СёрчИнформ вывела на рынок решение для защиты информации в базах данных

СёрчИнформ вывела на рынок решение для защиты информации в базах данных

СёрчИнформ вывела на рынок решение для защиты информации в базах данных

Отечественный разработчик систем информационной безопасности, компания «СёрчИнформ» вывела на рынок новый продукт – «СёрчИнформ Database Monitor». В базах данных хранится критический объем служебной информации и из них же происходят самые масштабные утечки. «СёрчИнформ Database Monitor» защищает информацию в БД и показывает, как с ними работают пользователи, чтобы бизнес мог заранее обнаружить и предотвратить угрозы.

Система относится к классу DAM (Database Activity Monitoring) и автоматически проводит мониторинг и аудит операций с базами данных. В результате ИБ-специалист видит, кто и зачем подключается к БД, какую информацию просматривает, добавляет или удаляет. Программа анализирует все выгрузки данных и зафиксирует, если сотрудники попытаются скачать/изменить/удалить из базы товарные номенклатуры, налоговую отчетность или контакты клиентов.

«Мы постоянно слышим истории, как в компаниях сотрудники воруют клиентские базы, «пробивают» данные на продажу или удаляют информацию в базах из мести. Больше всего меня возмутил случай, когда сотрудники банка подменяли в БД телефоны клиентов, чтобы по SMS подтверждать платежи по их счетам. Выбирали клиентов из отдаленных регионов, у которых на дворе ночь: незаметно списывали небольшие суммы, а к утру возвращали в базу правильные номера. Это преступление – а у компании до последнего не было инструмента, чтобы обнаружить и раскрыть схему, –  рассказывает Лев Матвеев, председатель совета директоров «СёрчИнформ». – Мы решили создать такой инструмент, чтобы об утечках и махинациях с БД компаниям не приходилось узнавать из новостей. Database Monitor мы разработали по запросу нескольких крупных клиентов, а когда официально объявили о скором выходе системы – получили массу позитивных откликов. Поняли, что система востребована и ее ждут».

«СёрчИнформ Database Monitor» фиксирует все обращения к базам данных как от бизнес-приложений, так и от конкретных привилегированных пользователей, которые подключаются к СУБД напрямую – например, системных администраторов с правами управления БД. Это позволяет контролировать их действия и предупреждать нарушения в работе. Кроме того, функция помогает находить шпионское ПО, которое подключается к БД для кражи данных. Также Database Monitor следит за работоспособностью СУБД – предоставляет отчет о скорости обработки запросов и ошибках при их выполнении. А общая статистика о состоянии баз данных доступна в виде удобных дашбордов.

«DAM-решения нужны, чтобы оперативно выявлять аномальные события в базах данных. Мы пошли дальше и к мониторингу добавили функции расследования, чтобы надежно защитить БД от инсайдерских угроз. В Database Monitor можно вручную или автоматически найти любой запрос к БД: по типу, фразе, пользователю, который его направил, компьютеру или IP-адресу, с которого он поступил. Точно так же система анализирует, какую информацию база отправляет в ответ, и позволяет искать по содержимому ответов. Например, по типовой последовательности цифр можно найти все случаи, когда из БД выгружали номера паспортов. В результате заказчик может контролировать все опасные события, будь то выгрузки конфиденциальных данных или слишком большое количество запросов от одного пользователя. Система сохранит все детали и предупредит об инциденте», –  объясняет Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

«СёрчИнформ Database Monitor» легко интегрируется с другими инструментами информационной безопасности: DLP-системами, системами для файлового аудита, SIEM-решениями. При использовании Database Monitor в связке с продуктами «СёрчИнформ» ИБ-специалист может контролировать события безопасности на всех уровнях IT-инфраструктуры в едином интерфейсе. Это обеспечивает комплексный подход к защите информации в базах данных: позволяет изучать детали каждого выявленного инцидента, проводить расследования и собирать доказательства.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru