Обзор угроз в области кибербезопасности и методов их нейтрализации

Обзор угроз в области кибербезопасности и методов их нейтрализации

АКТУАЛЬНОСТЬ ПРОБЛЕМЫ

Ввиду повсеместного проникновения информационных технологий в различные сферы человеческой жизни происходит геометрический рост объёмов информации, которую необходимо хранить и обрабатывать. Базы данных являются универсальным средством структурированного хранилища больших объёмов информации, позволяющим оперативно с ними работать. На сегодня более половины всех данных хранятся в базах данных. Базы данных есть практически в любой компании и зачастую содержат “критичные” для компании данные. Для примера, в финансовом секторе в базах данных хранится информация о клиентах, их счетах, денежных транзакциях, в нефтегазовом секторе – показатели добычи, транспортировки, хранения и отгрузки нефтепродуктов.

Любая информация, содержащаяся в базах данных, является предметом интереса “потенциальных” злоумышленников, которыми могут являться внутренние злоумышленники из состава персонала, подрядчиков организации и внешние злоумышленники.

Угрозы потери конфиденциальной информации стали обычным явлением в современном мире. Если в системе защиты есть недостатки, то данным может быть нанесен ущерб, который может быть выражен в нарушении целостности данных, потери важной информации, попадании важных данных посторонним лицам и т.д. Каждый сбой работы базы данных может парализовать работу целых корпораций что приведет к ощутимым материальным потерям. Защита данных становится одной из самых актуальных проблем.

name="_Toc486522187"> name="_Ref464233179"> name="_Toc292267735"> 

РЕАЛЬНЫЕ ПРИМЕРЫ ИНЦИДЕНТОВ С БАЗАМИ ДАННЫХ

name="_Toc292267737">Вот некоторые факты нарушения политик безопасности, произошедшие в ряде Российских компаний.

- Администратор безопасности, используя свои права, осуществлял перемещение денежных средств между счетами. Операция выполнялась в самой базе данных, при этом журнал регистрации действий отключался, либо производилась его чистка.

- Сотрудник банка определял счета на которых находятся денежные средства, телефонные номера, привязанные к данным счетам, и передавал указанные данные третьим лицам.

- Администратор базы данных выключал регистрацию действий для проведения изменения в базе данных в собственных целях.

- Беспорядок в ролях пользователей и администраторов, различные права доступа для разных пользователей в одном и том же департаменте с одними и теми же задачами, позволял видеть критичные данные широкому кругу лиц.

- Администраторы и пользователи обладали доступом к “критичным” данным с возможностью их просмотра и изменения.

- Внешние партнёры компании имели доступ к базе данных и её содержимому без уведомления и получения соответствующих согласований со стороны владельцев данных.

- Сотрудники использовали учётные записи суперпользователей в нарушение установленных распорядков.

- Разработчики работали напрямую в “продуктиве” базы данных, применяя изменения на живой системе, отдельных версий “для разработчиков” не велось.

- Тестировщики работали напрямую в “продуктиве” базы данных, проводя проверки изменений на живой системе, отдельных версий “для тестировщиков” не велось.

- Критические данные не маскировались, позволяя сотрудникам видеть реальные данные.

- Был разрешён удалённый доступ, напрямую в базу данных, с недоверенных рабочих мест сотрудников и партнёров организации.

- В среде разработчиков и тестировщиков находились реальные данные из “продуктива” в том числе данные являющихся критичными для компании.

- Не была создана безопасная структура расположения компонент баз данных, имелась возможность доступа к компонентам из любой точки сети, любого сотрудника.

- Данные при их передаче между подразделениями компании не защищались при помощи криптографии, оставляя возможность их прослушивания и снятия копии с сетевого оборудования.

- К базам данных были подключены внешние системы (web – сервисы, внутренние службы на базе различного ПО), безопасность которых не была обеспечена, в следствии чего имелись инциденты проникновения и кражи данных посредством взлома сторонних систем. name="_Toc486522188"> name="_Ref464140291">

 

ТРЕБОВАНИЯ РЕГУЛЯТОРОВ К ЗАЩИТЕ БАЗ ДАННЫХ

В зависимости от принадлежности информационных систем организации к ним могут быть применимы различные требования международного и российского законодательства по защите баз данных.

Стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, был разработан советом PCI SSC. В него вошли такие карточные брэнды, как Visa, MasterCard, JCB, American Express и Discovery. Стандарт PCI DSS описывает требования к защите данных о держателях карт, сгруппированные в двенадцать тематических разделов. Основной акцент стандарт PCI DSS делает на обеспечении безопасности сетевой инфраструктуры и защите хранимых данных о держателях платежных карт, как наиболее уязвимых с точки зрения угроз конфиденциальности местах. Также следует отметить, что стандарт регламентирует правила безопасной разработки, поддержки и эксплуатации платежных систем, в том числе процедуры их мониторинга.

Требования стандарта PCI DSS распространяются на банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платежных карт. В апреле 2016 года PCI SSC анонсировал выпуск новой версии стандарта PCI DSS v3.2.

Таблица 1 Требования к БД в стандарте PCI DSS 3.2

Раздел требований PCI DSS

Описание требований

6.1. Establish a process to identify security vulnerabilities

Должен быть внедрен процесс выявления уязвимостей

6.4.3. Production data are not used in test and development

“Реальные” данные не должны использоваться в среде тестирования и разработки

6.6. Protect public – facing Web applications

Должна быть обеспечена защита Web – ресурсов

7. Restrict access to cardholder data to business need to know

Должен быть ограничен доступ к данным держателей карт. Доступом должны обладать только сотрудники в чьи обязанности входит работа с этими данными

8.5. Identify and disable dormant user accounts

Не использовать групповые, общие и стандартные учетные записи, и пароли

10. Monitor all access to cardholder data

Отслеживать и регистрировать любой доступ к данным держателей карт

11.5. Deploy file integrity monitoring software

Применять средства, контролирующие целостность данных

В состав требований российского законодательства, которые могут быть использованы при защите в том числе и баз данных - входят Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ и ряд требования ФСТЭК:

·        11 февраля 2013 г. N 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;

·        18 февраля 2013 г. N 21 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

·        от 14 марта 2014 г. N 31 об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среды.

Таблица 2 Выдержка из требований 31 приказа ФСТЭК

Раздел требований 31 приказа

ИАФ.0

Разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

АФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

УПД.0

Разработка правил и процедур (политик) управления доступом субъектов доступа к объектам доступа

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД3

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами автоматизированной системы управления, а также между автоматизированными системами управления

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование автоматизированной системы управления автоматизированной системы управления

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование

УПД.6

Ограничение неуспешных попыток входа в автоматизированную систему управления (доступа к Системе)

УПД.7

Предупреждение пользователя при его входе в автоматизированную систему управления о том, что в ней реализованы меры защиты информации, и о необходимости соблюдения им установленных владельцем правил обработки информации

УПД.8

Оповещение пользователя после успешного входа в автоматизированную систему управления о его предыдущем входе в автоматизированную систему управления

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя автоматизированной системы управления

УПД.10

Блокирование сеанса доступа в автоматизированную систему управления после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14

Регламентация и контроль использования в автоматизированной системе управления технологий беспроводного доступа

УПД.15

Регламентация и контроль использования в автоматизированной системе управления мобильных технических средств

УПД.16

Управление взаимодействием с автоматизированными (информационными) системами сторонних организаций (внешние системы)

РСБ.0

Разработка правил и процедур (политик) регистрации событий безопасности

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в автоматизированной системе управления

РСБ.7

Защита информации о событиях безопасности

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей

ОПО.0

Разработка правил и процедур (политик) управления обновлениями программного обеспечения (включая получения, проверку и установку обновлений)

ОПО.1

Получение обновлений программного обеспечения от разработчика или уполномоченного им лица

ОПО.1

Получение обновлений программного обеспечения от разработчика или уполномоченного им лица

ОПО.2

Тестирование обновлений программного обеспечения до его установки на макете или в тестовой зоне

Таблица 3 Выдержка из требований 17 приказа ФСТЭК

Меры защиты информации в информационных системах

Классы защищенности информационной системы

4

3

2

1

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

+

+

+

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

 

 

+

+

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

+

+

+

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

+

+

+

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

+

+

+

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

+

+

+

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

+

+

+

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

+

+

+

УПД.3

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

 

 

+

+

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

 

+

+

+

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

 

+

+

+

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

+

+

+

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

 

 

 

 

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

 

 

 

 

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

 

 

 

+

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

 

+

+

+

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

+

+

+

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

 

 

 

 

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

+

+

+

+

УПД.14

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

+

+

+

+

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических средств

+

+

+

+

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

+

+

+

+

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники

 

