Почему бизнес не защищает базы данных

Причем у сотрудников безопасности и собственников бизнеса заблуждения по этому вопросу могут быть разные, например:

• "Зачем защищать еще и базы данных, когда все действия сотрудников контролируются на рабочих местах, и ничто не пройдет не замеченным нашей отличной DLP-системой".
• "Давно пытаюсь заняться этим вопросом, но не считаю это задачей первостепенной важности. В синтаксисе SQL я не силен, администраторы баз данных у нас работают на аутсорсинге, поэтому даже не знаю, стоит ли там вообще что-либо защищать".
• "У нас включено внутреннее логирование на серверах баз данных, и в случае чего мы сами всегда сможем поднять архивы логов и найти виновного".

Причины подобного отношения скрываются в сложности и неочевидности вопроса. Базы данных, их структура, синтаксис запросов к ним – вещи совсем не тривиальные, и, как правило, они находятся не в компетенции отдела безопасности. С типовыми же политиками безопасности, такими как запрет использования USB-носителей или ограничение доступа на различные сайты в рабочее время, дела обстоят куда проще, и настройка подобных запретов по силам любому офицеру безопасности. Специализированные продукты лишь помогают сделать эти задачи удобнее и автоматизировать их выполнение.

Защита баз данных же без специализированных средств – задача практически невозможная, слишком высоким уровнем знаний должен обладать офицер безопасности. Кроме того, даже при этом условии большую часть работы придется перекладывать на ИT-отдел, что тоже доставляет неудобства.

Давайте попробуем рассмотреть типовую задачу по защите баз данных, характерную для компании практически в любой отрасли.

Типовой механизм построения системы защиты баз данных без специализированных средств

Этап 1. Найти все базы данных, которые нужно защищать
Как правило, начинается все с того, что нужно выделить несколько баз данных, которые действительно нужно контролировать (т.е. определить, где содержится по-настоящему ценная для компании информация). Правда, зачастую и здесь возникают вопросы, а именно: "Зачем выделять какие-то избранные базы данных, почему бы не контролировать все?". Ответ прост: практика внедрений решений по защите баз данных показывает, что лишь 20–30% от их количества в компаниях содержат критически важную информацию, на обеспечение конфиденциальности которой действительно стоит тратить ресурсы. Остальные базы данных несут лишь вспомогательные функции, в одних хранится какая-то внутренняя информация, другие используются для тестовых целей, отладки и т.п.

Этап 2. Определить ценную информацию
После того, как был выделен перечень контролируемых баз данных, необходимо определить, какие данные являются наиболее ценными. Если перенести эту задачу на язык работы с базами данных, нужно выделять ряд таблиц, полей, вызываемых процедур, синонимов и представлений. В случае, когда у компании нет практики ведения полноценной документации на все базы данных, то задача для офицера безопасности становится практически нереализуемой. Перебирать вручную тысячи таблиц и анализировать, что в них находится, – это очень долго. К тому же, структура базы данных может меняться: например, могут быть созданы новые таблицы или удалены старые. При этом администраторы баз данных вполне способны создавать временные единицы – синонимы, представления.

Этап 3. Распределить роли пользователей баз данных
Даже если сотрудник отдела безопасности справился с первыми двумя задачами, следующая сложность возникнет на этапе определения ролей, а именно – кто из сотрудников компании какими привилегиями должен обладать. Как правило, такую задачу чтением должностных инструкций не решить, они не распространяются на содержимое таблиц баз данных. На оптимальную ролевую модель, созданную администратором баз данных, надеяться также не получится: нередки случаи, когда рядовые сотрудники банков обладали практически безграничными привилегиями в базе данных, содержащей в себе всю персональную информацию о клиентах, просто потому что так было удобнее администраторам. А это несет прямые риски для защиты конфиденциальности информации, охраняемой законодательно.

Результаты

В результате вышеперечисленных действий:

• из всех СУБД, используемых в компании, были выделены именно те, которые важны с точки зрения безопасности и наличия критичных данных;
• определены списки таблиц/полей/вызываемых процедур/синонимов/представлений, связанных с критичными для компании данными;
• составлен список сотрудников, которые должны иметь доступ к этим данным в соответствии со своими должностными обязанностями.

Но и этого оказывается недостаточно. Теперь нужно составить грамотные политики безопасности, нацеленные на защиту данных, которые позволят решать две основные задачи:

1. оперативное реагирование на инциденты, которые были эмулированы заранее;
2. возможность ретроспективного анализа прошедших запросов к базам данных с целью выявления аномалий.

Как правило, составление политик безопасности включает в себя и список баз данных, и перечень чувствительных таблиц, и ролевую модель работы с этими данными.

Вывод

Многие компании подходят к безопасности баз данных именно так. Доступными способами получают все необходимое для составления политик безопасности и считают задачу выполненной. В действительности задача решается лишь "для галочки". Построенная система абсолютно не приспособлена к внешним изменениям. Если база данных мигрировала на новый сервер, изменился IP-адрес или поменялся перечень критичных таблиц, необходимо снова делать ряд ручных операций, про которые часто забывают, поскольку сотрудники безопасности часто не знают об изменениях, внесенных в ИT-инфраструктуру.

Но технологии идут вперед, в нашу жизнь приходит все больше программ, облегчающих все аспекты жизни. Внедрение специализированных систем информационной безопасности позволяет большую часть проблем, ранее решаемых сотрудниками безопасности и представителями ИT-отделов вручную, автоматизировать и значительно упростить.

Использование качественных системных решений класса DAM позволяет серьезно повысить эффективность защиты баз данных. При этом защита будет осуществляться максимально автономно и круглосуточно, что просто невозможно при решении подобных задач в ручном режиме. Кроме того, на порядок увеличивается оперативность принятия решений при предотвращении инцидентов нарушения политик информационной безопасности. А специалисты по информационной

безопасности получают расширенные аналитические возможности обработки данных аудита, что повышает прозрачность процессов использования баз данных, а также эффективность и безопасность всех бизнес-процессов в целом.