Защита от утечек баз данных

Угрозы безопасности баз данных в крупных российских компаниях

В последние месяцы многие российские организации подверглись кибератакам, масштабы которых поистине беспрецедентны. В частности, от действий злоумышленников пострадали крупные компании, включая ИТ-гигантов, которых трудно заподозрить в недостатке внимания к уровню информационной безопасности.

Не будем приводить конкретных названий, однако точно известно, что некоторые из атакованных компаний не просто тщательно заботились об информационной безопасности, но даже платили этичным хакерам и специалистам по кибербезопасности за обнаружение уязвимостей и ошибок. Эта практика широко распространена во всем мире: в частности, так поступают крупнейшие западные ИТ-компании, например Microsoft и Google.

Но почему же такие серьезные игроки допускают утечки баз данных пользователей?

Дело в том, что одна из главных задач злоумышленников при проведении кибератаки – получить учетные записи для доступа к критичным данным. Это косвенно подтверждают результаты недавнего исследования Лаборатории Касперского: если сравнивать статистику с первыми четырьмя месяцами 2021 г., то с января по апрель текущего года количество попыток украсть учетные данные выросло в полтора раза. Причем, судя по масштабам утечек, для доступа к СУБД явно использовались привилегированные учетные записи.

В текущих условиях злоумышленники стремятся не столько извлечь финансовую выгоду (путем продажи баз данных или шантажа), сколько продемонстрировать силу. Основное правило проведения кибератак гласит, что потенциальная выгода должна существенно превышать затраты на атаку, однако в таких случаях оно практически не действует. Поэтому есть основания полагать, что данные «сливают» завербованные инсайдеры – внутренние сотрудники, которых при помощи финансовых стимулов мотивируют скачивать и передавать злоумышленникам копии баз данных. Кроме того, проводятся и так называемые атаки на поставщика, которые совершают сотрудники компаний-подрядчиков.

Перед атаками, которые проводят инсайдеры или представители компаний-подрядчиков, могут оказаться бессильны даже мощные комплексные системы защиты периметра, поскольку они призваны противостоять только внешним злоумышленникам.

Организация защиты баз данных

Для недопущения подобных атак и выявления виновных лиц предназначены средства защиты информации, которые обеспечивают контроль за внутренними сотрудниками и в полной мере реализуют концепцию «нулевого доверия» (Zero Trust):

• Решения класса Data Leak Prevention (DLP) позволяют отслеживать утечки конфиденциальной информации (в том числе выгрузок из баз данных) в разных форматах и по разным каналам: почта, мессенджеры, съемные носители, облачные хранилища и т. п. Решения DLP могут работать как в режиме обнаружения утечек, так и в режиме блокировки. При этом некоторые из них (равно как и ряд решений для шифрования диска) поддерживают функции криптографической защиты съемных носителей: когда носитель вставлен в корпоративную рабочую станцию, все его данные шифруются/расшифровываются на лету и работа с ним ведется в обычном порядке, но когда носитель покидает периметр, его содержимое оказывается зашифрованным (получить доступ к данным без ключа невозможно).
• Решения класса Database Firewall (DBF) позволяют контролировать действия сотрудников при работе с базами данных, восстанавливать утраченные сегменты, блокировать выполнение заданного перечня команд. Кроме того, некоторые подобные решения поддерживают функции маскирования данных: реальные данные подменяются предварительно настроенными «заглушками», что особенно важно, когда прямой доступ к СУБД необходимо предоставить подрядчику. Решения данного класса также ведут полный независимый аудит действий администраторов и пользователей СУБД, могут блокировать определенные действия или откатывать изменения.
• Решения класса Privileged Access Management (PAM) включают в себя функции для управления паролями привилегированных учетных записей и контроля их жизненного цикла, вводят дополнительные ограничительные правила доступа к компонентам ИТ-инфраструктуры, поддерживают различные форматы фиксации и анализа активности привилегированных пользователей. Все это можно использовать и для защиты доступа к базам данных. Решения PAM могут работать в разных режимах и поддерживать различные методы и способы подключения к целевым ресурсам. Некоторые продукты данного класса позволяют контролировать (ограничивать) действия пользователей на целевых ресурсах. 

