
Броня — по-другому не скажешь!
Задачи, решаемые DBF:
- защита СУБД от хакерских атак;
- защита от инсайда;
- контроль и управление доступами;
- управление уязвимостями;
- контроль привилегированных пользователей;
- автоматизация действий сотрудников СБ.
Распространенные проблемы защиты СУБД
- Необходимо контролировать всех пользователей
Любой пользователь может быть скомпрометирован, любой пользователь может не устоять перед искушением – согласно исследованию PwC от 2014 года, основным фактором (76%) для совершения мошенничества сотрудниками российских компаний является наличие технической возможности.
- Трудоемкость анализа большого объема данных
Даже простейшее бизнес-действие может оборачиваться группой действий в СУБД. Количество событий в СУБД в сутки от десятков тысяч до десятков миллионов и выше, что делает ручной анализ весьма низкоэффективным.
- Логи бизнес-систем не содержат всей необходимой информации
Даже если на текущий момент информации в логах хватает, в следующем релизе продукта эта функциональность может быть существенно изменена. Логирование не является основной функцией бизнес-системы, и может быть в любой момент урезано, например, в пользу производительности. Да и надежность такого логирования оставляет желать лучшего. Особенно остро вопрос стоит при трехзвенной архитектуре: сотрудник осуществляет действия в веб-интерфейсе, веб-сервис отправляет запрос в СУБД от своего имени. В результате, СУБД «видит» обращения не пользователей, а только веб-сервиса.
- Управление доступами средствами СУБД проблематично
Для управления доступами необходим привилегированный доступ в СУБД, специфическое ПО и много времени. СУБД не содержат средств оповещения, а данных для анализа может быть немало. Кроме того, СУБД могут содержать функциональные уязвимости, например, select for update в Oracle — эта команда позволяет пользователю, не имеющему прав на изменение данных, заблокировать таблицу.
- Шпионаж и «тихое» мошенничество
Ряд мошеннических операций не требует внесения изменений в бизнес-системы, например, шпионаж. Бывает достаточно даже просто просмотреть информацию (кодовое слово, принадлежность счета). Бизнес-системы, как правило, либо не содержат функционала полного логирования, либо этот функционал отключен по причине высокой нагрузки. DLP и другие средства контроля за распространением информации не дадут полную защиту от шпионажа – необходимо фиксировать доступ к информации на чтение, причем на уровне самих бизнес-систем или СУБД.
- Таргетированные атаки
В последние годы все чаще появляются новости о взломах систем крупных, хорошо защищенных компаний. Злоумышленники, действуя в составе хорошо организованной группы, планомерно получают привилегированный доступ к бизнес-системам. Отсутствие защиты на уровне СУБД позволяет мошенникам осуществить крупное хищение, окупающее длительные попытки проникновения. Если же настроенные ограничения в бизнес-логике не дают с ходу провести хищение — отсутствие оповещения о подозрительных действиях позволит мошенникам подбирать нужную комбинацию действий оставаясь незамеченными.
- Сложность расследования
Современные мошеннические схемы могут отличаться крайней сложностью, особенно при большом количестве вовлеченных лиц. Бизнес-системы не содержат инструментария для проведения расследований и способны только выгружать лог-файлы различной степени удобства. Без специальных инструментов, проведение расследования может приводить к выполнению руками сотрудника безопасности массы однообразных, рутинных действий.
- Доказательства для правоохранительных органов
При выявленном факте мошенничества встает вопрос, как его доказать. Для заведения уголовного или административного дела, возмещения ущерба и даже просто увольнения сотрудника необходимы доказательства, которые будут приняты судом. Бизнес-системы не содержат специальных средств аудита гарантирующих защиту данных от постороннего вмешательства. Это позволяет мошенникам оспаривать данные из бизнес-систем под предлогом того, что они могли быть незаметно изменены теми же администраторами систем. К сожалению, в нашей стране отсутствуют единые стандарты касательно мер обработки информации для использования ее в качестве судебного доказательства. В результате, единственным доступным способом превращения информации в доказательство является использование специальных мер (разграничение доступа, внутренний аудит, защита от изменений), достаточных с точки зрения здравого смысла.
