Поделиться
Базы данных: как защититься от инсайдеров?
Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.Ясно, что целью анализа является отделение "правильных" операций от противоправных (или хотя бы от "подозрительных", если сразу не можем точно отделить одни от других).
В некоторых случаях для этих целей можно построить автоматизированные процессы контроля, например, для сравнения списков авторизованных изменений прав пользователей с реально осуществленными операциями (о чем упоминалось выше).
Иногда стоит попробовать "искать под фонарем", т.е. анализировать то, что легче всего поддается изучению. При этом не следует пренебрегать интуитивными способностями, в том числе "пространственным" знанием объекта, концентрирующим предыдущий опыт – т.е. знанием о конкретном содержимом базы, об используемых приложениях, персоналиях, осуществляющих доступ, и проч.
Например, в банке, глядя на отчет о лицах, имевших объемный доступ к таблице с персональными данными, можно на интуитивном уровне и с учетом "пространственного" знания объекта определить, кто действительно мог иметь необходимость работы с ними, а кто вызывает подозрение. Или на производственном предприятии: объемный доступ к информации об экспортных операциях со стороны группы лиц не вызовет подозрений, если известно, что руководство поручило им подготовку аналитического отчета по этой теме.
В каждой конкретной индустрии и на каждом конкретном предприятии такой "интуитивный" анализ может быть весьма эффективным и даже быть оформлен в виде некоторого внутреннего стандарта, однако, как мы увидим ниже, он имеет ряд ограничений.
Приведем еще несколько примеров. Так, если некто с нехорошими намерениями написал процедуру перекачки информации из таблицы с персональными данными во временную таблицу, не вызывающую подозрений, и в результате получил к ним доступ, не привлекая пристального внимания со стороны контролирующих структур – это явная брешь в защите данных.
Еще один пример. В базе данных появились таблицы, содержащие конфиденциальную информацию, но в силу слабого взаимодействия между подразделениями контролирующая служба узнала о них с опозданием. Риск злоупотреблений при бесконтрольном доступе к этим данным – налицо.
Для устранения такого рода "брешей" в защите следует включить в сферу наблюдения более широкий спектр внутренних операций компании, чтобы сделать возможным всесторонний анализ.
Для фокусирования внимания к наиболее важным компонентам информационной системы служит классификация наблюдаемых объектов, ограничение каналов доступа к данным, формализация процедур работы привилегированных пользователей. Все это позволит сделать анализ даже на интуитивном уровне более всеохватывающим, включив в сферу контроля те области, которые ускользали от нашего внимания, а в ряде случаев позволит внедрить формализованные процедуры контроля.
Инструментарий для аудита доступа к БД, поставляемый компанией SoftBCom
- Полный перехват SQL- трафика обращений к базе данных на сетевом уровне и на уровне консольного доступа
- Полная регистрация трафика доступа к БД
- Онлайн- контроль и нотификации
- Отчеты по накопленным данным
- Модель БД на этапе разработки и воссоздаваемая методами обратного проектирования, с возможностью указания уровней конфиденциальности данных через атрибуты
- Построение и сопровождение "эталонной" модели
- Контроль соответствия схем "живой" базы и ее параметров "эталонной" модели, хранящейся в архиве
Итак, суммируя вышесказанное, получаем набор действий, требуемых для организации контроля доступа к БД, порядок выполнения которых может меняться, но суммарно должен содержать следующее.
Необходима реализация на деле "всевидящего ока", т.е. регистрация полного следа, включающего абсолютно все активности, связанные с базой данных. Это пригодится не только для анализа, о котором ведется речь, но и при расследованиях обнаружившихся фактов утечек информации (и для установления еще более высокого уровня "психологического" барьера для потенциальных инсайдеров, о котором говорилось в самом начале).
Классификация объектов БД при помощи атрибутов, характеризующих степень конфиденциальности, поможет "сузить" область наиболее пристального внимания. Исключение возможности внедрения в базу любых "левых" объектов: фиксация эталонной схемы БД, реализация стандартного бизнес-процесса внесения изменений, введение периодического контроля соответствия схем "живой" БД и архивного эталона позволит быть уверенными, что в базе не происходит "внутренней" утечки.
Формализация процессов работы привилегированных пользователей и ввод документированных бизнес-процессов изменения прав, внесения изменений в схему обеспечит контроль наиболее “чувствительных” операций. Практически полный запрет работы с консоли на сервере БД исключит возможность мошенничества, связанного с временным отключением функций контроля (возможность доступа к БД с консоли при любой реализации контроля не может исключить определенных уязвимостей). Работа с консоли должна разрешаться строго ограниченному кругу лиц и быть подчинена жестким правилам.
Детальная проработка объема и частоты наблюдения, в том числе задание онлайновых нотификаций о нестандартной активности, выдача периодических оффлайновых отчетов, их рассмотрение с учетом "пространственного" знания объекта позволит сопоставлять реальную активность по работе с данными модельным представлениям, построенным на основе всех возможных источников. Для более многостороннего анализа поможет статистическое профилирование доступа по типам должностных обязанностей пользователей с последующим сравнением повседневной активности каждого из них с модельным профилем – для выявления и анализа фактов нетипичного поведения.
Таким образом, наблюдение становится более всеохватывающим, контроль – более плотным.
Техническая реализация полного аудита по типу "всевидящего ока", практически не оказывающего влияния на объектную систему, хотя и не является широко распространенной, на самом деле особой трудности сегодня не представляет.
С использованием полного аудита, формализацией процедур работы привилегированных пользователей и внедрением контроля схемы БД существенно сужаются возможности получения данных из БД за рамками стандартных операций доступа.
Осталось одно: автоматический контроль каждого акта доступа к данным.
Этот шаг по пути эскалации степени контроля дается с бОльшим трудом, и полностью реализовать его – скорее всего, утопия.
Что он означает? Автоматический контроль всех бизнес-процессов, включающих доступ к важным данным. Например, если оператор call-центра телефонного провайдера получил запрос на выдачу детализированного счета для определенного абонента, должна существовать возможность автоматического сопоставления факта доступа к базе с наличием авторизации соответствующего клиентского запроса относительно этой детализации.
Для некоторых выделенных бизнес-процессов реализовать подобный контроль не так уж сложно, но охватить им все акты доступа к данным…
Возвращаясь к началу этой статьи, отметим, что, несмотря на трудности, содержащиеся в самой постановке задачи по обнаружению вредоносной или подозрительной активности инсайдеров, в ее реализации может быть достигнут серьезный прогресс при выстраивании подхода, объединяющего полноту собираемых данных о фактах доступа, скрупулезную работу по ограничению возможных "каналов" утечки, построение автоматизированного контроля бизнес-процедур, включающих работу с корпоративными данными, и применение конкретных "пространственных" знаний о внутренних процессах в компании для анализа всех существующих активностей.
Владимир Дудченко
Поделиться
Короткая ссылка
