Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита критически важной информации в СУБД

Защита критически важной информации в СУБД

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита критически важной информации в СУБД

Любая организация обладает информацией уровня Business-critical, кража или изменение которой влечет репутационные и финансовые потери. Но должное внимание защите своих баз данных сегодня уделяют единицы компаний. Противостоять угрозам призваны решения класса Data Base Activity Monitoring (DAM) или Data Base Firewall (DBF). При этом необходимость их применения диктуется ряду организаций различными стандартами (PCI DSS, СТО БР ИББС, SOX). Использование DAM/DBF повышает уровень аудита действий пользователей при работе с базой данных и не создает дополнительной нагрузки на серверы. Более того, DAM/DBF дают возможность реализовать функционал, недоступный при использовании средств нативного (встроенного) аудита. Какова практическая польза их применения? Обратимся к нашему опыту.
Тимур Ниязов
Менеджер по продвижению SOC и защиты баз данных
Центра информационной безопасности компании “Инфосистемы Джет"

Оптимизация объемов хранимой информации

Перед ИБ-специалистами банковской организации стояла задача логирования всех обращений к критическим данным в базе данных (БД). Основную проблему представляло специфически написанное приложение, работающее с БД. Любое действие пользователя в интерфейсе генерило запрос к критическим данным в СУБД, что выливалось в драматический рост числа таких обращений и увеличение объема журналов событий, которые необходимо хранить.

Решение проблемы штатными средствами требовало внедрения СХД большого объема и ощутимых для компании затрат. Пришлось искать технологию, позволяющую оптимизировать бюджет при одновременном решении существующей задачи.

Ответом стало внедрение продукта класса DAM, чьи штатные механизмы позволили настроить корреляцию запросов, в которых передавались данные о действиях пользователя, в интерфейсе Web-приложения. Логировались только запросы, представляющие реальное обращение к критически важным данным и связанные с их изменением. Все остальные события отбрасывались. Так удалось свести затраты на новую СХД к нулю, сэкономив порядка $500 000.

Подозрение на внутренний Fraud

Лояльная программа лояльности Практически на любой АЗС есть программа лояльности, по которой автовладелец получает специальную карту для накопления бонусов, которые затем можно истратить на заправку или приобретение товаров. При этом информация об остатке по счету хранится в базах данных самой АЗС.
В одном из проектов нам удалось выяснить с помощью решений DBF, что сотрудник, являясь участником программы лояльности, получил доступ к базе данных и мог менять остаток по своему счету, регулярно увеличивая его, чтобы заправляться бесплатно на протяжении долгого времени. Подобные риски характерны не только для программы лояльности, действующей на АЗС, но и для сети ритейловых организаций, а также авиакомпаний. Настроить политику так, чтобы подобные случаи предотвращались путем блокирования транзакции к БД, как раз и помогают решения класса DBF.

Большую ценность для злоумышленников представляет информация о счетах VIP-клиентов банков, и представители банков предпринимают все необходимые меры по ее защите.

В ходе одного из проектов по внедрению решения DAM мы обнаружили, что сотрудник банка имел доступ к базе данных, содержащей информацию о VIP-клиентах и балансе их счетов. И мог совершать операции по изменению баланса и переводу денежных средств на другие счета. Одной из функций DAM является профилирование и категоризация защищаемой информации, а также прав доступа конкретных пользователей. Сотрудники подразделения ИБ оперативно приняли меры и устранили уязвимость. В данном случае банк не понес никаких финансовых потерь. Но известны случаи, когда сотрудники, владея информацией об остатке на счету VIP-клиентов, передавали эту информацию своим подельникам, которые в дальнейшем по фальшивым паспортам осуществляли вывод денежных средств через отделения банков.

Если говорить о стоимости проекта по внедрению средств защиты баз данных, то она зависит от инфраструктуры каждого заказчика. Срок окупаемости варьируется и зависит от потенциального ущерба, который могла повлечь реализация конкретного инцидента. По нашему опыту, окупаемость происходит уже в первые два года.

Безлимитное снятие денежных средств в банкомате

С целью соответствия Федеральному закону от 7 августа 2001 г. № 115-ФЗ все банки устанавливают лимиты на снятие наличных в банкоматной сети. Лимит зависит от типа карты (Standart, Gold, Platinum).

При проведении пилотного проекта решения класса DAM в одном из банков совместно с представителями подразделения ИБ было обнаружено, что один из администраторов СУБД изменил в БД значение, отвечающее за лимит снятия наличных. Никаких рисков эта операция не несла. Но! Можно представить ситуацию: один из клиентов, остаток по счету которого превышает лимит на снятие наличных в несколько раз, теряет свою карту. Злоумышленник узнает PIN-код, меняет в базе лимит на снятие наличных и одной операцией снимает все денежные средства с конкретного счета через банкомат. Клиент получает SMS об операции, но блокировать карту уже нет смысла, т.к. остаток на счету нулевой.

Все сказанное – вершина айсберга. Базы данных остаются наиболее уязвимым компонентом инфраструктуры. Это подтверждается отчетом компании Ponemon Institute, в котором говорится, что наиболее актуальные риски организаций РФ – это инсайдеры и реализация атак на Web-сервисы, за которыми стоят те самые базы данных. Ущерб организаций от этих угроз за 2015 г. по сравнению с 2014 г. вырос на 29%. Если не предпринять мер, то он продолжит расти.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016

Приобрести этот номер или подписаться

Статьи про теме