У каждого из этих классов решений есть и преимущества, и недостатки с точки зрения защиты от утечек внутренних баз данных. Так, решения DLP крайне редко применяются для контроля каналов коммуникации системных администраторов, поскольку существуют определенные технические ограничения: на своей рабочей станции администратор может нейтрализовать любые агентские средства контроля. В свою очередь, решения DBF отличаются узкой направленностью: они предназначены только для защиты СУБД, но не иных категорий данных или ресурсов. Наконец, решения PAM отличаются слишком широким охватом: их используют не для решения какой-то одной задачи, а для нейтрализации всего спектра угроз, исходящих от внутренних и внешних привилегированных пользователей.

В целом же каждое из описанных средств в полной мере подходит для защиты наиболее распространенных СУБД:

• Microsoft SQL;
• MySQL;
• PostgreSQL;
• Oracle Database.

Выбор подходящего средства защиты информации зависит от потребностей конкретной организации. В первую очередь необходимо учесть критичность защищаемых серверов СУБД и требования к обеспечению информационной безопасности – как внутренние правила,  так и положения соответствующих нормативно-правовых актов.

Для достижения максимального уровня безопасности наши эксперты настоятельно рекомендует интегрировать в имеющуюся систему защиты информации решения всех трех классов. Вендоры в сфере ИБ быстро развивают технологическое партнерство, что позволяет приобрести все три решения и обратиться к их разработчикам с целью взаимной интеграции (стоимость заказной доработки зависит от конкретного сценария). Это поможет добиться синергетического эффекта. Например:

• В паре «DLP и PAM» решение PAM может перехватывать файлы, передаваемые в рамках привилегированных сессий (например, выгружаемые с сервера СУБД) и отправлять их по протоколу ICAP для последующего анализа в решении DLP.
• В паре «DBF и PAM» решение PAM может выступать в роли защищенного хранилища учетных данных. Тогда решение DBF будет получать у него учетные данные через специализированный модуль Application-to-Application Password Management, чтобы проксировать подключения к СУБД и обеспечивать сквозную аутентификацию в ней.

Защита от угрозы, связанной с «отказом от авторства» инцидента

Даже если действия пользователей фиксируются и анализируются самыми совершенными методами, всегда существует риск «отказа от авторства». Бывает, что утечка обнаружена, виновный установлен и есть все доказательства, что целенаправленные злоумышленные действия совершались от имени конкретной учетной записи, но разоблаченный инсайдер заявляет, что у него украли учетные данные, а потому он ни при чем. Тогда приходится выяснять, говорит ли он правду. Доказывая вину конкретного исполнителя, организация теряет инициативу и драгоценное время. Ведь скомпрометировать пароль относительно просто, а факт разглашения действительно трудно обнаружить заранее.

Однако существует техническая мера, позволяющая нейтрализовать угрозу «отказа от авторства». Речь идет об усиленной аутентификации. В механизмах такой аутентификации применяются биометрические данные, специальные сертификаты, одноразовые пароли и аппаратные устройства, которые отличаются тем, что их компрометацию легко обнаружить. Более того, скомпрометировать факторы усиленной аутентификации очень сложно или вовсе невозможно. В настоящее время усиленная аутентификация становится фактически обязательной при любом удаленном подключении к ИТ-инфраструктуре, а в некоторых случаях и при локальном доступе.

В портфеле Компании Индид есть решение как для контроля действий привилегированных пользователей, так и для централизованной усиленной аутентификации на всех корпоративных ИТ-ресурсах – локальных и удаленных. Это продукты Indeed Privileged Access Manager и Indeed Access Manager соответственно. 

Если вам необходимо обеспечить защиту критичных СУБД от утечек, напишите нам по электронной почте sales-russia@indeed-id.com либо позвоните по телефону 8 800 333-09-06. Мы готовы проконсультировать вас, продемонстрировать наши продукты и провести пилотное тестирование.