Как банк «Санкт-Петербург» защищает базы данных
Почему утечки баз данных случаются так часто?

По статистике главными причинами утечек баз данных являются халатность и злой умысел со стороны сотрудников. К примеру, администратор баз данных в корыстных целях решил скопировать базу финансовых отчетов компании. Зная, что все обращения к действующим базам данных контролируются системой мониторинга, он создал новую базу на виртуальной машине. Затем произвел настройку основной базы данных таким образом, что ежедневно небольшое количество информации автоматически передавалось из основной базы в новую.

Эта попытка кражи конфиденциальных данных могла бы увенчаться успехом, но в компании была установлена «Гарда БД». Во время сканирования система обнаружила новую базу и распознала объект как точную копию базы данных финансового отдела. Офицер информационной безопасности выяснил IP-адрес с помощью ретроспективного анализа. В итоге администратор был уволен по соглашению сторон за попытку копирования информации, представляющей коммерческую тайну.

В чем проблема с базами данных?

Черный рынок баз данных


Источник: Исследование «Черный рынок баз данных», 2016

Базы данных перестали быть частью загадочного мира айтишников – сегодня они представляют интерес для бизнеса, так как многие базы содержат критически важную для компании информацию. Доступ к хранимой в них конфиденциальной информации с внедрением веб-приложений и электронных сервисов получило большое количество сотрудников, в том числе работающих удаленно (ERP-системы, CRM-системы и базы документооборота в коммерческих структурах).

Преступниками могут быть как хакеры, так и собственные сотрудники-инсайдеры. Утечки информации из баз данных становятся все более распространенными, и миллионы записей персональных данных уже на «черном рынке». На теневых площадках каждый желающий может купить базу данных банка или страховой компании за минимальные деньги.

Далеко не каждая система информационной безопасности способна обнаружить проникновение, если оно совершено изнутри или с использованием специализированных инструментов, не детектируемых классическим сетевым экраном и антивирусом (например, часто эксплуатируются так называемые «уязвимости нулевого дня» – только что обнаруженные бреши в ПО, которые еще неизвестны поставщикам средств информационной безопасности). Определенные риски связаны также с возможностью случайной утечки или порчи данных в результате неосторожных действий пользователей.

Как защищаться?

Все мы работаем не только по собственному усмотрению – нашими действиями в бизнесе руководят законодатели и регуляторы. Поэтому нужно не только защищать компанию от утечек, но и соблюдать требования законов, отраслевых требований и международных соглашений (152-ФЗ «О персональных данных», 161-ФЗ «О Национальной платежной системе», П-1119 «Об утверждении требования к защите ПДн…», Положение Банка России о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств 382-П, PCI DSS). Это накладывает требования к наличию сертифицированных средств защиты и проведению определенных мероприятий по линии службы ИБ. При выборе инструментария для защиты информационных ресурсов каждая компания исходит из оценки существующих рисков и стоимости их «закрытия».

Мнение эксперта: Сергей Добрушский, руководитель направления защиты баз данных и веб-приложений, «МФИ Софт»
Сергей Добрушский
Эффективный подход – использование специализированных систем информационной безопасности в области защиты БД – решений классов DAM и DBF

«Первую линию безопасности баз данных должны обеспечивать ИТ-отдел компании и администраторы СУБД. Базовая защита БД – это настройка межсетевых экранов перед СУБД для блокировки попыток доступа от сомнительных источников, настройка и поддержание в актуальном состоянии парольной политики и ролевой модели доступа. Это действенные механизмы, которым должно уделяться внимание. Следующий этап защиты информации в базах данных – аудит действий пользователей, прямая задача отдела информационной безопасности. Значимость аудита объясняется тем, что в промышленной системе сложно тонко настроить права доступа к данным.

Для проведения такого мониторинга многие организации пользуются «штатным аудитом» – средствами защиты баз данных, входящими в состав коммерческих СУБД. Штатный режим защиты включает ведение журнала подключения к СУБД и выполнения запросов теми или иными пользователями. Если коротко, принцип работы штатного аудита – это включение и настройка триггеров и создание специфичных функций – процедур, которые будут срабатывать при доступе к чувствительной информации и вносить данные о подобном доступе (кто, когда, какой запрос делал) в специальную таблицу аудита. Этого бывает достаточно для выполнения ряда отраслевых требований регуляторов, но не принесет практически никакой пользы для решения внутренних задач информационной безопасности, таких как расследование инцидентов.

