Как обнаружить подозрительную активность в базах данных на раннем этапе

08.06.2020

Вернуться к списку статей

Мы выпустили в релиз «СёрчИнформ Database Monitor» – решение класса DAM (Database Activity Monitoring). Это тот редкий зверь, который ставит целью защитить базы данных от инсайдерских угроз.

А это, как минимум:

  • внесение критичных изменений в базу данных с целью мошеннических действий или саботажа; 
  • удаление данных; 
  • слив и копирование информации. 

Поскольку БД – это главный информационный актив бизнесов, на них всегда сохраняется высокий спрос.  

Вот реальные кейсы из разных сфер. 

Телеком:

Сотрудник салона связи обращался к базе данных, оформлял перевыпуск сим-карт клиентов, чтобы снимать с них деньги. Подсудимый искал в базе данных абонентов, у которых на счету было более 5 000 рублей, подделывал заявление абонента, что он прибыл к нему и просил привязать дополнительную карту к своему лицевому счету. Затем менеджер заходил в базу, производил необходимые манипуляции и привязывал новую сим-карту к лицевому счету абонента. После вставлял симку в свой телефон, делал USD-запрос (4 цифры) на снятие денег со счета и пересылал их на личный счет. Сначала снимал небольшие суммы и выжидал реакцию службы безопасности. И если реакции не следовало, снимал всю сумму с лицевого счета. Ущерб составил более полумиллиона рублей.

Производственная компания:

Руководитель отдела продаж планировала увольнение и обещала на новом месте работы, что придет с базами данных контрагентов, сведениях о наименовании товаров, входной цене, результатах коммерческой деятельности компании. Эту информацию она скопировала из базы данных, файлы с рабочей электронной почты переслала на личную, а также на почту конкурента.  

Банк: 

В программе для работы с платежными картами клиентов менеджер несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей. Соучастник помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Самого инсайдера вычислили позже, подельник его не сдавал.

Эти кейсы расследовали на том этапе, когда преступление было совершено (информация скопирована или уже передана). Чтобы обнаруживать подозрительную активность раньше, когда пользователь только обратился к базе данных, компании как правило применяют контроль на уровне СУБД. Выявлять инциденты таким способом, если он вообще был предусмотрен разработчиками СУБД, сложно и неудобно. На разбор инцидента у ИБ-специалиста уходит много времени. DAM-решения этих недостатков не имеют. 

Перейдем к описанию функционала, который доступен в рамках первого релиза «СёрчИнформ Database Monitor».

Программа логирует все запросы к базам данных и ответы на них и определяет пользователей, которые обращаются к БД и работают (открывают, изменяют, копируют) с информацией в них. Запросы пользователей и ответы SQL-сервера проходят через прокси-сервер и записываются во временное хранилище, которое затем индексируется. 

Схема работы СёрчИнформ Database Monitor

Схема работы Database Monitor

В «ручном режиме» поиск и отображение информации по перехваченным запросам к БД осуществляется в клиентском приложении. 

Служба информационной безопасности может формировать отчеты за любые отрезки времени, которые показывают:

  • активность учетных записей приложений, подключенных к БД;
  • запросы к базам данных;
  • статистику запросов.

Проверку можно автоматизировать по перехваченным запросам к базам данных и ответам от них. ИБ-специалист получит уведомление по нарушению политик безопасности, например, о выгрузке большого массива данных или обращению к базе VIP-клиентов и т.п.

Дашборд в СёрчИнформ Database Monitor

Краткие отчеты в виде виджетов на дашборде Database Monitor

Решение интегрируется с другими программами «СёрчИнформ»: КИБ, FileAuditor, SIEM-системой. Использование Database Monitor в этой связке позволяет обеспечить защиту всех уровней IT-инфраструктуры (конечного пользователя, файловой системы, баз данных) и сократить время выявления инцидента. Появляется возможность увидеть нарушение на всех, даже самых ранних этапах: в моменте обращения к базе данных (в том числе извне), хранения на рабочей станции, перемещения.

Попробовать бесплатно


Персональные данные СёрчИнформ Database Monitor Мошенничество Воровство


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними