1. Вступ
2. Архітектура «Гарди БД»
3. Системні вимоги «Гарди БД 4»
4. Інтелектуальні можливості «Гарди БД»
6. Розгортання «Гарди БД 4»
7. Рольова модель користувачів
8. Синхронізація з LDAP
9. Налаштування аналізаторів
10. Визначення списків критеріїв
11. Налаштування експорту в SIEM
12. Створення профілів баз даних
13. Робота з «Гард БД 4»
14. Гнучка настройка політик безпеки
15. Аудит виявлених подій
16. Повідомлення про події
17. Перегляд «сирих» даних
18. графічні звіти
19. Висновки

1. Введення

2. Архітектура «Гарди БД»

3. Системні вимоги «Гарди БД 4»

4. Інтелектуальні можливості «Гарди БД»

5. Функціональні можливості «Гарди БД 4»

6. Розгортання «Гарди БД 4»

6.1. схема впровадження

6.2. Рольова модель користувачів

6.3. Синхронізація з LDAP

6.4. Налаштування аналізаторів

6.5. Визначення списків критеріїв

6.6. Налаштування експорту в SIEM

6.7. Створення профілів баз даних

7. Робота з «Гард БД 4»

7.1. Інтерфейс комплексу «Гарда БД 4»

7.2. Гнучка настройка політик безпеки

7.3. Аудит виявлених подій

7.4. Повідомлення про події

7.5. Перегляд «сирих» даних

7.6. графічні звіти

8. Висновки

Вступ

«Гарда БД 4» - інтелектуальне рішення класу DAM (Database Activity Monitoring) для аудиту мережевого доступу до баз даних і веб-додатків.

Найбільш затребувані рішення класу DAM в банківській сфері і ритейлі. «Гарда БД» використовується для захисту платіжних і персональних даних та контролю доступу до них, а також для вирішення бізнес-завдань, пов'язаних з контролем доступу до баз даних (витоку клієнтських даних, внутрішнє шахрайство і т. П.)

Ми вже робили огляд однієї з версій системи захисту баз даних і веб-додатків «Гарда БД» ( Огляд «Гарди БД 3.7» від «МФІ Софт» ), В рамках якого розглянули основну проблематику застосування рішень класу DAM (Database Activity Monitoring), а також структуру і функціональність самого продукту «Гарда БД 3.7».

У цій статті ми розповімо про серйозні поліпшення комплексу, які розробники внесли в нову версію свого продукту.

«Гарда БД 4» контролює не тільки SQL-трафік (що характерно для більшості систем подібного класу), а й виконує розбір HTTP / HTTPS-трафіку для контролю запитів до БД, які направляються через веб-додатки. У комплексі передбачені механізми сканування вразливостей СУБД, таких як невстановлені патчі або незаблоковані облікові записи (наприклад, звільнених співробітників). Крім пасивного захисту в комплексі реалізована і активний захист - мережевий екран, що дозволяє не просто виявити, але і заблокувати несанкціоновані дії.

Основні відмінності «Гарди БД 4» від попередньої версії:

• Збільшення кількості підтримуваних СУБД. Додана підтримка: PostgreSQL, MySQL, Teradata, Sybase ASE, IBM Netezza, Линтер, IBM DB2, Apache Cassandra.
• Зміна інтерфейсу користувача: з десктопного на веб-інтерфейс.
• Повна переробка сховища даних в комплексі, що дозволила значно збільшити обсяги даних і продуктивність їх обробки.
• Мінімізація впливу серверного агента, протоколюється дії безпосередньо на сервері БД, на його продуктивність.
• Можливість поставки продукту у вигляді готового образу віртуальної машини (віртуального аплайнса), а не тільки фізичного сервера.

Ці та інші функціональні можливості комплексу «Гарда БД 4» розберемо далі в огляді.

