Донецкий техникум промышленной автоматики

Крадіжки баз даних: як не допустити витоку ключових активів

«Гарда БД» - це апаратно-програмний комплекс по захисту баз даних і веб-додатків, який працює на мережі підприємства і на серверах СУБД у вигляді агента, не робить вплив на роботу мережі і дозволяє контролювати локальні підключення.

Система «Гарда БД» побудована на двох основних компонентах. Перша - аналізатор, який займається моніторингом мережевих запитів до баз даних і серверів додатків, перевіряючи їх в режимі реального часу на відповідність політикам безпеки. Другий компонент - це центр управління, який представляє собою сховище даних власної розробки (забезпечує зберігання, запис трафіку, індексацію і швидкий пошук по всіх даними, що надходять) і потужна аналітична система, що дозволяє обробляти всю інформацію про несанкціонований доступ та будувати звіти за будь-який період часу.

Ключова функціональна можливість системи «Гарда БД» - виявлення і сканування баз даних. Вона знаходить все БД в корпоративній мережі і бере їх під захист. Це вкрай актуально в умовах розподілених мереж і великого числа інсталяцій інформаційних систем, коли навіть адміністратори не відразу можуть відповісти на питання, які бази у них є. Більш того, фахівці «МФІ Софт» називають випадки, коли ІТ-служба замовника вважала, що компанія використовує три СУБД, а насправді їх було більше десяти.

Після виявлення баз даних система проводить їх сканування, за результатами якого визначається, в яких з СУБД міститься критична інформація, дозволяючи, таким чином, звузити перелік об'єктів, що захищаються.

Інтерфейс управління «Гарда БД»

Інтерфейс управління «Гарда БД»

Джерело: Система захисту баз даних «Гарда БД»

Для створення оптимального захисту система сканує СУБД на відомі уразливості. Таким чином, виявляються незаблоковані облікові записи, невстановлені патчі, облікові записи з простими паролями і визначається активність системних облікових записів інших додатків.

Третій етап - сканування прав користувача. Це допомагає відповісти на питання, якими привілеями володіють співробітники і як ця картина змінюється з часом.

Найважливіше завдання DAM-системи - моніторинг даних, який повинен виявляти можливі інциденти. Для цього за допомогою простого конструктора створюються політики безпеки, і система аналізує мережевий трафік і локальні підключення (адміністраторів) в реальному часі. Інформація про все трафіку запитів і відповідей до баз даних і веб-серверів доступна для побудови звітів силами самої системи.

«Гарда БД» може працювати з великими масивами даних. Система здатна аналізувати потужний потік трафіку і здійснювати пошук в сотнях терабайт даних за все за 1-3 секунди. Якщо потрібна ще більша продуктивність для роботи на більших, розподілених інфраструктурах, систему можна масштабувати. Крім того, «Гарда БД» в ряді випадків дозволяє уникнути витрат на Web Application Firewall, так як включає в себе механізми моніторингу доступу до веб-серверів, а також контроль дій користувачів в триланкових додатках. Система не залежить від адміністраторів і вміє контролювати роботу привілейованих користувачів, які через розширених прав доступу відносяться до «групи ризику». І, нарешті, «Гарда БД» легко інтегрується в існуючі ІТ-інфраструктури, такі як LDAP і SIEM для взаємодії як з захищеними об'єктами, так і з іншими системами безпеки.

Система контролює СУБД Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, Sybase ASE, IBM Netezza, IBM DB2, Линтер і Apache Cassandra. З веб-додатків вона контролює SAP Business Object, Microsoft Dynamics CRM, веб-форми і має гнучкі налаштування для роботи з будь-якими бізнес додатками на основі HTTP (s) протоколом. При виявленні інцидентів вона подає повідомлення про подію на головному екрані, а також при бажанні по електронній пошті адміністратору або безпосередньо в SIEM-систему.