Броня — по-другому не скажешь!

Задачи, решаемые DBF:

• защита СУБД от хакерских атак;
• защита от инсайда;
• контроль и управление доступами;
• управление уязвимостями;
• контроль привилегированных пользователей;
• автоматизация действий сотрудников СБ.

Распространенные проблемы защиты СУБД

• Необходимо контролировать всех пользователей

Любой пользователь может быть скомпрометирован, любой пользователь может не устоять перед искушением – согласно исследованию PwC от 2014 года, основным фактором (76%) для совершения мошенничества сотрудниками российских компаний является наличие технической возможности.

• Трудоемкость анализа большого объема данных

Даже простейшее бизнес-действие может оборачиваться группой действий в СУБД. Количество событий в СУБД в сутки от десятков тысяч до десятков миллионов и выше, что делает ручной анализ весьма низкоэффективным.

• Логи бизнес-систем не содержат всей необходимой информации

Даже если на текущий момент информации в логах хватает, в следующем релизе продукта эта функциональность может быть существенно изменена. Логирование не является основной функцией бизнес-системы, и может быть в любой момент урезано, например, в пользу производительности. Да и надежность такого логирования оставляет желать лучшего. Особенно остро вопрос стоит при трехзвенной архитектуре: сотрудник осуществляет действия в веб-интерфейсе, веб-сервис отправляет запрос в СУБД от своего имени. В результате, СУБД «видит» обращения не пользователей, а только веб-сервиса.

• Управление доступами средствами СУБД проблематично

Для управления доступами необходим привилегированный доступ в СУБД, специфическое ПО и много времени. СУБД не содержат средств оповещения, а данных для анализа может быть немало. Кроме того, СУБД могут содержать функциональные уязвимости, например, select for update в Oracle — эта команда позволяет пользователю, не имеющему прав на изменение данных, заблокировать таблицу.

• Шпионаж и «тихое» мошенничество

Ряд мошеннических операций не требует внесения изменений в бизнес-системы, например, шпионаж. Бывает достаточно даже просто просмотреть информацию (кодовое слово, принадлежность счета). Бизнес-системы, как правило, либо не содержат функционала полного логирования, либо этот функционал отключен по причине высокой нагрузки. DLP и другие средства контроля за распространением информации не дадут полную защиту от шпионажа – необходимо фиксировать доступ к информации на чтение, причем на уровне самих бизнес-систем или СУБД.

• Таргетированные атаки

В последние годы все чаще появляются новости о взломах систем крупных, хорошо защищенных компаний. Злоумышленники, действуя в составе хорошо организованной группы, планомерно получают привилегированный доступ к бизнес-системам. Отсутствие защиты на уровне СУБД позволяет мошенникам осуществить крупное хищение, окупающее длительные попытки проникновения. Если же настроенные ограничения в бизнес-логике не дают с ходу провести хищение — отсутствие оповещения о подозрительных действиях позволит мошенникам подбирать нужную комбинацию действий оставаясь незамеченными.

• Сложность расследования

Современные мошеннические схемы могут отличаться крайней сложностью, особенно при большом количестве вовлеченных лиц. Бизнес-системы не содержат инструментария для проведения расследований и способны только выгружать лог-файлы различной степени удобства. Без специальных инструментов, проведение расследования может приводить к выполнению руками сотрудника безопасности массы однообразных, рутинных действий.

• Доказательства для правоохранительных органов

При выявленном факте мошенничества встает вопрос, как его доказать. Для заведения уголовного или административного дела, возмещения ущерба и даже просто увольнения сотрудника необходимы доказательства, которые будут приняты судом. Бизнес-системы не содержат специальных средств аудита гарантирующих защиту данных от постороннего вмешательства. Это позволяет мошенникам оспаривать данные из бизнес-систем под предлогом того, что они могли быть незаметно изменены теми же администраторами систем. К сожалению, в нашей стране отсутствуют единые стандарты касательно мер обработки информации для использования ее в качестве судебного доказательства. В результате,  единственным доступным способом превращения информации в доказательство является использование специальных мер (разграничение доступа, внутренний аудит, защита от изменений), достаточных с точки зрения здравого смысла.