Штатный аудит для защиты баз данных имеет свои недостатки. Это дополнительная нагрузка на серверы баз данных (10-40% в зависимости от полноты аудита). Администраторы баз данных вовлекаются в настройку аудита (невозможность контроля администраторов – основных привилегированных пользователей). Отсутствие удобного интерфейса продукта и возможности централизованной настройки правил аудита (особенно актуально для крупных распределенных компаний, в задачи защиты которых входит целый перечень СУБД). И, наконец, при штатном аудите невозможен контроль действий пользователей в приложениях с трехзвенной архитектурой (наличие WEB и SQL-сегмента, что сейчас используется повсеместно из соображений безопасности). Более эффективный подход – использование специализированных систем информационной безопасности в области защиты БД – решений классов DAM и DBF.

DAM (Database Activity Monitoring) – это решение независимого мониторинга действий пользователей в СУБД. Под независимостью здесь понимается отсутствие необходимости переконфигурации и донастройки самих СУБД. Системы такого класса могут ставиться пассивно и работать с копией трафика, не оказывая никакого влияния на бизнес-процессы, частью которых являются базы данных.

Такие системы позволяют разбирать трафик взаимодействия пользователей с базами данных, классифицировать SQL-запросы по принадлежности к определенных группам, вести полный аудит SQL-запросов и ответов на них. Кроме того, решения обладают глубокой системой фильтрации, позволяющей из сотен миллионов запросов выявить потенциальные инциденты и сохранять полный архив действий пользователей, как для удовлетворения требований регуляторов, так и для задач ретроспективного анализа при расследовании инцидентов.

Кроме того, специализированные системы DAM позволяют синхронизоваться с защищаемыми базами данных. Это делается для достижения трех целей. Во-первых, классификации – определения местонахождения критичной для компании информации. Опция позволяет, просканировав СУБД, увидеть названия таблиц и полей, в которых могут содержаться персональные данные клиентов. Это крайне важно для упрощения последующей настройки политик безопасности. Во-вторых, проверки на уязвимости – соответствие конфигурации и настройки СУБД лучшим практикам. И, в-третьих, с целью получения матрицы доступа к данным – задача решается для выявления расширенных привилегий доступа, неиспользуемым правам, и наличие так называемых «мертвых» учетных записей, которые могли остаться после увольнения сотрудника из компании. Преимущество систем такого класса – гибкая система отчетности и интеграции с SIEM-системами большинства вендоров, для более глубокого корреляционного анализа выполняемых запросов.

Одна из наиболее перспективных систем этого класса – отечественная разработка компании «МФИ Софт», система «Гарда БД». Принцип ее работы основан на контроле всех запросов к базам данных и веб-приложениям. При этом политики безопасности в режиме реального времени выявляют потенциальные инциденты и критичные для компании события, а полученная информация хранится длительное время на случай расследования уже произошедших инцидентов».

Возможности системы «Гарда БД»

«Гарда БД» - это аппаратно-программный комплекс по защите баз данных и веб-приложений, который работает на сети предприятия и на серверах СУБД в виде агента, не оказывает влияние на работу сети и позволяет контролировать локальные подключения.

Система «Гарда БД» построена на двух основных компонентах. Первая – анализатор, который занимается мониторингом сетевых запросов к базам данных и серверам приложений, проверяя их в режиме реального времени на соответствие политикам безопасности. Вторая компонента – это центр управления, представляющий собой хранилище данных собственной разработки (обеспечивает хранение, запись трафика, индексацию и быстрый поиск по всем поступающим данным) и мощная аналитическая система, позволяющая обрабатывать всю информацию о несанкционированном доступе и строить отчеты за любой период времени.

Ключевая функциональная возможность системы «Гарда БД» – обнаружение и сканирование баз данных. Она находит все БД в корпоративной сети и берет их под защиту. Это крайне актуально в условиях распределенных сетей и большого числа инсталляций информационных систем, когда даже администраторы не сразу могут ответить на вопрос, какие базы у них есть. Более того, специалисты «МФИ Софт» называют случаи, когда ИТ-служба заказчика считала, что компания использует три СУБД, а на самом деле их было более десяти.

После обнаружения баз данных система проводит их сканирование, по результатам которого определяется, в каких из СУБД содержится критическая информация, позволяя, таким образом, сузить перечень защищаемых объектов.

Интерфейс управления «Гарда БД»

Источник: Система защиты баз данных «Гарда БД»

Для создания оптимальной защиты система сканирует СУБД на известные уязвимости. Таким образом, выявляются незаблокированные учетные записи, неустановленные патчи, учетные записи с простыми паролями и определяется активность системных учетных записей других приложений.

Третий этап – сканирование прав пользователя. Это помогает ответить на вопросы, какими привилегиями обладают сотрудники и как эта картина меняется со временем.

Важнейшая задача DAM-системы – мониторинг данных, который должен выявлять возможные инциденты. Для этого с помощью простого конструктора создаются политики безопасности, и система анализирует сетевой трафик и локальные подключения (администраторов) в реальном времени. Информация обо всем трафике запросов и ответов к базам данных и веб-серверам доступна для построения отчетов силами самой системы.

