Обычно в любой крупной организации существует специальный отдел, занимающийся противодействием угрозам информационной безопасности. На сотрудников этого отдела чаще всего возлагаются следующие задачи:


  • Выявление попыток взлома учётных записей пользователей и попыток сканирования сетевых портов;
  • Борьба с компьютерными вирусами;
  • Отслеживание опасного и нежелательного программного обеспечения на компьютерах сотрудников;
  • Предотвращение мошенничества в сфере IT (фрод);
  • Выявление ошибок и сбоев в работе электронных систем организации;
  • Выявление потенциальных уязвимостей в системах защиты и хранения данных, которые могут использоваться для похищения конфиденциальной информации;
 

Все вышеперечисленные меры, как правило, направлены на защиту от действий сторонних хакеров, однако не менее опасными могут быть угрозы, исходящие изнутри, — от собственных сотрудников и подрядчиков, нанятых для выполнения каких-либо работ (например, разработки и внедрения информационной системы). При этом похищение или утечка конфиденциальных данных обычно происходит через такие каналы связи, как электронная почта, мессенджеры, социальные сети, облачные хранилища и т.д.


 

Сегодня на рынке присутствует достаточно много DLP-решений, позволяющих взять под контроль эти каналы, однако, на практике пути утечки не ограничиваются электронной почтой и веб-трафиком. Так, в корпоративной среде для хранения данных широко используются различные СУБД, взаимодействующие с клиентскими приложениями посредством специфических протоколов. Проблема в том, что большинство DLP-решений неспособны проводить исследование подобного трафика, поэтому для аудита баз данных требуются специализированные программы.


 

Межсетевой экран DataArmor Database Firewall предназначен именно для анализа сетевого трафика баз данных: Oracle, PostgreSQL, Netezza, GreenPlum, DB2, Teradata и др. В частности, встроенный в DataArmor функциональный компонент Data Audit служит для отслеживания и регистрации всех обращений клиентов к целевой БД, а также для регистрации ответов БД. Результаты аудита могут храниться во встроенном в файрволл хранилище данных или передаваться для анализа какой-либо SIEM-системе.


 
События аудита

События аудита

 

В процессе аудита DataArmor собирает информацию следующего характера:

  • Код SQL-запросов;
  • Сведения о сеансах работы пользователей с целевой БД: имена пользователей и клиентских приложений, IP-адреса, в которых исходили запросы, данные о длительности сеанса и т.д.;
  • Информацию о базе данных, к которой направлялись запросы: экземпляр БД, количество строк таблицы БД, на которые воздействовал перехваченный запрос;
  • Информацию об ошибках, возникших при обработке запросов БД.
 

В первую очередь, изучение результатов аудита помогает определить виновника уже свершившейся утечки и оценить нанесённый ею ущерб. Также аудит позволяет выявить случаи подозрительного поведения пользователей (например, нетипичные для них запросы, попытки доступа к запрещённым элементам БД и т.д.) и, следовательно, предотвратить похищение информации.


 

В состав компонента Data Audit также входят алгоритмы самообучения, благодаря которым DataArmor автоматически формирует список типичных SQL-запросов к целевой БД, считающихся безопасными (т.н. «Белый список»). Соответственно, при анализе данных аудита или во время настройки защиты БД от взлома администратор файрволла может рассматривать запросы, не вошедшие в Белый список, как подозрительные, и блокировать их или подвергать дополнительной проверке.


 

Вдобавок DataArmor располагает инструментами для составления отчётов, позволяющими просматривать информацию о трафике целевой БД в виде таблиц и диаграмм. Тем не менее, полноценный анализ результатов аудита невозможен без применения специальных инструментов, поэтому DataArmor легко интегрируется в большинство SIEM-систем благодаря поддержке протокола Syslog.


 

Вывод Функция аудита данных DataArmor позволяет контролировать поведение пользователей базы данных, поэтому она может стать дополнительной линией защиты вашей важной информации от компьютерных злоумышленников.

Комментарии
Илья

Доброго времени суток! А какие данные попадают в лог?

16.05.2016 15:24:05 Ответить
    Anton

    Здравствуйте. В логи аудита попадает следующая информация: - данные сессии; - информация о пользователе БД и клиентском приложении, которое использовалось для обращения к БД.

    16.05.2016 15:59:34 Ответить
Илья

А данные самих запросов тоже попадают в лог?

16.05.2016 16:01:54 Ответить
Anton

Да, передаётся SQL-код перехваченного запроса.

16.05.2016 16:02:13 Ответить