Контакты
Подписка
МЕНЮ
Контакты
Подписка

Технология больших данных для защиты СУБД

В рубрику "Специальные технические средства" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Технология больших данных для защиты СУБД

Необходимость защиты баз данных рано или поздно возникает в любой компании. Для одних ради соблюдения требований регуляторов, для других – с целью решения внутренних задач информационной безопасности. Каждая информационная система, банковская АБС, система управления складом и остатками, включая документацию и номенклатуру изделий, или же CRM-система, через которую проходит регистрация всех сделок торговой компании, содержит конфиденциальную информацию, обладающую высокой ценностью. Вопрос безопасности этих баз данных возникает по разным причинам и сводится к снижению репутационных и финансовых рисков
Сергей Добрушский
Менеджер по разработке системы защиты
баз данных "Гарда БД" ООО "МФИ Софт"

Если задачу удовлетворения отраслевых стандартов и требований регуляторов можно попробовать решить штатными (нативными) средствами аудита доступа к СУБД, то для решения задач безопасности таких инструментов недостаточно.

Именно поэтому разработаны автоматизированные системы по защите баз данных и Web-приложений, основной задачей которых является непрерывный аудит доступа к СУБД. То есть системы, которые разбирают протоколы доступа к СУБД и в структурированном виде отображают их в своем интерфейсе для дальнейшего анализа.

Черный ящик для службы безопасности

Рассмотрим, как работают подобные системы и каких настроек они требуют, чтобы решать задачи защиты баз данных.

Первый подход основан на ручной настройке системы под задачи компании. Как и во многих других системах ИБ, основополагающим термином в решениях класса DAM (Database Activity Monitoring), а именно так называются системы защиты баз данных, являются политики безопасности.

Они строятся на двух основных моделях взаимодействия:

  • позитивная – когда служба безопасности знает, как должны работать сотрудники и какими правами доступа к базам они обладают;
  • негативная – служба безопасности знает, каких действий в процессе взаимодействия с базами данных быть не должно.

Но возникает проблема: использование стандартных политик безопасности при больших объемах информации не представляется возможным, потому что служба безопасности не может с высокой точностью отнести все взаимодействия пользователей с БД ни к позитивной, ни к негативной модели.


В итоге в системе настраиваются только базовые политики, как, например, доступ к данным VIP-клиентов банка или использование учетных записей СУБД, выделенных для серверов приложений и других системных учетных записей, в личных целях. Как результат – служба безопасности узнает об инциденте, только когда он уже произошел. Более того, в этом случае нет никакой доказательной базы для проведения расследования и последующего учета инцидента в политиках безопасности.

Еще хуже, если из-за нехватки информации (непонимание архитектуры защищаемых систем и способов взаимодействия с ними) купленные системы попросту остаются стоять в серверных стойках и "мигать лампочками" без целевого применения.

Стандартный подход предполагает решение проблемы дефицита информации в виде сбора данных из разных источников для формирования политик безопасности. К источникам относятся: сами пользователи – кто именно, за что он отвечает в компании, к каким базам имеет доступ, а к каким нет; базы данных и бизнес-приложения, требующие защиты, и ответственные за них администраторы; внешние подрядчики, обслуживающие системы.

Многие компании отказываются от возможностей записи всего трафика, так как это приводит к удорожанию систем информационной безопасности. Но современные технологии, активно используемые в ряде существующих решений по информационной безопасности, позволяют применять для хранения больших объемов информации обычные жесткие диски и не требуют дополнительного лицензирования

Такой подход длительный и трудоемкий, требует ежедневного контроля со стороны службы безопасности. Более того, минусы настройки позитивно-негативной модели политик безопасности в любом случае никуда не уйдут.

Необходимы более продвинутые инструменты – машинное обучение, динамическое профилирование действий пользователей и возможность выявлять отклонения от типичной работы сотрудником в автоматическом режиме. Давайте рассмотрим их подробнее.