«Гарда БД» может работать с большими массивами данных. Система способна анализировать мощный поток трафика и производить поиск в сотнях терабайт данных всего за 1–3 секунды. Если нужна еще большая производительность для работы на более крупных, распределенных инфраструктурах, систему можно масштабировать. Кроме того, «Гарда БД» в ряде случаев позволяет избежать затрат на Web Application Firewall, так как включает в себя механизмы мониторинга доступа к веб-серверам, а также контроль действий пользователей в трехзвенных приложениях. Система не зависит от администраторов и умеет контролировать работу привилегированных пользователей, которые из-за расширенных прав доступа относятся к «группе риска». И, наконец, «Гарда БД» легко интегрируется в существующие ИТ-инфраструктуры, такие как LDAP и SIEM для взаимодействия как с защищаемыми объектами, так и с другими системами безопасности.

Система контролирует СУБД Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, Sybase ASE, IBM Netezza, IBM DB2, Линтер и Apache Cassandra. Из веб-приложений она контролирует SAP Business Object, Microsoft Dynamics CRM, веб-формы и имеет гибкие настройки для работы с любыми бизнес- приложениями на основе HTTP(s)-протоколов. При обнаружении инцидентов она подает уведомление о событии на главном экране, а также при желании по электронной почте администратору или напрямую в SIEM-систему.

Как «Гарда БД» обнаруживает злоумышленников?

Типичная ситуация, от которой страдают многие компании: сотрудник с целью получения финансовой выгоды выгружает из CRM ценные сведения (например, ноу-хау или клиентскую базу). Подобный инцидент был предотвращен в одной финансовой компании. Сотрудник отдела по работе с клиентами, обладая широкими правами доступа к «горячим» сделкам, выгружал контактную информацию предполагаемого клиента и достигнутые договоренности по сделкам. А затем передавал информацию конкурентам, которые, предлагая лучшие условия, переманивали клиента.

Сценарии и последствия несанкционированного доступа к информации


Источник: Исследование «Черный рынок баз данных», 2016

Аномальная активность и доступ к базам вне служебной компетенции менеджера были обнаружены с помощью «Гарды БД». После чего последовали «разбор полетов» и увольнение двух человек – самого злоумышленника и администратора баз данных, предоставившего расширенный доступ к клиентской базе.

Приведенные примеры, конечно, демонстрируют далеко не все возможности «Гарды БД». Есть кейсы, когда система выявляла мошенничество, неправильно распределенные роли сотрудников, попытки кражи данных клиентов из CRM.

Практика расследования инцидентов с помощью «Гарды БД»

Некотролируемые базы данных

Администратор баз данных производственного предприятия, зная, что вне офиса доступ к базам данных будет для него закрыт, для удобства работы из дома создал несколько новых портов, не контролируемых через firewall. Но после проведения работ порт не был закрыт, и на компанию путем сканирования открытых портов была совершена хакерская атака с попыткой хищения производственной документации.

«Гарда БД» зарегистрировала подключение, детектировала подключение как новую базу данных и отправила оповещение администратору, которому удалось вовремя закрыть порты и предотвратить кражу ценной информации.

Раскрытие несанкционированного доступа к базам данных

В региональные отделения банковской сети в течение недели стали поступать многочисленные жалобы на частые звонки из якобы службы поддержки банка, уведомлявшей об обнулении клиентского карточного счета. В ходе расследования был выявлен инсайдер. Оператор банка перепродал мошенникам базу данных вкладчиков.

После поступления информации от клиентов банка, служба безопасности начала расследование по каждому клиенту. Были просмотрены обращения к данным всех позвонивших клиентов, выяснилось, что в разное время их осуществлял один и тот же человек. С помощью «Гарды БД» удалось выяснить, что эта же сотрудница отправляла подобные запросы к данным в течение 6 месяцев, и общее число клиентов составляет 1000 человек. Так как выглядели действия сотрудника вполне естественно и не вызывали аномальной активности, инцидент не был замечен сразу. Благодаря ретроспективному анализу удалось раскрыть всю преступную схему, предупредить клиентов, оказавшихся в зоне риска и уволить сотрудницу за нарушение коммерческой тайны.

Крупные утечки баз данных, получившие огласку, уже не раз приводили к потере доверия со стороны клиентов и даже краху компаний. Защита баз данных – это не только минимизация финансовых рисков, связанных с хищением коммерческих документов или клиентских баз. Это, прежде всего, защита репутации компании, которая заботится о своих клиентах, партнерах и сотрудниках, что стоит гораздо дороже специализированных средств защиты.