 

+

+

III. Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

+

+

+

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

+

+

+

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

+

+

+

+

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

+

+

+

+

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

+

+

+

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе

+

+

+

+

РСБ.7

Защита информации о событиях безопасности

+

+

+

+

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

 

 

 

 

Таблица 4 Выдержка из требований 21 приказа ФСТЭК

Содержание мер по обеспечению безопасности персональных данных

Уровни

защищенности

персональных

данных

4

3

2

1

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

+

+

+

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

 

 

+

+

ИАФ.З

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

+

+

+

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

+

+

+

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

+

+

+

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

+

+

+

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

+

+

+

+

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

+

+

+

УПД.З

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

+

+

+

+

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

+

+

+

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

+

+

+

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

+

+

+

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных

 

 

 

 

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

 

 

 

 

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

 

 

 

 

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

 

+

+

+

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

 

+

+

+

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

 

 

 

 

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

+

+

+

+

УПД.14

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

+

+

+

+

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических средств

+

+

+

+

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

+

+

+

+

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники

 

 

+

+

III. Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

+

+

+

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

+

+

+

РСБ.З

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

+

+

+

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

 

 

 

 

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

 

 

+

+

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе

 

 

 

 

РСБ. 7

Защита информации о событиях безопасности

+

+

+

+

name="_Toc486522189"> name="_Ref464233186"> 

МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАЗ ДАННЫХ

Почти все крупные производители систем управления базами данных сосредотачивают свои усилия, в основном, на преодоление существующих и уже известных уязвимостей, реализацию основных моделей доступа и рассмотрение вопросов, специфичных для конкретной СУБД. Такой подход обеспечивает решение конкретных задач, но не способствует появлению общей концепции безопасности для такого класса ПО, как СУБД. Это значительно усложняет задачу по обеспечению безопасности баз данных.

Для обеспечения защиты баз данных необходимо представлять перечень мер, обеспечивающих их защиту. Условно все меры по обеспечению безопасности баз данных можно разделить на основные и дополнительные.

Контроль доступа

Контроль доступа обеспечивает защиту не только от внешних и внутренних злоумышленников, но в том числе позволяет защититься от ошибок персонала, приводящих к потерям эквивалентным реализации атаки злоумышленником.

Пример:
 Пользователь может удалить записи в таблице, являющейся критичной для бизнеса, по соображениям что они не ис-пользуются.

 

 

 

 

Контроль доступа также позволяет минимизировать воздействие рисков для баз данных связанных с окружением, таким как риски, реализуемые в приложениях, взаимодействующих с базой данных.

Пример:
 Существенная часть внешних угроз для баз данных реализуется посред-ством атак sql injection реализуемых злоумышленниками через web – при-ложения, взаимодействующие с база-ми данных.

 

 

 

 

 

Контроль доступа должен реализовываться исходя из принципа минимального уровня привилегий и строиться для двух основных категорий пользователей: администраторы и пользователи.

Пример:
 Чаще всего функционал по умолчанию, включая роли по умолчанию, предо-ставляют значительно больше привиле-гий и прав, чем необходимо.

 

 

 

 

Для администраторов – в каждой БД должны быть указаны только те права, которые необходимы администратору для выполнения его рабочих функций. Роли по умолчанию (DBA, SA и пр.) не должны применяться.

 

 

 

 

 

 

 

 

 

 

Даже в случае если организация не обладает широким штатом администраторов, а все задачи администрирования реализуются единственным сотрудником, разделение прав доступа должно применяться. Для выполнения отдельно взятой задачи должны быть жёстко определены права в рамках отдельной учётной записи, это позволяет существенным образом снизить ошибки администрирования и уменьшить вероятность возникновения инцидентов безопасности.

Необходимость контроля доступа присутствует во всех регуляционных требованиях. Централизованное управление контролем доступа в свою очередь позволяет снизить риски ошибок связанных с предоставлением прав доступа пользователям.

Криптографическая защита

Необходимость обеспечения защиты передаваемых данных постоянно возрастает в связи с требованиями регуляторов и аудиторов. Криптографическая защита обеспечивает дополнительную безопасность в случае если настроена и применяется правильно. При этом не следует рассматривать криптографическую защиту как решение способное обеспечить противодействие всем угрозам. С точки зрения баз данных следует выделить две составляющие: обеспечение защиты данных при их передаче и обеспечение защиты данных при их хранении. Зачастую для решения каждой из указанных задач применяются различные решения.