• Сложность управления уязвимостями

Большое количество разнообразных СУБД (даже в рамках одной бизнес-системы) приводит к неэффективности ручного управления уязвимостями. Как правило, используются сканнеры уязвимостей, в разной степени пригодные для анализа СУБД. Не стоит забывать, что сканеры лишь оповещают о найденных уязвимостях или нарушениях политик ИБ, но не позволяют сотруднику ИБ самому принять экстренные меры. В результате, безопасность напрямую зависит от доступности IT-администратора.

Кстати, что делать в случае, если в тестовую БД, еще вчера содержащую только обезличенные тестовые данные, попадает критичная информация? Обнаружат ли ее сканеры?

• Проблема своевременного обновления

Общеизвестный факт, что лакуна между обнаружением уязвимости и выходом патча может быть весьма длительной (срок выхода полноценного исправления достигает нескольких месяцев). Конечно, зачастую вендоры предлагают workaround-ы разной степени эффективности. Но как проверить корректность применения? Как проверить достаточность этого временного решения? Это может потребовать специфичных технических навыков и трат времени.

• Регуляторы требуют полного и непрерывного контроля

Регуляторы требуют вести учет событий безопасности, контролировать доступы, управлять уязвимостями, проводить аудит на постоянной основе и многое другое. Ручное выполнение этих требований в развитой инфраструктуре крайне трудоемко.

• Сложность возмещения ущерба

Согласно исследованию ACFEE за 2014 год, при обнаружении фактов мошенничества лишь в 14% случаев удалось полностью возместить ущерб от незаконных действий, а в 58% не удалось возместить даже частично. Кроме того, в суде можно оспорить прямые потери, а косвенные потери сложно поддаются монетарной оценке.

• Невозможность блокировать операции

Лишь малую часть операций можно проверять вручную и предотвращать некорректные действия, фактически все случаи мошенничества расследуются постфактум. Соответственно, злоумышленник может совершить даже явно недопустимое действие, и будет обнаружен только спустя некоторое время. Нередки ситуации, когда сотрудник в последний день работы в компании совершает массу нарушений, и пропадает с деньгами.

• Нагрузка на бизнес-системы

Включение полного логирования средствами бизнес-систем или СУБД всегда ощутимо увеличивает нагрузку. Создание аналитических отчетов также может быть весьма ресурсоемким. Между тем, критичные данные, как правило, находятся именно в критичных бизнес-системах.

Решение: проактивная защита СУБД

• Логирование любых действий в СУБД, в том числе, чтения информации и технических действий администраторов, без влияния на бизнес-системы.
• Раскрытие шифрованного трафика — злоумышленник больше не спрячется за SSH!
• Контроль привилегированных пользователей: администраторы целевых систем и другие сотрудники не могут вмешиваться в работу DBF. Доверяйте, но проверяйте ваших администраторов — ведь учетные записи даже у самых лояльных сотрудников могут оказаться скомпрометированными!
• Блокировка недопустимых действий — возможность предотвращения заведомо некорректных действий.
• Сканирование уязвимостей: в отличии от стандартных сканеров, системы DBF могут находить критичную информацию(например, в случае нелегальной реплики).
• Виртуальный патчинг — технология оперативного (0-5 дней) закрытия уязвимостей средствами DBF (без внесения изменений в бизнес-системы).
• Создание инцидентов и оповещение уполномоченных сотрудников увеличивает скорость реакции на происшествия.
• Анализ событий в режиме реального времени позволяет автоматизировать действия сотрудников СБ и автоматически выявлять даже сложные случаи мошенничества.
• Интерфейс проведения расследований позволяет быстро и эффективно проводить ручной анализ, вырабатывать защитные меры, адаптировать политики безопасности.

Выгода от внедрения

• Снижение ущерба от мошенничества, блокировка неправомерных операций.
• Контроль сотрудников.
• Управление уязвимостями — сканирование, виртуальный патчинг.
• Выполнение требований регуляторов.
• Оптимизация работы, автоматизация рутинных и трудоемких действий.