Архітектура «Гарди БД»

Система «Гарда БД 4» складається з наступних основних модулів:

• Аналізатор. На цей компонент надходить копія SQL-, HTTP-, HTTPS-трафіку, а також відомості, що збираються агентами, встановленими на серверах БД. Основне завдання аналізатора - розбір бінарних даних, що надходять за вказаними протоколами взаємодії користувачів з базами даних, формування на їх основі SQL-запитів і відповідей, а також подальша перевірка на відповідність налаштованим в комплексі політикам безпеки.
• Система зберігання (Сховище). Здійснює обробку даних (наприклад, перевірку на регулярні вирази, маскування даних) і збереження всіх запитів і відповідей в сховище. Система реалізує також основну бізнес-логіку роботи продукту, включаючи інтерфейс, формування звітів, оповіщення співробітників безпеки.
• Центр управління фактичний підсистема системи зберігання, призначена для конфігурації і управління комплексом в цілому. Інтуїтивно зрозумілий веб-інтерфейс дозволяє працювати з будь-якого пристрою і наочно показує всі ключові події моніторингу.

Системні вимоги «Гарди БД 4»

Комплекс «Гарда БД 4» поставляється у вигляді готового продукту, конфігурація здійснюється з урахуванням індивідуальних потреб кожного клієнта фахівцями вендора. Мінімальна поставка - один фізичний сервер або готовий образ віртуальної машини (віртуальний аплайнс), на якому спільно працюють компоненти аналізатора і сховища.

Масштабування комплексу відбувається шляхом нарощування серверних потужностей. Продуктивна платформа підтримує необмежені обсяги кластера, що робить рішення оптимальним для enterprise-сегмента.

Мінімально необхідні технічні вимоги для запуску системи наступні.

Для віртуальної машини:

• Кількість ядер - 16.
• Об'єм оперативної пам'яті - 32 ГБ.
• Об'єм жорсткого диска - 10 ТБ.

Для фізичного сервера:

• Кількість ядер - 20 (2 процесора по 10 ядер).
• Об'єм оперативної пам'яті - 32 ГБ.
• Об'єм жорсткого диска - 10 ТБ.

Відносно мережевого оточення:

• Ethernet-порт 1 Гбіт / сек.

Протокол IPv6 або IPv4 на локальній мережі стандарту IEEE 802.3.

Операційні системи:

• Linux для аналізатора і центру управління.
• Windows / Linux для робочих місць (підключення через браузер)

«Гарда БД 4» показує один з найвищих результатів за кількістю оброблюваного трафіку на 1U - до 5 Гбіт / сек. Oracle-трафіку і вище для інших СУБД.

Інтелектуальні можливості «Гарди БД»

Апаратно-програмний комплекс «Гарда БД 4» має потужні аналітичними можливостями, контролює всі запити до баз даних і веб-додатків в реальному часі і зберігає їх протягом тривалого терміну, сканує поновлення і виявляє уразливості СУБД. «Гарда БД» 4 знімає з співробітника безпеки завдання з налаштування точкових політик з перехоплення подій і допомагає в розслідуванні інцидентів в ретроспективі.

Серед завдань безпеки, які вирішує система:

• Автоматичне виявлення і класифікація БД - жодна нова база або її копія не залишиться поза інформаційного поля служби безпеки.
• Сканування БД на уразливості і цілісність конфігурації - відкриті порти, невстановлені патчі і незаблоковані облікові записи виявляються в автоматичному режимі з оповіщенням офіцера ІБ.
• Автоматизоване отримання матриці доступу до БД, включаючи перелік облікових записів і їх привілеї доступу до таблиць і полів БД. Для мінімізації ручної обробки результатів сканування система показує історію змін прав користувача.

Малюнок 1. Результати сканування матриці доступу до СУБД

Функціональні можливості «Гарди БД 4»

Основне завдання комплексу «Гарда БД» - захист баз даних і бізнес-додатків з єдиного інтерфейсу. За допомогою контролю правил безпеки і багаторівневого аналізу мережевого трафіку можна виявити неконтрольовані бази даних, уразливості в комплексі СУБД і підозрілі дії користувачів баз даних.