Под защитой данных при их передаче понимается необходимость обеспечения доверенной передачи данных через сеть с тем что их никто не может просмотреть и подменить.

Под защитой данных при хранении понимается обеспечение гарантии того, что данные также не будут изменены/подменены или просмотрены не доверенным лицом. При обеспечении защиты данных при хранении следует учитывать не только данные хранящиеся в “рабочей” базе данных, но и данные содержащиеся в резервных копиях.

Аудит

Как было сказано выше, мы должны обеспечить контроль доступа, но при этом сохранить пользователям возможность работы с данными. При этом возникает необходимость контроля за тем, чтобы пользователи/администраторы не использовали данные им привилегии в корыстных целях.

 

 

 

 

 

 

 

 

 

 

Снизить подобные риски позволяет применение функций по аудиту. Аудит позволяет контролировать активность пользователей/администраторов. Выбор возможных функций по аудиту чрезвычайно широк, включая стандартный аудит в базах данных.

Настройка аудита для каждой базы данных должна выполняться исходя из задач и потребностей.

 

Пример:
 Пользователи изменяют и счи-тывают только отдельно взя-тые значения в определённых таблицах. Необходимо контро-лировать не только вносимые, но и получаемые пользовате-лями значения.

 

 

 

 

 

Централизация данных аудита на внешней системе является критичной, поскольку это существенным образом снижает риски того, что данные аудита могут быть изменены. Кроме того, централизованные записи значительно проще хранить, обрабатывать и отслеживать, выявляя тем самым инциденты. При этом, существенно снижаются операционные расходы на необходимость работы с отдельными источниками данных в разных местах.

Разделение компонент

Разделение баз данных на типы в зависимости от выполняемых на них задач – промышленная, тестовая, для разработки, является общепризнанной практикой устоявшейся в течении множества лет и требуемой в том числе множеством стандартов. Оборудование и данные размещаемые на нём необходимо разделять, поскольку разработчики и среда в которой ведётся разработка несут существенные риски для организации из-за прав доступа которые им необходимы. В идеальном случае, разработчики должны обладать правами доступа только в окружение где ведётся разработка, но в виду того, что могут быть ситуации, связанные с необходимостью разбора проблем в рабочем окружении, доступ на чтение в рабочее окружение также может быть предоставлен. Роли и права доступа должны создаваться заблаговременно чтобы избегать ситуации “пожарного” создания учётных записей с правами доступа большими чем это требуется для выполнения задачи.

 

 

 

 

 

 

 

 

Данные хранимые в рабочем окружении не должны быть доступны в окружении разработки и тестирования. Для решения данной задачи должно применяться маскирование данных.

Маскирование данных позволяет для данных, указанных как критические, проводить замену реальной информации, на эквивалентную, но отличающуюся от реальной, сохраняя при этом структуру данных. Этот механизм безопасен и обеспечивает полную функциональность в среде разработки и тестирования. Даже в случае если злоумышленник каким-то образом получит доступ к среде разработки и тестирования (поскольку количество пользователей и права доступа в это окружение значительно шире чем в рабочее пространство), полученная информация не позволит ему воспользоваться ей.

Безопасное конфигурирование

Ввиду комплексности баз данных, задача обеспечения безопасного их конфигурирования является настоящим вызовом для служб безопасности. Сложность окружения очень часто приводит к непреднамеренным ошибкам, однако при применении дополнительного инструментария эти вопросы также можно успешно решать.

Создание автоматизированной среды обеспечения безопасной работы с базами данных должно включать в себя: выявление баз данных, сканирование по профилям безопасности, фиксация конфигураций и т.п.

 

 

 

 

 

 

 

Даже в случае если база данных прошла процедуру настройки параметров безопасности, это не исключает постоянного контроля её состояния, ввиду того, что пользователи своими действиями могут снижать защищённость, неосознанно открывая возможности для проникновения злоумышленника и эксплуатации уязвимостей.

name="_Toc486522190"> 

ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БАЗ ДАННЫХ

Обеспечение безопасности Web – приложений

Ввиду того что Web – приложения являются неотъемлемой частью практически любой базы данных, мероприятия, направленные на их защиту, позволяют за сравнительно короткий срок, без влияния на сам процесс работы с базами данных, повысить их защищённость от проникновений из внешней среды.

В условиях работы в рамках требований Российского законодательства, одним из неотъемлемых требований является наличие действующего сертификата ФСТЭК.

На рынке РФ наиболее часто встречаются решения компании Imperva и Positive Technologies. Также можно выделить решения таких производителей как Код Безопасности, Radware и F5 (последние два решения не имеют сертификатов ФСТЭК).

 

 

 

 

 

Возможности WAF позволяют реализовать практически любую конфигурацию, в том числе и для высоконагруженных систем.

 

 

 

 

 

 

 

Физическое разделение компонент БД, контроль доступа на сетевом уровне

Разделение компонент баз данных на сетевом уровне должно производиться при помощи межсетевых экранов, обеспечивающих контроль доступа с проверкой состояния сессии и желательно с проверкой пользователей по их учётным данным (интеграция с LDAP, Active Directory и пр.).

 

 

 

 

 

 

 

 

 

 

 

 

Помимо реализации функций разделения, желательно чтобы межсетевой экран обладал функционалом обнаружения и предотвращения вторжений.

Наличие наглядных средств администрирования и визуализации событий в межсетевых экранах, является несомненным плюсом ввиду прямого влияния на операционные расходы, связанные с расследованием инцидентов. В качестве возможных вариантов для решения данной задачи являются продукты компании Check Point Software Technologies, PaloAlto Networks, Cisco Systems, Инфотекс, Код Безопасности и т.п.

Контроль доступа и аудит действий пользователей и администраторов

Реализация функций по контролю доступа, разделению прав, и выполнению аудита всех действий, может быть выполнена встроенными средствами БД, но этот путь не решает всех указанных выше проблем (см. пункты 1, 2, 3). Кроме того, следует отметить, что включение функций по встроенному аудиту, как того требуют задачи по обеспечению безопасности (т.е. не только базовый набор команд), приводит к возрастанию нагрузки на аппаратные ресурсы от 10 до 30% в зависимости от базы данных, что в свою очередь влечёт неэффективную растрату дорогих аппаратных ресурсов. Реализация функций аудита встроенными средствами БД, в любом случае оставляет возможность администратору отключить этот аудит.

 

 

 

 

 

 

 

 

 

 

В связи с этим наиболее рациональным путём является вынесение задач по аудиту на внешнюю систему, обеспечивающую запись всех действий, выполняемых в БД пользователями и администраторами.

В качестве подобного решения возможно применение продуктов компаний Imperva Inc, МФИ Софт. Применительно к продуктам компании Imperva Inc, то помимо функций по внешнему аудиту, они позволяют в том числе реализовывать задачи по разграничению доступа в том числе доступа к отдельным таблицам, содержащим критические данные.

В общем виде, решение сможет состоять из нескольких компонент обеспечивающих реализацию различных функций, в частности:

·        Сервер управления – для управления и сбора данных со всех компонент решения;

·        Шлюз – реализующий функции разграничения доступа и аудита для сетевых обращений;

·        Агент – реализующий функции разграничения доступа и аудита для операций, выполняемых непосредственно с БД (данный способ работы должен быть максимально ограничен).

Обычный межсетевой экран не позволяет работать с данными на уровне sql – запросов, разбирая их и выстраивая для них профиль защиты. Именно это и привело к появлению решений подобных решениям от компаний Imperva и МФИ Софт.

Разделение компонент

Как было указано выше, разделение базы данных на среды разработки, тестирования и промышленную среду, является обязательным требованием и неотъемлемой частью всех рекомендаций по безопасности.

Просте разделение на указанные части, в свою очередь рождает проблемы своевременного получения обновлений, данных из промышленной среды в тестовую и разработки, быстрого восстановления и обслуживания нескольких копий среды разработки и тестирования (ввиду того, что одни и те же обновления могут проверяться как одновременно разными сотрудниками и разработчиками, так и для разных состояний одной и той же базы данных). Таким образом, быстрый перенос данных из одной среды в другую, восстановление копий баз данных и их администрирование начинает существенно влиять на операционные расходы.

Решить данные проблемы призваны продукты компании DelphiX, которые также позволяют параллельно решить задачу маскирования данных в среде тестирования и разработки.

Решение позволяет виртуализовать базу данных, быстро и эффективно работать с копиями баз данных и информацией в ней (восстанавливая/откатывая/удаляя данные и состояние базы данных на желаемый момент времени), а также обеспечить изменение данных переносимых из промышленной базы данных в среды разработки и тестирования выполнив тем самым их маскирование.

