Мониторинг и защита баз данных | Система защиты Гарда БД

Защита «Больших данных»

ГАРДА БД ОБЕСПЕЧИВАЕТ ЗАЩИТУ BIG DATA: РЕЛЯЦИОННЫХ (ХРАНЯТСЯ В ТАБЛИЦАХ), НЕ РЕЛЯЦИОННЫХ (ХРАНЯТСЯ В СПЕЦИАЛЬНЫХ КЛАСТЕРНЫХ ХРАНИЛИЩАХ С ВОЗМОЖНОСТЬЮ РАСПРЕДЕЛЕННОЙ ОБРАБОТКИ)

Журнал данных. Возможность группировки данных по времени – логинам - приложениям и другим свойствам

Контролируем доступ к любым Big Data системам через Rest API

Полностью поддерживаем протокол HTTP до уровня данных

Поддержка Hortonworks Data Platform

Унифицируем подходы к защите реляционных и NoSQL баз данных

Данные вашей компании являются Big Data, если они:

Занимают большой объём >100 Тб
Слабо структурированы
Приходят из множества источников
Должны обрабатываться в режиме реального времени
Растут в размере хранения более чем на 50% в год

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ

Политика Безопасности

Правила работы системы задаются в конструкторе политик безопасности

Большой выбор критериев и их объединений
Предустановленные шаблоны регулярных выражений (персональные данные, банковские карты и т.д.)
Синхронизация с LDAP = возможность обогащение перехваченной информации
Экспорт результатов работы политик в SIEM
Архивация перехваченных данных по конкретной политике
Политики блокировки позволяют предотвращать нежелательные операции с СУБД
Список предустановленных политик ИБ:
- Помогают в регулярных задачах ИБ
- Закрывают требования регуляторов
- Эффективно защищают БД «из коробки»

Критерии формирования политик

IP-адрес клиента
Имя пользователя в БД
Имя пользователя в ОС
Название клиентского ПО
Результат аутентификации
Дата/время запроса
Запрашиваемые/передаваемые поля таблицы, синонимы, представления
Объем данных ответа/запроса
Имя объекта БД
Ключевое слово
Тип SQL-команды

Обнаружение и классификация БД

Система автоматически находит новые БД, не стоящие на контроле, и классифицирует их по типу хранимых данных (например, выявляет персональные данные)

На основе типа данных «Гарда БД» автоматически сформирует политики ИБ для новой базы данных. Постановка на контроль также может осуществляться автоматически.

Всегда актуальный перечень СУБД компании.
Обнаружение новых БД (создание новых ИС/АС).
Выявление открытия новых портов, изменения IP-адресов СУБД.
Контроль обезличенности баз данных компании

Сканирование БД

«Гарда БД» проводит сканирование контролируемых баз данных.

Это позволяет решать задачи, связанные не только с контролем доступа, но и с некорректными настройками безопасности

Классификация

Поиск местонахождения критичной информации
Создание политик по результатам сканирования
Настройка уровня угроз

Уязвимости

Неустановленные обновления
Проверка оптимальности конфигурации СУБД
База проверок на уязвимости

Матрицы доступа

Построение карты доступа вида «Пользователь – Объект доступа (таблицы, функции) – Тип прав доступа»
Сравнение текущей картины с эталонной

Контроль и Аналитика

Встроенные средства аналитики позволяют выявлять отклонения в обычных сценариях работы пользователей БД и предоставляют наглядные статистические отчеты

Интерактивная отчётность
Конструктор отчётов с возможностью анализа любого объёма данных за любой промежуток времени
Возможность создания индивидуального дашборда
Поведенческий анализ пользователей БД (UEBA)
Уведомление о нарушениях по электронной почте
Уведомление о выявленных аномалиях в SIEM

Динамическое Профилирование (UEBA)

Встроенные средства аналитики позволяют выявлять отклонения от обычных сценариев работы пользователей БД и формируют наглядные отчёты по инцидентам.

Автоматическое построение профилей в режиме обучения

Учитываются:

Логины, приложения, IP-адреса, названия таблиц и полей
Особенности работы каждого сотрудника
Информация о регионе

Выявление отклонений от профилей

Нетипичное поведение для данного пользователя
Чужие IP-адреса, ранее не используемые таблицы, приложения и рабочие места:
- Статистические аномалии
- Большое количество запросов
- Большие выгрузки
- Много неуспешных авторизаций

Контроль Веб-приложений и 1С

Контроль веб-приложений

Детальный разбор HTTP/HTTPS-трафика с выделением данных из веб-форм
Возможность дешифрации HTTPS-трафика как в пассивном, так и в режимах работы «вразрыв»
Персонификация пользователей с возможностью выделения учетных записей
По протоколам передачи данных HTTP/HTTPS
По протоколам аутентификации Kerberos, NTLM
Аутентификация (web form authentification)
Детальный разбор http/https-трафика с выделением данных из веб-форм

Мониторинг действий пользователей в системах 1С

Служба информационной безопасности в интерфейсе системы видит не только обращения к СУБД, но и все пользовательские действия, позволяющие понимать, какая информация, находящаяся в системе 1С, была модифицирована, а к какой были обращения со стороны пользователей, с привязкой к учётным записям.

Защита от Действий Администраторов

Модуль «Серверный агент»

Позволяет протоколировать и/или блокировать действия на сервере БД
Не оказывает существенного влияния на серверы баз данных
Позволяет контролировать изменение конфигурационных файлов СУБД
Инновационные технологии «Гарда Технологии» позволили минимизировать влияние серверного агента на сервер.
Поддерживаются ОС семейства Redhat, AIX, Windows Server, Solaris, Suse

СЕТЕВОЙ ЭКРАН

Блокирует нежелательные действия пользователей, противоречащие политикам безопасности

Умная система самообучения анализирует деятельность операторов БД для предотвращение ложных срабатываний. Для гарантирования доступности защищаемых баз данных сетевой экран ставится в режиме отказоустойчивости.

Возможность дешифрации HTTPS-трафика по принципу Man in the middle (MITM)
Возможность реализации системы разграничения прав доступа к СУБД для аттестации ИС, использующих несертифицированные СУБД

Блокировка реализуется по принципу L3 Reverse Proxy Firewall, благодаря чему обеспечивается повышенная отказоустойчиивость. Гибкий конструктор политик и блокировки по правилам на агенте предотвращают утечку данных с уведомлениями о заблокированных сессиях в интерфейсе системы.

ЗЕРКАЛИРОВАНИЕ ТРАФИКА

Применяется для пользователей, которые обращаются к БД напрямую или через трехзвенные приложения

Используются агенты для контроля локальных подключений либо перенаправления всего сетевого трафика к базам данных.

Горизонтальное масштабирование
Позволяет защищать высоконагруженные, в том числе территориально-распределенные системы любого масштаба из единого интерфейса

Преимущества решения

Более 30 поддерживаемых российских и зарубежных СУБД, в том числе на технологиях BigData
Поддержка распределённой кластерной инсталляции и централизованного управления из единого интерфейса
Множество способов подачи трафика (агенты, подача данных с TAP-устройств/SPAN, GRE, ERSPAN)
Высокая производительность (обработка 10ГБит/с и выше), неограниченная возможность кластеризации
Сетевой экран с функцией блокировки и динамической балансировки трафика
Возможность дешифрации HTTPS-трафика как в пассивном режиме, так и при инсталляции «в разрыв»
Персонификация пользователей с возможностью выделения учетных записей

Контроль привилегированных пользователей
Гибко настраиваемые фильтры, автоматическое формирование списков критериев для использования в политиках
Инцидент-менеджмент
Сводные отчёты (в том числе отчёт по уязвимостям)
Встроенный модуль контроля Web-приложений, не требующий отдельных лицензий
Контроль неявных обращений к СУБД
Динамическое профилирование (UEBA) с уведомлениями и отчётами
Доменная авторизация

Функциональные возможности

Агентские решения под популярные СУБД

Агенты с функцией перенаправления трафика, контроля локальных подключений и блокировки доступа к СУБД под операционные системы Linux, Windows, AIX, Solaris и пр.

