Что такое DBF/DAM (Database firewall / Data access management)?
Практически вся критичная информация компаний хранится в базах данных различных информационных систем, это могут быть: системы управления персоналом, CRM системы, различные системы класса ДБО, биллинг. Базы данных (БД) могут содержать персональные данные сотрудников, информацию о клиентах, финансовую информацию, конфиденциальные данные компании. Нарушения безопасности БД могут привести не только к утечке критически важных данных, но и к полному отказу работоспособности всей информационной системы, и, как следствие, остановке бизнес-процессов.
Для решения задачи контроля доступа к базам данных и обрабатываемой в них информации используются системы мониторинга действий с базами данных (Database Activity Monitoring, DAM), позволяющие в реальном времени осуществлять централизованный контроль действий пользователей (как внутренних, так и внешних) при работе с базами данных и тем самым снизить следующие риски информационной безопасности:
- несанкционированный доступ (НСД) к системам управления базами данных (СУБД);
- необходимость организации контроля действий пользователей и администраторов при их работе с информационными ресурсами;
- неэффективность системы учета и расследования инцидентов информационной безопасности. В частности, отсутствие мониторинга обращений пользователей web-приложений к БД в системах с трехзвенной архитектурой;
- превышение привилегий доступа;
- уязвимости программного обеспечения информационных ресурсов;
- уязвимости механизмов аутентификации.
С какой целью используют системы DBF/DAM?
- обеспечение соответствия требованиям законодательства, отраслевых стандартов и международных соглашений, в том числе 152-ФЗ, 1119-ПП, 161-ФЗ, 382-ПП, PCI DSS, СТО БР ИББС;
- повышения общего уровня защищённости и обеспечения контроля за информационными ресурсами компании;
- минимизация экономического и репутационного ущерба за счет снижения рисков утечки критичной информации из компании;
- предоставление возможности проведения расследования инцидентов информационной безопасности;
- создание доказательной базы с целью предоставления ее в суд и правоохранительные органы в случае инцидентов информационной безопасности;
- обеспечение возможности применения санкций к лицам, виновным в утечке критичной информации;
- повышение эффективности работы подразделений ИБ заказчика за счет автоматизации деятельности их сотрудников в части выявления и реагирования на инциденты информационной безопасности;
- оптимизация бизнес-процессов компании.
Какие задачи решают системы DBF/DAM?
- обнаружение и инвентаризация всех БД компании;
- классификация БД;
- сканирование и выявление уязвимостей систем управления базами данных (далее – СУБД);
- выявление небезопасных конфигураций СУБД;
- сканирование БД на наличие конфиденциальной информации;
- мониторинг обращений к БД со стороны пользователей в режиме реального времени;
- контроль доступа к данным и их изменений;
- защита данных – преобразование данных путем маскировки и шифрования;
- предотвращение утечки данных;
- выявление и анализ аномального времени обращения или источника запросов;
- хранение всех запросов к БД для ретроспективного анализа.
Как работает система DAM?
Система DAM контролирует обращения к базам данных в режиме реального времени.
Трафик БД может контролироваться системой DAM одним из следующих способов:
- Зеркалирование – копия трафика БД передается в систему DAM с сетевого оборудования, через который проходит трафик. Подобная схема актуальна в том случае, когда пользователи имеют выделенные учётные записи и обращаются к БД напрямую. Данный способ не оказывает влияния на серверы СУБД и работу пользователей.
- С помощью агентов, устанавливающихся на сервер СУБД. Данный способ позволяет контролировать локальные и сетевые подключения к БД.
- Активная защита. Система DAM устанавливается в разрыв между сервером СУБД и пользователями и позволяет блокировать нежелательные действия пользователей баз данных по различным параметрам, в соответствии с политиками безопасности. Отказоустойчивость схемы обеспечивается bypass-адаптером системы DAM.
Весь перехваченный трафик анализируется на соответствие настроенным в системе DAM политикам информационной безопасности. При обнаружении подозрительных операций с базами данных (нехарактерные действия, массовое изменение или удаление данных) система оповещает офицера безопасности о событии, блокирует операцию (если настроена активная защита) и протоколирует запрос.
Какие услуги мы оказываем?
Наша команда предлагает комплексный подход по внедрению систем DAM/DBF, включающий:
- консультации по выбору системы DAM/DBF и сравнение систем DAM/DBF различных производителей с целью выбора оптимального решения;
- проведение пилота системы DAM/DBF на Вашей территории (возможно использование как Вашего, так и нашего оборудования);
- проведение всех стадий проектных работ (в том числе в соответствии с ГОСТ) в части внедрения системы DAM/DBF;
- сопровождение внедренной системы DAM/DBF.
Команда «Стайл Телеком» имеет большой опыт внедрения систем DAM различных производителей (Гарда БД, Imperva) для среднего и крупного бизнеса.