Немаловажной задачей является проверка устанавливаемых на базу данных и её компоненты обновлений ПО. Необходимость постоянного обновления баз данных и её компонент с одной стороны может быть вызвана требованиями бизнеса (по добавлению нового функционала), а с другой стороны требованиями безопасности (устранение выявленных уязвимостей см. пункт 4.5). Решить данную задачу в том числе возможно путём отработки изменений на виртуальных копиях базы данных.

name="_Ref467427715"> 

 

 

 

 

Анализ защищённости

Постоянный контроль за изменениями, происходящими с базами данных и их компонентами, анализ их защищённости и подверженности уязвимостям должен быть выделен в отдельный процесс, осуществляемый администраторами компании, администраторами баз данных и разработчиками.

Для обнаружения и анализа уязвимостей в базах данных следует использовать сканеры безопасности (Max Patrol от компании Positive Technologiees, Nessus от компании Tenable Network Security, Inc и пр.), при этом их применение должно выполняться в строго согласованные технологические “окна” c соблюдением требований по предварительному резервированию текущих конфигураций в базе данных.

Сканирование при помощи технического инструментария должно выполняться по заранее подготовленным профилям сканирования актуальным для выполняемой задачи. Результаты сканирования должны разбираться и интерпретироваться соответствующими специалистами, чтобы с одной стороны максимально точно настроить профиль сканирования, а с другой чётко обозначить выявленные недостатки в конфигурациях баз данных, уязвимости и недостающие обновления.

Результатом проводимой работы должно явиться поддержание неизменности настроек безопасности в базах данных и её компонентах, выявление отклонений от утверждённых профилей безопасности и своевременное устранение выявляемых уязвимостей путём обновления соответствующих компонент.

Выявление отклонений в поведении пользователей/администраторов

Решения, анализирующие профиль поведения пользователей и администраторов, позволяют в том числе эффективно бороться с мошенническими действиями злоумышленников даже в том случае, если у них по каким-либо причинам оказались легитимные учётные записи.

В качестве подобных решений могут применяться системы UBA (User Behavioral Analysis), принцип работы которых строиться на основании составления профиля поведения для каждого контролируемого субъекта при его операциях с объектами доступа. При этом следует учитывать факты срабатывания подобных систем в случаях появления дополнительных полномочий у субъектов доступа, изменения их прав и добавления новых объектов с которыми осуществляется работа.

Ввиду вышесказанного наиболее целесообразным является применение систем UBA в связке с другими системами, фиксирующими правомерность изменения прав субъектов доступа, создание новых объектов доступа и т.п.

name="_Toc486522191"> 

ОПЕРАЦИОННЫЕ МЕРЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ БАЗ ДАННЫХ И ИХ КОМПОНЕНТ

Обязательной составляющей обеспечения безопасности баз данных и их компонент является создание непрерывного рабочего процесса, состоящего из шести шагов.

 

 

 

 

 

 

 

 

Выявление – на данном шаге проводиться выявление всех компонент системы, их инвентаризация.

Классификация – проводится выявление ценных данных, оценивается их влияние на бизнес процессы, и подверженность требованиям регуляторов.

Оценка – проведение сканирования на предмет выявления неправильных настроек, появления лишних прав или пользователей, выявление уязвимостей и недостающих обновлений, изменений относительно предыдущих сканирований или базовых требований.

Приоритезация – совмещение информации полученной на шагах классификации и оценки с тем, чтобы определить, что требуется устранить, для чего необходимо принять компенсирующие меры (в виде отслеживания) и в каком порядке что выполнять.

Устранение замечаний – создание и выполнение процедур, устраняющих выявленные недостатки, применение обновлений ПО, создание политик по отслеживанию и контролю доступа, применение компенсирующих мер.

Отслеживание – аудит и контроль привилегированного доступа. Доступа к ценным данным. Отслеживание (monitoring) применения эксплоитов и другого вредоносного ПО, выявление отклонений в действиях субъектов от обычных профилей поведения.

ВЫВОДЫ

Подводя итог вышесказанному, следует отметить, что безопасность баз данных их компонент и содержимого является комплексной задачей, для решения которой следует подходить с учётом множества составляющих, не ограничиваясь фрагментарными мерами, закрывающими отдельно взятую задачу.

Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться