«МФИ Софт» применила машинное обучение для защиты БД

Бизнес Интеграция Бизнес-приложения
мобильная версия
, Текст: Полина Осокина

Решение представляет собой аппаратно-программный комплекс для аудита сетевого доступа к базам данных и веб-приложениям. Система непрерывно контролирует легитимность доступа всех пользователей к базам данных, включая привилегированных, выявляет подозрительную активность и информирует об инцидентах в режиме реального времени.

Ровно год назад произошла кардинальная смена архитектуры системы. В основе комплекса производительная платформа с возможностью тотального хранения всего трафика запросов и ответов к базам данных и веб-серверам. За год система приобрела целый ряд обновлений, которые делают работу служб безопасности результативной в вопросах детальной аналитики, предотвращении внутреннего фрода и расследовании инцидентов. В обновленной версии «Гарда БД» появилась ключевая функция – поведенческая аналитика, которая позволяет выявить возможные утечки ценной информации еще до их совершения по анализу поведения пользователей.

Сергей Добрушский, руководитель направления защиты баз данных, МФИ Софт: «В этом году мы реализовали очень важную задачу для защиты баз данных и веб-приложений. Динамическое профилирование – модуль для выявления аномалий по автоматически построенным профилям пользователей. «Гарда БД» собирает информацию обо всех пользователях баз данных и веб-приложений в автоматическом режиме еще до того, как закончится период обучения, и если инцидент происходит сразу после внедрения, информация о нем уже будет в архиве событий. Благодаря контентному анализу профиль пользователя строится не только по статистической модели, но и по доступу к определенным типам данных. Все это позволяет проводить расследования и строить проактивную систему информационной безопасности в компании, выявлять инциденты еще до их совершения».

Расширился и перечень контролируемых СУБД, к Oracle, MicrosoftSQL, MySQL, PostgreSQL, Teradata, IBM Netezza, Sybase ASE, IBM DB2 и Линтер в новой версии «Гарда БД» добавились Firebird, Interbase. Оповещения, тестовые уведомления и детальные отчеты по политикам приходят на электронную почту в реальном времени, при этом интеграция с почтовыми серверами возможна без авторизации. Добавлена также функция декодирования офисных документов, которая обеспечивает защиту на уровне веб-приложений, где сформированные отчеты или клиентские данные передаются в виде офисных документов.

Поиск по большим неструктурированным объемам данных происходит за считаные секунды и дополнен возможностью фильтрации запросов по их размеру. Аппаратно-программный комплекс интегрируется с SIEM и теперь поддерживает формат LEEF при экспорте информации.