Компания Aladdin представила новое решение SafeData для защиты баз данных Oracle

Компания Aladdin представила уникальный комплекс решений SafeData, предназначенный для повышения уровня информационной безопасности СУБД Oracle, обеспечиваемого штатными средствами, в соответствии с требованиями российского законодательства, международных стандартов и внутренних политик ИБ различных структур.

Комплекс решений SafeData, объединяющий весь спектр технологий Aladdin на основе eToken для применения их в СУБД Oracle, включает основные аспекты обеспечения безопасности баз данных. В концепции Aladdin к ним, в первую очередь, относится безопасная и надежная аутентификация, предполагающая разграничение доступа. Все пользователи, включая администратора, прошедшие процедуры идентификации и аутентификации, имеют доступ только к необходимой им информации, в строгом соответствии с занимаемой должностью.

Вторым важным аспектом является защита данных криптографическими методами, причем шифровать необходимо как передаваемые в сети данные, так и данные, записываемые на съёмный носитель. Аудит доступа к данным — третья составляющая концепции Aladdin, согласно которой действия с данными должны протоколироваться, при этом к протоколу не должны иметь доступ пользователи, на машинах которых ведется аудит.

Основным отличием комплекса решений SafeData является строгая ориентация на выполнение требований различных регуляторов, которые в рамках концепции Aladdin по защите баз данных, представляются в виде пятиуровневой иерархической системы документов по ИБ. Она включает уровень международных стандартов (ISO 15408-99, ISO/IEC 27001, ISO/IEC 17799, PCI DSS и др.), уровень ФЗ РФ (Об ЭЦП, О персональных данных, О техническом регулировании и др.), правительственный уровень (Постановление «Об организации лицензирования о.в.д.», ГОСТ Р ИСО/МЭК 15408 и др.), уровень ведомственных распорядительных документов (например, ФСБ, ФСТЭК, Банка России) и последний пятый уровень – это корпоративная политика (концепция, правила), требования по обеспечению ИБ в организации.

К особенностям комплекса решений SafeData на технологическом уровне относятся применение выборочного шифрования колонок таблиц с использованием произвольных алгоритмов с сохранением структуры запросов, хранение «закрытого» ключа пользователя в смарт-карте или USB-ключе, проверка целостности пакетов алгоритмов шифрования перед применением (только после этой проверки реализуется вычисление ключа шифрования), использование on-line шифрования, асинхронный сбор данных аудита, а так же контроль целостности настроек и доступности серверов аудита

Основной причиной обращения Aladdin к вопросам усиления средств защиты, используемых в организациях, ИТ-инфраструктура которых базируется на платформе Oracle, является тот факт, что зрелость рынка крупных отраслевых и госорганизаций, как наиболее активных потребителей продуктов Oracle, объективно требует усиления встроенных средств защиты баз данных. «По нашему опыту на сегодняшний день штатные средства безопасности используются на 3-5%, при этом часто они не настроены должным образом. Не менее редки ситуации, в которых встроенные средства заменяются на аналогичные по функционалу собственные разработки или готовые разработки. Однако тенденцией сегодняшнего дня является использование по максимуму встроенных средств защиты и дополнение их, в случае недостающей функциональности, продуктами сторонних вендоров, например, Aladdin SafeData для СУБД Oracle», - комментирует Александр Додохов, руководитель направления защиты баз данных, компания Aladdin Software Security R.D.

В пользу данной тенденции по мнению специалистов Aladdin, говорят, прежде всего, растущие нужды бизнеса с точки зрения безопасности и требования законодательства. Так, одним из важных дополнений штатных средств может стать использование российской криптографии. Криптографические алгоритмы могут применяться в процессе аутентификации, выработки ЭЦП (ГОСТ Р 34.10-2001), для защиты канала связи (ГОСТ 28147-89, ГОСТ Р 34.11-94) и шифрования данных (ГОСТ 28147-89).

Следует отметить, что комплекс решений SafeData на основе eToken полностью решает проблему хранения ключевой информации для аутентификации и криптографической защиты данных, проблему привилегированных пользователей (угроза «инсайдера»), вопрос использования наследованных приложений и российской криптографии. При этом, единое персонализированное средство аутентификации eToken может быть использовано для целого для целого ряда продуктов, куда входит: Oracle DB Server, Oracle Application Server, Oracle eBusiness Suite, Oracle I & A Management и др.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru