Мониторинг трафика запросов к БД - в пятом номере журнала "Информационная безопасность"

Мониторинг трафика запросов к БД - в пятом номере журнала "Информационная безопасность"

Средства мониторинга трафика запросов к БД (или Системы аудита и контроля действий пользователей) - класс продуктов, предлагающих решение для регистрации действий (активности) пользователей на уровне БД и анализа собранной информации. Это позволяет в режиме реального времени рассылать уведомления и подготавливать отчеты о том, кто получает доступ и к какой именно информации, а также как эти действия могут нарушить требования внешних регулирующих органов или внутренние правила безопасности.

Данные средства осуществляют контроль всего SQL-трафика, идущего от клиента к серверу, включая локальные запросы, а не только отдельных SQL-запросов, на которые настроены опции аудита СУБД. Таким образом, максимально снижается риск упустить какое-либо событие, связанное с БД. Любое обращение к БД фиксируется, затем анализируется на основе заведенных в системе правил (фильтров), и в случае их срабатывания формируется событие ИБ.

Правила позволяют не только отследить такие стандартные события, как факт входа/выхода в/из БД, обращение к данным, изменение структуры БД и т.п., но и позволяют осуществлять контроль по объему скаченных данных, по используемому приложению для обращения к БД. Таким образом, есть возможность отследить "слив" информации, кражу БД. Все правила легко задаются с помощью GUI и глубоких знаний SQL/PL-SQL не требуется. Также, есть возможность установить фильтры на наличие определенных слов, условий в SQL-запросах, определить список доверенных пользователей и источников запросов. Такую фильтрацию стандартными средствами СУБД сделать либо невозможно, либо для этого требуется писать сложные SQL-скрипты, как, наример, при использовании Oracle Fine-Grained Auditing.

Таким образом, данные средства позволяют в режиме реального времени ответить на вопросы: "Кто что сделал? когда? где? откуда? с помощью каких средств? и каков результат?", а также создавать различные отчеты для руководства и аудиторов при прохождении аудита на соответствие предъявляемым требованиям.

Подробнее о том, что представляют собой средства мониторинга, а также об основных их преимуществах и о примерах внедрения подобных средств читайте в статье Марии Датриевой, зам. начальника отдела проектирования и управления ИБ, ЗАО "Ай-Теко"

Источник: статья Марии Датриевой " Мониторинг трафика запросов к БД"
 
Вы хотите прокомментировать статью? Есть вопросы к автору? Хотите поделиться своей точкой зрения на рассматриваемую проблему? Пишите главному редактору журнала "Information Security/Информационная безопасность" Марии Калугиной (kalugina@groteck.ru) 
По вопросам размещения рекламных материалов в журнале обращайтесь к руководителю проекта "Информационная безопасность" Наталье Рохмистровой (rohmistrova@groteck.ru). Тел.: (495) 609 32 31.