Мария Датриева, зам. начальника отдела проектирования и управления ИБ, ЗАО "Ай-Теко"
Средства мониторинга трафика запросов к БД на отечественном рынке появились сравнительно недавно. Интерес к этим средствам вызван все возрастающей проблемой внутренних злоумышленников (инсайдеров), участившимися случаями воровства данных, а также наличием различных нормативных документов, требующих обеспечить контроль доступа к конфиденциальной информации.
Функциональные возможности
Данные средства осуществляют контроль всего SQL-трафика, идущего от клиента к серверу, включая локальные запросы, а не только контроль отдельных SQL-запросов, на которые настроены опции аудита СУБД. Таким образом, максимально снижается риск упустить какое-либо событие, связанное с доступом к данным БД. Любое обращение к БД фиксируется, затем анализируется на основе заведенных в системе правил (фильтров), и в случае их срабатывания формируется событие ИБ.
Правила позволяют не только отследить такие стандартные события, как факт входа/выхода в/из БД, обращение к данным, изменение структуры БД и т.п., но и позволяют осуществлять контроль по объему скаченных данных, по используемому приложению для обращения к БД. Таким образом, есть возможность отследить "слив" информации, кражу БД. Все правила легко задаются с помощью GUI, и глубоких знаний SQL/PL-SQL не требуется. Кроме того, есть возможность установить фильтры на наличие определенных слов, условий в SQL-запросах, определить список доверенных пользователей и IP-адресов, откуда поступают запросы. Такую фильтрацию стандартными средствами СУБД сделать либо невозможно, либо для этого требуется писать сложные SQL-скрипты, как, например, при использовании Oracle Fine-Grained Auditing.
Таким образом, данные средства позволяют в режиме реального времени ответить на вопросы: кто что сделал? когда? где? откуда? с помощью каких средств? и каков результат?, а также создавать различные отчеты для руководства и аудиторов при прохождении аудита на соответствие предъявляемым требованиям.
Внедрение
При внедрении данных средств никаких включений опций аудита БД, изменений и настроек в самой БД и приложениях не требуется. Это облегчает и ускоряет процесс внедрения, потому как любое изменение в БД требует тестирования, в том числе с точки зрения оказываемой нагрузки на производительность, согласования с администраторами БД, с ИТ-подраз-делением, отвечающим за бизнес-приложение, использующее БД и т.п. Отсутствие необходимости вносить изменения в БД позволяет не зависеть от администраторов БД, а наоборот, позволяет администраторам безопасности осуществлять контроль над администраторами БД или привилегированными пользователями, которые в любой момент могут отключить аудит в пользу производительности БД или изменить журналы аудита для сокрытия злонамеренных действий.
Все собранные данные хранятся в локальном хранилище либо на внешних носителях, то есть независимо от источника. Это позволяет избежать подмены или изменения данных, как если бы данные хранились в журналах аудита БД, к которым имеют доступ администраторы БД или привилегированные пользователи.
Средства мониторинга представляют собой устройства (программно-аппаратное решение, appliance), подключаемые к SPAN-порту коммутаторов, куда дублируется весь SQL-трафик. Кроме того, есть возможность использования технологии network TAP. Устройства слушают SQL-трафик (sniffer), не устанавливаются в разрыв, не задерживают прохождение трафика и не оказывают дополнительной нагрузки на серверы БД.
В последнее время производители предоставляют возможность приобретения программного обеспечения и его установки на свою аппаратную платформу. Для мониторинга локальных запросов используются агенты, представляющие собой программное решение, устанавливаемое непосредственно на сервера БД.
В заключение отметим основные преимущества данного решения перед средствами аудита, встроенными в СУБД:
полнота и качество предоставляемой информации;
отсутствие или минимальное воздействие на производительность БД и приложений, на нагрузку серверов;
отсутствие необходимости внесения изменений в БД, в приложения;
контроль всего SQL-трафика, а не отдельных SQL-запросов к БД;
контроль администраторов БД и привилегированных пользователей;
независимое хранение данных аудита, защищенное от искажений;
большие возможности по анализу полученных данных, построению отчетов, возможность интеграции с другими системами;
централизованный контроль и управление данными аудита;
поддержка разных платформ и производителей СУБД;
легкость и простота внедрения.
В России уже есть примеры внедрения подобных средств, к примеру, в телекоммуникационном и банковском секторах.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2008