. Далее можно перейти на схему анализа сетевого трафика с использованием агентского решения и точечно контролировать выявленные критически значимые базы, настраивая для них индивидуальные политики.

Для получения реальной пользы от продукта важно контролировать не только события по безопасности, выявляемые в ходе мониторинга запросов к СУБД, но и стабильность функционирования самой DAM-системы. Необходимо следить за тем, чтобы она была в исправном рабочем состоянии. Нашим заказчикам, предпочитающим передавать эксплуатацию решения на аутсорсинг, мы предоставляем услугу круглосуточного мониторинга и реагирования на функциональные инциденты. Причём это возможно как с использованием средств мониторинга на стороне заказчика, так и с подключением наших средств мониторинга. Во втором случае информация о функциональных инцидентах поступает на нашу дежурную линию, а мы обеспечиваем реагирование и устранение неисправностей.

Цикл защиты баз данных тесно связан с жизненным циклом информационных систем, которые с ними взаимодействуют.

Информация в базах данных постоянно обновляется, появляются новые формы и места её хранения. Поэтому при эксплуатации DAM-системы нельзя руководствоваться принципом «настроил и забыл». Важно следить за изменениями в используемых базах данных и за появлением новых.

Для обеспечения такого контроля мы рекомендуем проводить регулярные учения и испытания защищённости не реже, чем раз в полгода, а лучше — после каждого серьёзного изменения в инфраструктуре.

Какие типовые ошибки чаще всего встречаются при эксплуатации продукта?

А. Ш.: Самый распространённый кейс, с которым мы сталкиваемся, когда берём систему на сопровождение, — это использование дефолтных политик. Зачастую это связано с отсутствием у заказчиков полной картины состояния внутренней инфраструктуры, наличия и расположения критической информации. Причин тому может быть несколько: где-то поменялась команда специалистов по кибербезопасности, где-то отсутствуют документация и описание конфигурации используемых информационных систем. В подобных случаях вместе с заказчиками мы устраиваем мозговые штурмы, проводим аудит защищённости инфраструктуры и формируем список критических данных. Когда становится ясно, что именно нужно защищать, разрабатываем наиболее эффективные методы обеспечения безопасности информации.

Также бывают кейсы, которые требуют внесения изменений на организационном уровне и разработки организационно-распорядительной документации. В таких случаях мы подключаем коллег из смежных отделов, которые формируют соответствующие методические рекомендации.

Готовы ли вы поделиться планами по дальнейшему развитию решения?

Д. Г.: В перспективе ближайших двух-трёх лет мы планируем расширить функциональность продукта по межсетевому экранированию. Решение может работать в режиме файрвола и сегодня, однако пока его возможности ограничены блокированием доступа пользователей к различным таблицам. В наших планах — реализовать в том числе и блокирование соединений по срабатываниям различных сигнатур.

Также мы фокусируемся на расширении количества поддерживаемых баз данных и операционных систем, включая отечественные решения. «Гарда БД» уже поддерживает PostgreSQL как на уровне сетевых, так и на уровне локальных подключений, у нас есть опыт инсталляции на «РЕД ОС» и Astra Linux. В перспективе этот список будет расширяться.

Спасибо! Желаем успехов!

Реклама. Рекламодатель ООО "РТК ИБ", ОГРН 1167746458065
Pb3XmBtzt874i16wEKvJnGZpucjzd6D6aHQmQkx