“Это база” - способы эффективной защиты баз данных в 2023 году

Рынок ИБ продолжает расти и оставаться одним из самых быстро развивающихся отраслей, набрав за последние годы внушительные 30% роста в ру-сегменте. Драйвером таких изменений стала целая связка событий: обострение внешнеполитической обстановки, участившиеся атаки на госсектор и рунет в целом, расцвет коммерческого хакерства и необходимость в ПО и технике, независимой от зарубежных производителей, способных в любой момент отозвать лицензию, или, что еще хуже, внедрить бекдоры в защитные продукты. После ухода большинства вендоров, базы данных, выступая для киберпреступников настоящими сокровищницами, подвергаются атакам в разы чаще других областей, соревнуясь по популярности с DDoS-атаками, и если последние приводят к недоступностям сайтов и сервисов, то утечки куда опаснее, так как ставят под угрозу безопасность сотен, а порой и миллионов людей, чьи данные попали в руки злоумышленников.

К таким случаям можно отнести недавние скандалы вокруг утечек данных из крупнейших компаний и сервисов - Яндекс.Еды, ВКонтакте, Гемотеста или Delivery Club. Но и промахи гигантов рынка не убеждают клиентов озаботиться установкой защитных решений. Часть компаний при этом вполне, казалось бы, рационально полагают, что им утечки не грозят - у кого-то профиль деятельности для мошенников непривлекательный, у кого-то в базах хранятся только сотрудники, да и штрафы за утечки, случись они, для среднего и крупного бизнеса несущественные. Однако на практике все не так однозначно, и защита баз данных спасает не только от попадания информации, телефонных номеров и карт в даркнет, причиняя больше репутационный, нежели финансовый урон. Зачастую, базы используются как удобная точка входа для проведения атаки. Слабо защищенные, они могут открыть доступ к внутренним сетям жертвы, откуда крадется необходимая, действительно ценная информация, и куда в дальнейшем сажают вирус-шифровальщик, уничтожающий закодированные данные в случае, когда жертва отказывается платить выкуп.

Кроме того, пул мер включает и защиту от других несанкционированных операций с данными, например, их изменение администраторами. Так, корректируя значения датчика температуры в нефтехранилище, администратор снижает «видимый» расчетный объем нефти, а за счет разницы наживается вместе с подельниками. По такой же схеме могут действовать администраторы платежных почтовых онлайн-переводов, изменяя платежные данные при обработке. Для того, чтобы избежать такой мрачной участи, разберемся, какие есть средства защиты баз данных.

 

Различают защиту базовую и автоматизированную.

Базовая защита в виде программного обеспечения, как правило, является дополнительным элементом более комплексного решения, например, СУБД. Функция аудита действий пользователей и возможность заблокировать нежелательные операции - только один вариант такой встроенной защитной работы. Этого бывает достаточно для выполнения требований регуляторов, но не приносит фактически пользы для решения внутренних задач информационной безопасности. Физически же за базовую защиту, отвечает межсетевой экран, блокирующий все попытки злоумышленников или вредоносного ПО прорваться во внутреннюю систему. За корректную работу экрана, своевременную настройку, обновление паролей и моделей доступа в компании отвечает ИТ-отдел.

Однако намного эффективнее себя показывают автоматизированные системы защиты - решения классов DAM (Database Activity Monitoring) и DBF (Database Firewall).

DAM представляет собой систему, позволяющую осуществлять независимое наблюдение за действиями пользователей СУБД, при этом не требуя вносить изменения в конфигурацию самой СУБД или ее дополнительной настройки. Система способна работать с копией трафика и не затрагивает бизнес-процессы, никак не мешая работам баз данных, при этом надежно их защищая.

DBF, в свою очередь, блокирует подозрительные запросы к базам данных и отличается возможностью «проактивной» защиты информации, хотя для этого системе потребуется уже не копия трафика, а полноценная установка компонентов системы защиты «в разрыв». По умолчанию Система настроена на сбор максимального объема информации, проходящей по сети предприятия. Изначально при разворачивании Комплекса, либо в процессе эксплуатации администратор Комплекса может изменять состав собираемой информации. При необходимости можно исключить из перехвата трафик к определенным базам данных. В политике тотального перехвата и в политиках безопасности возможен статистический режим работы, при котором не перехватываются переменные и ответы на SQL-запросы и HTTP-запросы. Данный режим снижает нагрузку на хранилище. При помощи политик безопасности можно настроить мониторинг критичных баз данных в соответствии с конкретными критериями.

Говоря о решениях, подходящих для установки в нынешних реалиях, т.е. отечественных разработках с хорошей многолетней репутацией, которые с одинаковой уверенностью можно внедрять как на предприятия госсектора, так и в бизнес, независимо от его масштабности, мы уверенно рекомендуем “Гарда БД”.

“Гарда БД” - это система контроля сетевого доступа класса DAM, созданная для защиты баз данных и обеспечения безопасности СУБД, с функцией независимого аудита операций с базами данных и бизнес-приложениями. Решение непрерывно осуществляет мониторинг запросов к базам данных в реальном времени и выявляет подозрительные операции, при необходимости осуществляя немедленную блокировку.

Продукт выполнен так, чтобы снизить нагрузки на технических специалистов и отличается выдающимися характеристиками:

• Возможность анализа трафика на скорости более 10 Гбит/с.
• Возможность ретроспективного анализа по сохраненным данным объемом свыше 100 ТБ.
• Полноценная работа с трехзвенной архитектурой взаимодействия с БД.
• Интеграция с SIEM системами.
• Минимальное влияние на производительность сети и серверов СУБД.
• Встроенная система выявления аномалий и поведенческого анализа действий пользователей.
• Возможность работы в территориально распределенных структурах из единой консоли управления.

К преимуществам, на которые стоит обратить внимание, относятся особенности работы “Гарда БД” - будучи комплексным решением, помимо основного функционала отличается еще и другими возможностями. Так, в “Гарда БД” предусмотрено долгосрочное хранение всех запросов и ответов для ретроспективного анализа и проведения расследований, обнаружение неучтенных баз данных в сети, сканирование баз данных, находящихся под контролем и выявление мест хранения критической информации, автоматизированные отчеты, профилирование и поведенческий анализ (UBA), а так же интеграция с SIEM-системами и другие способы оповещения.