Актуальная архитектура защиты от инсайдера

Актуальная архитектура защиты от инсайдера

«Гарда БД» − востребованное автоматизированное решение для банковских бизнес-систем, баз данных и приложений.

Базы данных – наиболее ценный источник конфиденциальной информации банковской сети в сравнении с теми же серверами и ПК. Поэтому защита баз данных становится одним из приоритетных направлений работы службы информационной безопасности в финансовых организациях.

Актуальные угрозы для баз данных в банках

Есть два ключевых фактора, влияющие на безопасность баз данных — это привилегированные пользователи с неограниченным доступом к данным и недостаточный аудит доступа к данным.

Как правило, корпоративная сеть считается защищённой межсетевыми экранами и другими сетевыми средствами защиты периметра. Но обнаружить атаки на данные со стороны легитимного пользователя-инсайдера, который успешно авторизовался в базе данных, такой подход не позволит.

Как показывают исследования аналитического центра «Гарда Технологии», 91% утечек баз данных, оказавшихся в свободной продаже на чёрном рынке, — дело рук инсайдеров. Как правило, в формате готовой базы продаются выгрузки, обычно в формате xml, полученные в результате выгрузки из АБС банка или CRM-систем. С такими ситуациями сталкиваются даже банки из ТОП-10 страны.

Как снизить риск утечек баз данных?

Это комплексная задача, включающая постоянный анализ привилегий пользователей баз данных, настройку аудита и мониторинг действий пользователей в базах данных.

Регулярный анализ привилегий даёт возможность службе безопасности ограничить доступ пользователей к конкретным базам данных, а аудит и мониторинг – увеличить эффективность расследования инцидентов по фактам мошенничества и предотвратить аналогичные инциденты и реализацию мошеннических схем.

Встроенный аудит баз данных

Этот функционал существенно влияет на производительность сервера, что вынуждает многие организации ограничивать или полностью отключить аудит. Большинство собственных механизмов аудита уникальны для платформы сервера баз данных. Например, журналы Oracle не такие как PostgreSQL, а журналы PostgreSQL отличаются от Teradata. Для крупной банковской сети с гетерогенными средами баз данных это препятствие для реализации единых масштабируемых процессов аудита, мониторинга и отчётности.

Контроль действий привилегированных пользователей

Пользователи, обладающие административным доступом к базе данных либо законно, либо преднамеренно могут отключить встроенный аудит базы данных, поэтому нужна система независимого аудита действий пользователей баз данных со стороны службы информационной безопасности.

Аудит пассивных операций

Прикладной аудит не позволяет отслеживать операции «пассивного» просмотра конфиденциальной информации в базах данных со стороны пользователей — одной из основных составляющих в мошеннических операциях. Примеры «пассивных» операций: просмотр остатков по счётам VIP-клиентов и организаций, данных по учредителям и другой ценной информации, используемой инсайдерами для перепродажи.

Выявление аномалий в поведении пользователей и приложений

Для выявления мошеннических схем также требуется анализ данных аудита баз данных. Разблокировка банковских карт клиентов, операции по ним, блокировка банковской карты, движение средств с «малоподвижных» счетов. Сами по себе такие операции не свидетельствуют об угрозе вывода денежных средств со счетов клиентов. Но анализ событий во времени и с привязкой к другим событиям позволяет раскрыть мошеннические схемы.

Для непрерывного аудита доступа к базам данных, оперативного выявления аномалий, расследования и предотвращения мошеннических действий со стороны сотрудников банков применяются автоматизированные решения по защите баз данных и веб-приложений класса DAM (Database Activity Monitoring – Мониторинг активности базы данных).

Как работает автоматизированная система защиты баз данных и веб-приложений банков?

Аппаратно-программный комплекс «Гарда БД» российского производителя систем информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») осуществляет аудит и мониторинг баз данных крупных банковских сетей. Для высоконагруженных автоматизированных процессинговых систем, когда недопустимо влияние на вычислительные ресурсы серверов, применяется безагентское решение, основанное на анализе копии трафика с сетевого оборудования. Для остальных систем применяется агентское решение, позволяющее отслеживать локальные подключения к базе данных, решая задачу контроля администраторов БД.

«Гарда БД» позволяет анализировать большинство сетевых протоколов СУБД для обмена между клиентами и серверами баз данных, используемых в банке. Для связи событий баз данных между собой и с другими источниками используется инструменты поведенческого анализа, интегрированные в АПК, и SIEM системы, для которых DAM-система — один из источников данных.

Большинство современных банковских систем строит свою работу по принципу трёхзвенных подключений, где между клиентом и сервером БД используется дополнительное звено – сервер приложений.

Схема трёхзвенной архитектуры

При трёхзвенной архитектуре приложения все подключения к базе данных совершаются от технологических учётных записей, так как соединение с базой данных устанавливает не клиент, а сервер приложения. По этой причине, анализируя только SQL-трафик к базе данных, возможность определить пользователя, инициировавшего запрос, существует далеко не всегда.

Для решения задачи персонификации действий пользователей в трёхзвенных приложениях можно использовать разные подходы, зависящие от логики работы приложения:

1. Выделение информации о конечном пользователе исключительно из SQL-трафика. Такая возможность появляется, когда сервер приложения передаст информацию о конечном пользователе в SQL-трафике. Это может быть передача учётной записи в инициализирующем запросе, в переменных или же возвращение с ответами на запрос.
2. Взаимосвязь HTTP и SQL-трафика. Способ требует подачи на DAM-систему сегмента HTTP-трафика, из которого выделяется учётная запись пользователя.
3. При этом гарантированный результат при персонификации будет только в случае передачи сервером приложения некоторого уникального идентификатора сессии пользователя в SQL-трафик.
4. Использование только сегмента HTTP-трафика для задач персонификации и аудита доступа и проведения расследований. Этот подход может применяться для критичных систем, так как кроме определения пользователя, он позволяет вести аудит всех ответов на запросы, то есть той информации, которую пользователь получает в веб-браузере.

«Гарда БД» позволяет решить задачу защиты трёхзвенных приложений всеми тремя способами.

Построенная таким образом система безопасности бизнес-систем, позволяет вести архив действий сотрудников. При этом не нужно вносить изменения в архитектуру приложения, устанавливать агентские решения на сервера приложений или на пользовательские компьютеры.  Система не оказывает никакого влияния на работу приложения и базу данных.

Система позволяет с высокой эффективностью проводить расследования по фактам мошенничества с участием персонала банка, а также независимую экспертизу действий ИТ-персонала при возникновении инцидентов в ИТ-инфраструктуре банка.

«Гарда БД» решает задачи по аудиту и мониторингу пользователей в базах данных даже при большом объёме обрабатываемой информации в автоматизированных системах банковского сектора, поддерживая разнородную инфраструктуру и высоконагруженное оборудование, и становится важной составляющей защиты данных в компании.