[InfoSecurity] Контроль доступа привилегированных пользователей к базам данных

Наиболее опасные случаи утечек данных в крупных холдингах — последствия выгрузок из корпоративных баз данных, совершаемые привилегированными пользователями.

В компаниях, оперирующих критичной информацией, такой как клиентские данные, есть два подхода к распределению ролей пользователей. В первом — права к системе имеют все пользователи, во втором — есть чёткое разграничение прав к отдельным категориям данных и управляемый перечень пользователей, имеющих доступ как к данным, так и к функциональным возможностям той или иной бизнес-системы. 

Например, информация из CRM (Customer Relationship Management — управление отношениями с клиентами), может быть видна одним сотрудникам и не видна другим. Но ни одна информационная система и, что важно, СУБД, входящая в ее состав, не обходится без учётных записей привилегированных пользователей — это администраторы и разработчики. Учитывая максимально широкие права доступа этих групп лиц, крайне важен непрерывный мониторинг их действий.

Не всегда запросы данных пользователей можно контролировать на сетевом уровне. Это может происходить как из-за возможности локального подключения к серверам баз данных, при наличии физического доступа в ЦОДы и серверные помещения, так и в случае подключения по протоколам удалённого доступа (RDP, SSH и так далее). Именно для контроля таких пользователей и типичных для них способов подключения используются агентские решения контроля доступа к базам данных.

Сложность контроля привилегированных пользователей

Классическая система класса DAM/DBF (Database firewall / Data access management — система аудита и блокировки сетевого доступа к базам данных) работает по принципу пассивного мониторинга обращений пользователей к базам данных. Контроль на сетевом уровне дает офицеру информационной безопасности возможность понять, кто сделал тот или иной запрос, когда был сделан, и что собой представлял запрос (это может быть чтение, удаление, изменение), и какую информацию получил пользователь из защищаемой системы.

Сложность контроля действий привилегированных пользователей баз данных в том, что они не оперируют интерфейсом бизнес-систем, а обладают доступом непосредственно к «сырым данным», находящимся в базах. В большинстве случаев они хорошо представляют себе их структуру, понимают, в какие таблицы, колонки следует сделать запросы, чтобы получить нужную информацию в обход приложения.

Возможности контроля привилегированных пользователей через агенты

Применение агентского ПО отличается от пассивных решений. Агент как активное решение ставится непосредственно на оборудование заказчика и позволяет непрерывно мониторить все подключения к серверу баз данных. 

У пользователей бывают опасения, что агентское ПО потребляет значительное количество ресурсов, но такой взгляд уже устарел. Как правило, агентское ПО предварительно «обкатывается» на тестовых базах и настраивается под пороговые значения ресурсов клиента. При превышении пороговых значений агент посылает сигнал администратору и переходит в режим мониторинга.

Частый вопрос служб безопасности — как скрыть работу агентского ПО. Ответ прост, технически подкованный специалист может найти любой дополнительный модуль, внедренный на сервер базы данных, более того, часто в установке агентских решений задействованы именно администраторы БД. Другой вопрос в том, что в момент, когда что-то происходит с агентским решением, остановка или удаление сервиса, в службу безопасности поступает мгновенное оповещение как через электронную почту, так и через SIEM-систему (security information and event management). Таким образом получается оперативно отреагировать на отключение агента и выяснить причину произошедшего.

Автоматическая персонализация доступа привилегированных пользователей

В крупных организациях, как правило, большое число администраторов имеет привилегированный доступ к базам данных или операционной системе, на которую установлена СУБД. И проблема в том, что подключившись к системе по ssh, администратор может обратиться к базе с правами sysdba, а администратор ОС – сменить пользователя на общий аккаунт root или любой другой аккаунт в системе.

И при совершении какого-либо обращения к базе данных в отчёте фиксируется, что обращение к данным произвёл sysdba или root — некий привилегированный пользователь, имеющий права администратора.

Ранее расследование такого инцидента после получения оповещения приходилось производить путём прямого выявления нарушителя через проверку каждого администратора баз данных.

Нашим специалистам удалось автоматизировать отслеживание всей цепочки смены пользователей для выявления конкретного привилегированного пользователя, совершившего неправомерные действия с базами данных. Разработан механизм по автоматическому поиску логина пользователя и IP-адреса хоста, откуда он подключился.

Система защиты баз данных и веб-приложений с функциями определения IP привилегированных пользователей — полнофункциональное решение, позволяющее контролировать как локальные, так и сетевые подключения ко всем популярным СУБД, установленные на серверы под управлением ОС семейства Linux (Red Hat Enterprise Linux, CentOS, Oracle Linux, AstraLinux, Ubuntu Server, SUSE Linux Enterprise Server и т.д.), Solaris, Windows Server, а также AIX. Решение позволяет контролировать действия пользователей на всех сегментах, формируя полноценную базу для ретроспективных расследований.

Практика применения системы защиты баз данных для предотвращения похищения ПДн клиентов организации

Системный администратор, имеющий локальный доступ к базам данных с персональными данными клиентов банка, открыл интерактивную сессию на сервере БД, а затем сменил пользователя на административную учётную запись root, с полномочиями которой обратился к базе данных. При этом для базы данных он являлся пользователем root. Путём редактирования файла wtmp, хранящего записи о входах в систему, администратор скрыл следы своего пребывания в системе. Выгруженные базы с телефонами и паспортными данными клиентов продавались на чёрном рынке. 

Внедрение аппаратно-программного комплекса по защите баз данных с использованием агентов и функцией определения IP привилегированных пользователей позволило не только выявить нарушителя среди администраторов, но и заблокировать ему доступ к таблицам с персональными данными, тем самым предотвратив хищения.

Автор: Дмитрий Ларин — директор по разработке продукта «Гарда БД.