Альтернативный механизм защиты – динамическое профилирование

В последнее время многие системы защиты баз данных начали работать с динамическим профилированием. Алгоритм позволяет построить портрет пользователя по взаимодействию с информацией. Это делается, чтобы в автоматическом режиме контролировать отклонения от профилей, то есть фиксировать нестандартное поведение и оповещать об этом службу безопасности. Главный плюс такого подхода в том, что система насыщается достаточным количеством информации и строит полноценные профили всех пользователей. Система обучается автоматически и не требует ручного вмешательства.

Несмотря на все плюсы, важно понимать, что алгоритм динамического профилирования не универсален и действует по статистической модели, а учитывать отклонения он начинает только после периода обучения. Как правило, в компаниях, где работают тысячи сотрудников, статистические профили начинают функционировать некорректно. Систему приходится переобучать. Бывают ситуации, когда инсайдерские действия происходят на этапе обучения, вследствие чего все последующие инсайды от конкретного человека система будет считать нормой.

Кроме того, профили строятся на статистических данных и не обладают возможностью контентного анализа, то есть работают только с цифрами без контекста.

Новые возможности защиты на основе технологий больших данных

В практике российских разработчиков появилось новое комбинированное решение, сочетающее в себе режим выявления аномалий по статистическим профилям с тотальной записью всех взаимодействий с базами данных. Системы безопасности, основанные на таком принципе, собирают информацию обо всех пользователях баз данных и Web-приложений в автоматическом режиме, не тратя времени на обучение. Даже если инцидент происходит сразу после внедрения, информация о нем уже будет в архиве событий. Благодаря контентному анализу профиль пользователя в такой системе строится не только по статистической модели, но и по доступу к определенным типам данных.

Многие компании отказываются от возможностей записи всего трафика, так как это приводит к удорожанию систем информационной безопасности. Но современные технологии, активно используемые в ряде существующих решений по информационной безопасности, позволяют применять для хранения больших объемов информации обычные жесткие диски и не требуют дополнительного лицензирования.

Все это экономит ресурсы на ввод системы в эксплуатацию. Комбинированное решение перехватывает все данные сразу, то есть фиксирует все инциденты, хранит в себе доказательную базу для расследования с помощью ретроспективного анализа. Такая система не просто способна выявлять инциденты, как в динамическом профилировании, но и является инструментом расследования ранее неизвестных инцидентов. С усложнением информационных систем, расширением возможностей передачи информации и активным использованием Web-приложений построение статистических профилей и учет отклонений может быть эффективен, но только в небольших организациях. В связи со слабой адаптацией к изменениям неточность построения профиля может вести к утечкам, о которых организация узнает постфактум.

Использование стандартных политик безопасности при больших объемах информации не представляется возможным, потому что служба безопасности не может с высокой точностью отнести все взаимодействия пользователей с БД ни к позитивной, ни к негативной модели

В системах с комбинированным вариантом динамического профилирования с возможностью записи всего трафика снимаются статистические ограничения, профили становятся более гибкими и перестраиваются в зависимости от изменений в архитектуре баз данных. Хранение архива событий не даст упустить инцидент, даже если не настроены соответствующие политики безопасности, и позволит получить доказательную базу для расследования за любой период времени.

Практика расследования инцидентов с комбинированной системой защиты баз данных

Сотрудник устроился на работу в банк и буквально с первой недели работы начал выкачивать из СУБД информацию о высокодоходных клиентах: суммы на счетах, паспортные данные. Этим же он занимался и на предыдущей работе, сотрудничая с мошенниками. Система защиты баз данных, обладая возможностью сохранять все запросы и ответы в СУБД с помощью нескольких Real-Time отчетов, вывела этого сотрудника в топ по количеству данных операций с клиентскими базами, на что сразу же обратил внимание сотрудник отдела ИБ. При стандартном динамическом профилировании инцидент был бы упущен, так как еще не прошло достаточного времени обучения для составления профиля сотрудника (см. рисунок).

Опубликовано: Каталог "Системы безопасности"-2017
Посещений: 3959

  Автор

 

Сергей Добрушский

Менеджер по разработке системы защиты баз данных "Гарда БД" ООО "МФИ Софт"

Всего статей:  1

В рубрику "Специальные технические средства" | К списку рубрик  |  К списку авторов  |  К списку публикаций