- Сложность управления уязвимостями
Большое количество разнообразных СУБД (даже в рамках одной бизнес-системы) приводит к неэффективности ручного управления уязвимостями. Как правило, используются сканнеры уязвимостей, в разной степени пригодные для анализа СУБД. Не стоит забывать, что сканеры лишь оповещают о найденных уязвимостях или нарушениях политик ИБ, но не позволяют сотруднику ИБ самому принять экстренные меры. В результате, безопасность напрямую зависит от доступности IT-администратора.
Кстати, что делать в случае, если в тестовую БД, еще вчера содержащую только обезличенные тестовые данные, попадает критичная информация? Обнаружат ли ее сканеры?
- Проблема своевременного обновления
Общеизвестный факт, что лакуна между обнаружением уязвимости и выходом патча может быть весьма длительной (срок выхода полноценного исправления достигает нескольких месяцев). Конечно, зачастую вендоры предлагают workaround-ы разной степени эффективности. Но как проверить корректность применения? Как проверить достаточность этого временного решения? Это может потребовать специфичных технических навыков и трат времени.
- Регуляторы требуют полного и непрерывного контроля
Регуляторы требуют вести учет событий безопасности, контролировать доступы, управлять уязвимостями, проводить аудит на постоянной основе и многое другое. Ручное выполнение этих требований в развитой инфраструктуре крайне трудоемко.
- Сложность возмещения ущерба
Согласно исследованию ACFEE за 2014 год, при обнаружении фактов мошенничества лишь в 14% случаев удалось полностью возместить ущерб от незаконных действий, а в 58% не удалось возместить даже частично. Кроме того, в суде можно оспорить прямые потери, а косвенные потери сложно поддаются монетарной оценке.
- Невозможность блокировать операции
Лишь малую часть операций можно проверять вручную и предотвращать некорректные действия, фактически все случаи мошенничества расследуются постфактум. Соответственно, злоумышленник может совершить даже явно недопустимое действие, и будет обнаружен только спустя некоторое время. Нередки ситуации, когда сотрудник в последний день работы в компании совершает массу нарушений, и пропадает с деньгами.
- Нагрузка на бизнес-системы
Включение полного логирования средствами бизнес-систем или СУБД всегда ощутимо увеличивает нагрузку. Создание аналитических отчетов также может быть весьма ресурсоемким. Между тем, критичные данные, как правило, находятся именно в критичных бизнес-системах.
Решение: проактивная защита СУБД
- Логирование любых действий в СУБД, в том числе, чтения информации и технических действий администраторов, без влияния на бизнес-системы.
- Раскрытие шифрованного трафика — злоумышленник больше не спрячется за SSH!
- Контроль привилегированных пользователей: администраторы целевых систем и другие сотрудники не могут вмешиваться в работу DBF. Доверяйте, но проверяйте ваших администраторов — ведь учетные записи даже у самых лояльных сотрудников могут оказаться скомпрометированными!
- Блокировка недопустимых действий — возможность предотвращения заведомо некорректных действий.
- Сканирование уязвимостей: в отличии от стандартных сканеров, системы DBF могут находить критичную информацию(например, в случае нелегальной реплики).
- Виртуальный патчинг — технология оперативного (0-5 дней) закрытия уязвимостей средствами DBF (без внесения изменений в бизнес-системы).
- Создание инцидентов и оповещение уполномоченных сотрудников увеличивает скорость реакции на происшествия.
- Анализ событий в режиме реального времени позволяет автоматизировать действия сотрудников СБ и автоматически выявлять даже сложные случаи мошенничества.
- Интерфейс проведения расследований позволяет быстро и эффективно проводить ручной анализ, вырабатывать защитные меры, адаптировать политики безопасности.
Выгода от внедрения
- Снижение ущерба от мошенничества, блокировка неправомерных операций.
- Контроль сотрудников.
- Управление уязвимостями — сканирование, виртуальный патчинг.
- Выполнение требований регуляторов.
- Оптимизация работы, автоматизация рутинных и трудоемких действий.