Как обнаружить подозрительную активность в базах данных на раннем этапе

Как обнаружить подозрительную активность в базах данных на раннем этапе
Мы выпустили в релиз «СёрчИнформ Database Monitor» – решение класса DAM (Database Activity Monitoring). Это тот редкий зверь, который ставит целью защитить базы данных от инсайдерских угроз. А это, как минимум:

· Внесение критичных изменений в базу данных с целью мошеннических действий или саботажа.
· Удаление.
· Слив и копирование информации.

Реальных историй, как мошенники крадут информацию или модифицируют ее в базах данных, так как БД – это главный информационный актив бизнесов, на них всегда сохраняется высокий спрос .  
Вот реальные кейсы из разных сфер.

Телеком:
Сотрудник салона связи обращался к базе данных, оформлял перевыпуск сим-карт клиентов, чтобы снимать с них деньги. Подсудимый искал в базе данных абонентов, у которых на счету было более 5 000 рублей, подделывал заявление абонента, что он прибыл к нему и просил привязать дополнительную карту к своему лицевому счёту. Затем он заходил в базу, производил необходимые манипуляции и привязывал новую сим-карту к лицевому счёту абонента, вставлял симку в свой телефон, делал USD-запрос (4 цифры) на снятие денег со счета и пересылал их на личный счет. Сначала снимал небольшие суммы и выжидал реакцию службы безопасности. Реакции не следовало, тогда он снимал всю сумму с лицевого счёта. Ущерб составил более полумиллиона рублей.

Производственная компания:
Руководитель отдела продаж планировала увольнение и обещала на новом месте работы, что придет с базами данных контрагентов, сведения о наименовании товаров, входной цене, результатах коммерческой деятельности компании. Эту информацию она скопировала из базы данных, файлы с рабочей электронной почты переслала на личную, а также на почту конкурента.  

Банк:
В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей. Соучастник помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Самого инсайдера вычислили позже, подельник его не сдавал.

Эти кейсы были расследованы, но уже на том этапе, когда преступление было совершено (информация скопирована или уже передана). Чтобы обнаруживать подозрительную активность раньше, когда пользователь только обратился к базе данных, компании как правило применяют контроль на уровне СУБД. Выявлять инциденты таким способом, если он вообще был предусмотрен разработчиками СУБД, сложно и неудобно. На разбор инцидента у ИБ-специалиста уходит много времени. DAM-решения этих недостатков не имеют.


Перейдем к описанию, что мы реализовали в рамках первого релиза «СёрчИнформ Database Monitor».

Программа логирует все запросы к базам данных и ответы на них и определяет пользователей, которые обращаются к БД и работают (открывают, изменяют, копируют) с информацией в них. Запросы пользователей и ответы SQL-сервера проходят через прокси-сервер и записываются во временное хранилище, которое затем индексируется.


В «ручном режиме» поиск и отображение информации по перехваченным запросам к БД осуществляется в клиентском приложении.

Служба инфобезопасности может формировать отчеты за любые отрезки времени, которые показывают:
· Активность учетных записей приложений, подключенных к БД.
· Запросы к базам данных.
· Статистику запросов.

Проверку можно автоматизировать по перехваченным запросам к базам данных и ответам от них. ИБ-специалист получит уведомление по нарушению политик безопасности, например, о выгрузке большого массива данных или обращению к базе VIP-клиентов и т.п.

Решение интегрируется с другими программами «СёрчИнформ»: DLP-системой, FileAuditor, SIEM-системой. Использование Database Monitor в этой связке позволяет обеспечить защиту всех уровней IT-инфраструктуры (конечного пользователя, файловой системы, баз данных) и сократить время выявления инцидента. Появляется возможность увидеть нарушение на всех, даже самых ранних этапах: в моменте обращения к базе данных (в том числе извне), хранения на рабочей станции, перемещения.

По ссылке можно запросить софт на бесплатный тест и задать дополнительные вопросы.
DAM мониторинг активности в базах данных СёрчИнформ
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.