Обнаружение и классификация баз данных

Автоматическое обнаружение новых баз данных. Реагирование на изменения настроек имеющихся баз
Сканирование баз данных на наличие конфиденциальной информации, номеров кредитных карт, ИНН и пр.
Проверка БД на обезличенность

Сканирование на уязвимости

Активные предустановленные учетные записи
Неустановленные патчи
Учетные записи с простыми паролями
Расширенные привилегии доступа к системным объектам СУБД

Ретроспективный анализ

Хранение всех ответов и запросов пользователей и приложений с возможностью ретроспективного анализа за любой период времени.
Маскирование платёжных данных в хранилище

Контроль бизнес-приложений

SAP Business Object
Microsoft Dynamics CRM
1С
Веб-формы
Гибкие настройки для работы с любыми бизнес-приложениями на основе HTTP(s)-протоколов

Мониторинг в реальном времени

Гибкий конструктор политик безопасности помогает осуществлять контроль и выявление потенциальных инцидентов в режиме реального времени
Большой список предустановленных политик для часто решаемых задач безопасности

Система отчётности

Детализированная отчетность по всем событиям безопасности и операциям пользователей СУБД
Наличие базы предустановленных отчетов

Уведомление о событии

SIEM
Электронная почта
Отчёт на главном экране

Практика применения "Гарда БД"

Размеры премий сотрудников стали известны коллегам

Ситуация В одном из крупнейших банков сотрудники смежных подразделений стали часто ходить к начальству с обидами на то, что размер их премии сильно меньше, чем у коллег. Откуда им эта информация стала известна – они не уточняли. Само собой, для сотрудников (за исключением бухгалтеров), доступ к счетам работников запрещен.

Действия службы ИБ Детальный анализ ситуации с помощью Гарда БД показал, что Справочная служба банка в рамках своих должностных обязанностей имеет доступ к данным клиентам не напрямую через CRM или ERP, а благодаря возможности видеть последние движения по платежным картам, в случае обращения клиентов с таким вопросом. Оказывается, работники Справочной службы «по дружбе» скидывали коллегам размеры поступлений зарплаты.

Решение После детального расследования в Гарда БД были настроены правила для оперативного реагирования на такие ситуации.

Звонки от банковских мошенников

Ситуация В один банк в течение недели стали поступать многочисленные жалобы на частые звонки из якобы службы поддержки банка. Под видом сотрудников, мошенники выясняли личные данные клиентов и заставляли совершать переводы на подставные счета.

Действия службы ИБ Служба безопасности начала расследование по каждому клиенту. Были просмотрены обращения к данным всех позвонивших клиентов, был выявлен инсайдер. При помощи ретроспективного анализа удалось выяснить, что эта же сотрудница отправляла подобные запросы к данным в течение 6 месяцев и общее число клиентов составляет более 1000 человек. Так как выглядели действия сотрудника вполне естественно и не вызывали аномальной активности – инцидент не был замечен сразу.

Решение Благодаря своевременному анализу удалось раскрыть всю преступную схему, предупредить клиентов, оказавшихся в зоне риска и привлечь к ответственности нарушителей. После инцидента были пересмотрены политики и ролевые модели доступа к банковским системам. Гарда БД позволяет не только проводить ретроспективные расследования, но и помогает не допускать инциденты в будущем.

Чувствительные данные клиентов стали массово утекать

Ситуация В банке сотрудникам службы ИБ был известен десяток способов получения справок и выгрузок данных по счетам клиентов в информационных системах (АБС и других). Все эти возможные методы успешно контролировались. Однако, случаи утечек личных данных (популярная на черном рынке услуга - «пробить человека») стали учащаться, при этом ни один из известных каналов использован не был.

Действия службы ИБ Служба ИБ, проведя расследование с помощью Гарда БД, выявила что идут обращения к определенным полям таблиц, которые предположительно позволяют получить информацию о клиенте в АБС.

Решение При детальном пошаговом разбирательстве на основании полученных из Гарда БД данных, служба ИБ выявила еще 4 ранее неизвестных способа получения данных о клиентах и поставила их на дополнительный контроль. Сотрудники, несанкционированно распространяющие данные клиентов, были привлечены к ответственности.

Данные об отдельных vip-клиентах «утекали» наружу

Ситуация Выявление несанкционированного доступа к счетам привилегированных клиентов, в том числе собственных ТОП-менеджеров – важная задача для службы ИБ. Когда информация «утекает» наружу и становится известна конкурентам, злоумышленникам или СМИ, наступают неприятные последствия как для имиджа отдельных персон, так и банка.

Действия службы ИБ Служба ИБ поставила на особый контроль все возможные каналы взаимодействия с базами данных АБС, ДБО и других систем при работе со счетами VIP-персон.

Решение Гарда БД позволяет контролировать доступ и пресекать злоупотребления со стороны сотрудников, связанные с «чрезмерным интересом» к сведениям о VIP-клиентах. При этом совершенно неважно, как именно потенциальные злоумышленники пытаются это сделать, Гарда БД детектирует все попытки несанкционированных обращений:

с использованием штатных средств и интерфейса АБС под чужой учетной записью
прямой запрос в БД в обход разрешенных штатных интерфейсов
подключение с использованием технологических учетных записей
в обход установленной матрицы доступа
с помощью локального подключения на сервере БД

Сокрытие следов неправомерного доступа к данным

Ситуация Квалификация злоумышленников растет год от года и зачастую департаменту ИТ и сотрудникам службы ИБ непросто восстановить хронологию событий по факту произошедшего инцидента. Удалять за собой журналы и логи событий – распространенная практика при осуществлении несанкционированных действий с БД критичных бизнес-систем банка (АДС, ДБО и т.п.). Поймать злоумышленника в таких условиях становится непросто.

Действия службы ИБ Служба ИБ, несмотря на уверения департамента ИТ в том, что в банке все логируется на уровне самих СУБД, внедрила Гарда БД для записи всех событий, связанных с работой в критичных БД. Штатные средства мониторинга СУБД могут выйти из строя, а продвинутые пользователи и администраторы способны «замести следы».

Решение Гарда БД позволяет восстановить всю хронологию событий при расследовании инцидентов неправомерного доступа к базам данных, благодаря тотальной записи всех событий взаимодействия с БД. Даже если злоумышленник удалит логи из АБС или напрямую на сервере СУБД, в Гарде БД останутся все необходимые факты для точного выявления конкретного нарушителя и привлечения его к ответственности. Кроме того, в случае невосстановимого «падения» самой СУБД Гарда БД поможет выявить причины.

Контроль повышения привилегий доступа к данным

Ситуация Наличие большого количества бизнес-систем и интерфейсов доступа к данным не позволяет максимально качественно мониторить модель доступа во всех из них, особенно когда речь идет о крупных банках. Несмотря на установленные права для сотрудников в штатном интерфейсе АБС или ДБО, службе ИБ необходимо четко понимать, к каким данным на самом деле осуществляется доступ в БД.

Действия службы ИБ Службой ИБ неоднократно фиксировались попытки доступа в БД с использованием технологических, административных и подозрительных учетных записей к чувствительной информации. Кроме того, замечались попытки несанкционированного повышения привилегий. Для таких действий не использовались штатные интерфейсы бизнес-систем.

Решение Для исключения подобных злоупотреблений в "Гарда БД" были настроены политики мониторинга изменений привилегий учетных записей. Кроме того, для отдельных учетных записей была кардинально пересмотрена матрица доступа, а некоторые (технологические и непонятного происхождения) – и вовсе заблокированы. Выяснилось, что несанкционированный доступ осуществлялся посредством выполнения скриптов или прямого доступа к БД на сервере СУБД в обход штатных интерфейсов бизнес-систем.

Обнаружение нелегитимных копий банковских БД

Ситуация За пределами банка стали «всплывать» сведения о клиентах и сотрудниках. При этом контроль основных бизнес-систем (АБС, ДБО и т.п.) не показывал ничего подозрительного, в том числе на уровне доступа в базам данных.

Действия службы ИБ Сотрудники службы ИБ внедрили Гарду БД и запустили сканирование, призванное выявлять все развернутые БД. В ходе дальнейшего разбирательства выяснилось, что администратор баз данных банка в корыстных целях решил «зеркалировать» базу данных АБС. Зная, что все обращения к действующим базам данных контролируются, он создал новую базу на виртуальной машине. Затем произвел настройку основной базы данных таким образом, что бы ежедневно небольшое количество информации автоматически передавалось из основной базы в новую, не вызывая при этом подозрений.

Решение Во время сканирования Гарда БД обнаружила новую базу, и распознала объект как точную копию базы данных АБС. Офицер информационной безопасности вычислил злоумышленника, он был привлечен к ответственности. Гарда БД позволяет выявлять «теневые» копии баз данных.

Поимка настоящего мошенника вместо подставного лица

Ситуация Один из ведущих менеджеров банка при увольнении решил прихватить с собой данные VIP- клиентов. У человека были привилегированные права доступа ко всем базам данных, и он постепенно в течение 2 месяцев выкачивал информацию из баз данных разных отделов. Такие расширенные права ему предоставил администратор баз данных.

Действия службы ИБ Служба ИБ переконфигурировала правила контроля обращений к БД АБС в Гарде БД. Оказалось, что сотрудник использовал написанный скрип, выполняющий PL/SQL запрос, и использующий служебный (отладочный) функционал для доступа АБС, который пробегался по различным таблицам (минуя ролевую модель приложения) и на выходе формировал excel файл с большим количеством полей.

Решение В Гарда БД были настроены политики для оперативного реагирования на такие события, а к нарушителю были применены дисциплинарные меры в соответствии с корпоративной политикой.

КОНТРОЛИРУЕМЫЕ СУБД И ПОДДЕРЖИВАЕМЫЕ ОС

1C
Apache Hive
Apache Kafka
Hadoop (HDFS)
Hadoop (SPARK)
Hbase

Impala
MariaDB
MSSQL
MySQL
PostgreSQL PRO
SAP Sybase
Siebel CRM
Хранилища на базе технологии REST
Microsoft SQL
Oracle

SAP HANA
PostgreSQL
Teradata
Sybase ASE
IBM Netezza
IBM DB2
Линтер
Apache Cassandra
Sun MySQL

Firebird
Interbase
Tarantool
MongoDB
Kafka*
*как инструмент доступа к данным Hadoop*
Hive5
Ред База Данных
SPARK

ОС Solaris
ОС Ubuntu
Red Hat Enterprise Linux
Oracle Enterprise Linux
ОС Windows Server
ОС SUSE Enterprise Linux
AIX

СООТВЕТСТВИЕ ТРЕБОВАНИЯМ РЕГУЛЯТОРОВ

Полностью российское решение

Разработка отечественного производителя
Сертифицировано ФСТЭК на Соответствие ТУ, является СЗИ класса НДВ-4
Входит в реестр отечественного ПО
Собственный исследовательский центр
Квалифицированная русскоязычная техподдержка
Запущена процедура ресертификации по новым требованиям доверия по уровню УД4

Система помогает выполнить требования законодательства

8-ФЗ (Обеспечение доступа к информации гос. органов)
152-ФЗ (О персональных данных)
187-ФЗ (Безопасность объектов КИИ РФ)
Приказ ФСТЭК №17 (Требования к защите информации в ГИС)
Приказ ФСТЭК №21 (Обеспечение безопасности обработки ПДн)
Приказ ФСТЭК №239 (Меры безопасности для значимых объектов КИИ)
Приказ МинКомСвязи РФ №104 (Обеспечение безопасности для информационных систем общего пользования)
ГОСТ Р 57580.1-2017 (Безопасность финансовых операций)
СТО БР ИББС (Стандарт по обеспечение ИБ банков РФ)
GDPR (Европейский регламент по защите ПДн)
PCI DSS (Международный стандарт безопасности данных платежных систем)