Комплексный подход к защите от утечек в корпоративной среде
Инциденты, связанные с утечкой или кражей персональных либо коммерчески ценных данных и другой конфиденциальной информации, к сожалению, далеко не редкость. Мы регулярно читаем о таких происшествиях в новостных лентах, несмотря на государственное регулирование и наказания для организаций, допустивших кражу персональных данных. Значит, проблему нужно решать на технологическом уровне.
Защита данных — комплексная задача, решение которой может быть усилено синергией нескольких технологий и набором подходов, интегрированных между собой. Любые данные имеют свой жизненный цикл, от создания до удаления. На всех этапах жизни и движения данных необходимо выстраивать соответствующие рубежи защиты.
Рубежи обороны
Говоря о крупных массивах данных, информация из которых становится желанной добычей злоумышленников, важным рубежом защиты от утечки является непосредственно защита баз данных, хранящих эту информацию. Чаще всего именно из них происходят утечки и их попадание на устройства сотрудников. Следующий важнейший барьер — DLP-система, обеспечивающая защиту от попадания этих сведений с корпоративных устройств за пределы контура компании
Для активной защиты баз данных используется технология DAM (Database Activity Monitoring) совместно с DBF (Database Firewall). Группа компаний «Гарда» объединяет две технологии в один продукт «Гарда DBF» — средство активной защиты, которое в режиме реального времени осуществляет независимый аудит и мониторинг операций, связанных с базами данных и бизнес-приложениями. Система также контролирует действия привилегированных пользователей, часто вольно или невольно становящихся причиной утечек. Активная защита — это не только мониторинг и оповещения, но и блокировка нежелательных операций.
Зачем нужен DBF?
Система «Гарда DBF» помогает выявлять и предотвращать различные сценарии утечки данных. Злоумышленники могут находиться как внутри компании, так и во внешнем периметре, а «Гарда DBF» защищает в обоих случаях. Также система позволяет быстро и эффективно решить задачу соответствия нормативам и требованиям различных стандартов защиты данных. Например, в финансовом секторе это соответствие регламентам PCI DSS и NSPK по защите карточных данных. Не менее важен сценарий по контролю действий привилегированных пользователей, прежде всего администраторов баз данных, обладающих неограниченным доступом. Также «Гарда DBF» решает задачу по разгрузке баз данных от нативного аудита и нагрузки, которую создают встроенные в СУБД собственные средства мониторинга.
Совместная работа DBF и DLP
Наиболее эффективна работа систем DBF и DLP в тандеме. Как мы уже сказали, она представляет собой «двойной рубеж» защиты на всех этапах продвижения информации, содержащейся в базе данных. Как работает это взаимодействие? Расскажем на примере. «Гарда DBF» фиксирует и блокирует инциденты и нештатные ситуации, подозрительную активность пользователей и приложений, работающих с базой данных. DBF предотвращает и сигнализирует об утечке, а DLP уже в свою очередь, в случае если утечка все же произошла, не позволит выйти таким данным за предел корпоративного контура.
Объекты контроля DBF
DBF можно применять для настройки индивидуальных политик безопасности и ролевых матриц поведения пользователей в компании для выявления и предотвращения сценариев утечки данных. В числе объектов мониторинга, за которыми следит администратор безопасности БД с помощью DBF-системы, могут быть различные объекты базы данных: таблицы, представления, процедуры и пользователи, имеющие к ним доступ, — например, пользователи СУБД, ОС и приложений. Таким образом, DBF добавляет полную прозрачность в использование данных и отвечает на вопросы, кто, где, когда и что делает в базе данных. Наблюдение ведется на основе не только запросов к СУБД, но и ответов, поступающих к пользователю от СУБД. Анализ ошибок позволяет выявить факты подбора паролей, попытки доступа к объектам без согласованных привилегий, а также SQL-инъекции. Что касается запросов, они могут быть направлены и на изменение информации в целях мошенничества. DBF может предотвратить и такие действия, помимо кражи самих данных.
Особое внимание уделяется контролю поведения администраторов баз данных, которые наделены практически неограниченными правами. Важно отметить, что в системе «Гарда DBF» жестко разделены роли администратора базы данных и администратора безопасности базы данных. Следовательно, соблюдается концепция разделения обязанностей — Separation of Duties (SoD). Это означает, что системные администраторы и администраторы СУБД выполняют свои обязанности, не наблюдая сами за собой, а администратор безопасности наблюдает за всеми активностями СУБД и приложений и их администраторами.
Снижение нагрузки на системы и на людей
В чем преимущества наложенных средств защиты данных, таких как «Гарда DBF», над инструментами нативного аудита (то есть встроенными в СУБД средствами защиты)? Помимо разделения обязанностей администратора безопасности и администратора базы данных, когда при использовании встроенных инструментов аудита обе эти роли будет выполнять один человек, не менее важное преимущество — уменьшение нагрузки на базу данных. Наконец, благодаря встроенным в «Гарда DBF» механизмам аналитики администраторам не нужно самостоятельно изучать и анализировать собранные логи событий.
Настройка по требованиям
Процесс настройки «Гарда DBF» основан на задачах, для решения которых продукт приобретается и внедряется. Если это отвечает тому или иному стандарту безопасности, то систему можно настроить в полном соответствии с требованиями такого стандарта. Если у заказчика есть собственные сценарии безопасности, основанные на реальных кейсах, он может добавить в правила и их тоже. Если заказчик затрудняется внести в настройки готовые сценарии защиты, он может отметить, как его сотрудники используют базы данных в своей обычной работе, стандартных бизнес-процессах. Это называется профилированием, и любое отклонение от него будет считаться инцидентом безопасности, на который система отреагирует.
Как DLPи DBF выявили мошенническую схему
Как выявить нарушения администраторов с помощью DBF и DLP
Хотелось бы привести один из типичных примеров применения продукта «Гарда DBF» в связке с DLP. В банке привилегированный сотрудник, администратор базы данных, имел доступ к массиву данных, в котором хранились номера кредитных карт и персональные сведения клиентов банка. Детектирование утечки в этом случае упрощалось тем, что подобный привилегированный доступ имело ограниченное количество сотрудников, поэтому «круг подозреваемых» узок. Инсайдер осуществил выгрузку конфиденциальной информации из базы данных на свое устройство в табличном виде, «Гарда DBF» отправила об этом предупреждение в SIEM-систему. Такие операции можно автоматически блокировать встроенными средствами системы, но если блокировка не была сделана, данные об этом пользователе сохраняются и уже средствами «Гарда DLP» можно настроить пресечение дальнейших действий злоумышленника или хотя бы их контроль. Злоумышленник, например, решает отправить данные «наружу» через Telegram. Сотрудники службы безопасности могут включить анализ контента для этого конкретного пользователя или группы пользователей. Контентный анализ, в частности, может включать номера кредитных карт в количестве более двух строк таких данных. При обнаружении подобной информации поступает предупреждение, а далее, как говорится, уже можно принимать административные меры. Каналов для отправки контента может быть великое множество: от флешки и электронной почты до облачного хранилища. Все это можно защитить и проконтролировать средствами DLP.
У читателей может возникнуть вопрос: а почему «первый рубеж» обороны - DBF-система - все же был преодолен злоумышленником? Дело в том, что проактивная защита выставляется согласно приоритетам защиты и актуальна для части пользователей. Например, администраторы СУБД или операторы кол-центров могут наблюдаться в режиме активной защиты. Однако стандартные бизнес-процессы и высоконагруженные системы могут не требовать радикальных мер, таких как блокировка. В этих системах достаточно осуществлять наблюдение и аудит, высылая предупреждения о подозрительной активности. Администратор безопасности в любом случае будет осведомлен о потенциальной угрозе и о том, с какими данными взаимодействует тот или иной пользователь. В дополнение, в качестве «последнего рубежа» защиты, используется DLP.
Система «Гарда DLP» отличается рядом преимуществ от конкурентов, в том числе и российских. Это небольшая нагрузка на системные ресурсы как в Windows, так и в MacOS или в Linux. Можно упомянуть и поддержку геокластера с единой консолью управления, что актуально для компаний, имеющих территориально распределенную структуру филиалов и подразделений.
Заключение
Комплексное решение по защите информации на базе DBF и DLP может использоваться во многих областях, где хранятся данные клиентов, вызывающие потенциальный интерес у злоумышленников или у конкурентов, и к этим данным имеет доступ достаточно большое число сотрудников. Это банки, операторы связи, ретейлеры, страховые компании, учреждения здравоохранения.
Актуальные вопросы защиты данных на всем жизненном цикле, новшества в требованиях регуляторов, успешные практики применения отечественных систем информационной безопасности и многие другие вопросы эксперты отрасли, представители ФСТЭК, Минцифры и Роскомнадзора обсудят на конференции «Защита данных: сохранить всё», которая состоится 23 октября в Москве.
Реклама ООО"Гарда Технологии" erid: LjN8JuGAe
Опубликовано 29.09.2023