Контроль правил безпеки створює єдину картину користування СУБД. Для цього в системі реалізовані наступні технології:

• Моніторинг в реальному часі. Комплекс в автоматичному режимі проводить аналіз інформації в базах даних на предмет виявлення та запобігання порушенням політик безпеки або перевищення прав користувачів. За допомогою «Гарди БД» можна контролювати адміністраторів баз даних, а також прямі підключення до серверів СУБД.
• Блокування несанкціонованого доступу. Одне з ключових оновлень рішення - механізм активного захисту. Фактично це інтелектуальний брандмауер, який блокує несанкціоновані дії користувачів.
• Виявлення баз даних в мережі. «Гарда БД» після розгортання запускає автоматичний пошук всіх баз даних, присутніх в корпоративній мережі клієнта. В рамках виявлення встановлюються IP-адреси і порти серверів БД і протоколи взаємодії. Для копій вже відомих баз даних включаться ті ж політики безпеки.
• Класифікація баз даних. «Гарда БД» не тільки виявляє бази даних, але і класифікує виявлені бази по їх вмісту. Класифікація заснована на скануванні БД на наявність в них конфіденційної інформації, номерів кредитних карт, ІПН і т. П., А також на регулярному відстеженні нових БД або змін контрольованих БД.
• Контроль веб-додатків. Комплекс забезпечує деталізований розбір HTTP / HTTPS-трафіку з виділенням даних з веб-форм, дозволяючи пов'язувати запити з обліковими записами, від яких вони виконувалися. Для персоніфікації користувачів можуть використовуватися як протоколи аутентифікації (Kerberos, NTLM), так і різні «самописние» способи аутентифікації (web form authentication).
• Сканування на уразливості. Комплекс надає клієнту механізм, що дозволяє встановити уразливості в базах даних. В рамках сканування на уразливості виявляються незаблоковані облікові записи або облікові записи з простими паролями, невстановлені патчі і ін.

Аналітичні можливості комплексу дозволяють оперативно (за лічені секунди) відновити і проаналізувати сценарії роботи з СУБД будь-яких користувачів за різні періоди. Для цього передбачені наступні технології:

• Побудова звітів по подіях. У новій версії комплексу оновлена ​​підсистема звітності. Зрозумілі графічні звіти дозволяють виявити відхилення в статистичній картині доступу до БД, а інтерактивні графіки і таблиці забезпечують швидкий перехід до відповідних інформаційних об'єктів.
• Статистичні звіти. Широкий набір автоматичних звітів вже попередньо встановлено в системі. Візуалізація статистики допомагає виявляти аномалії (явні відхилення за кількістю запитів за певний проміжок часу від середньостатистичного).
• Ретроспективний аналіз. Сховище власної розробки дозволяє зберігати весь трафік об'ємом до 100 ТБ і аналізувати дані за будь-який період часу незалежно від того, враховані вони в політиках чи ні. Дані зберігаються в знеособленому вигляді завдяки технології маскування.
• Контентний пошук. Один з ключових і найбільш затребуваних механізмів пошуку - пошук даних за ключовими словами в запитах, відповідях і змінних.
• Атрибутивний пошук. «Гарда БД 4» дозволяє здійснювати пошук за такими сутностей, як, наприклад, IP-адреси, облікові записи, або ж назви таблиць і полів.

Серйозну увагу приділено і зручності роботи з системою:

• Управління правами доступу. Комплекс надає гнучкий механізм настройки профілів користувачів.
• Конструктор політик безпеки. У «Гарде БД» застосовується гнучка система налаштування політик безпеки, звітів, профілів користувачів. Крім того, під кожного користувача комплексу може бути індивідуально налаштований головний екран, що відображає всю інформацію для моніторингу і контролю доступу до баз даних.
• Система сповіщення. У комплексі передбачені повідомлення про події по e-mail, передача даних в зовнішні SIEM-системи і відображення звітів на головному екрані.
• Підтримка відомих СУБД. Комплекс в частині моніторингу дій користувачів підтримує всі основні СУБД: Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, Sybase ASE, IBM Netezza, IBM DB2, Линтер, Apache Cassandra.
• Зберігання всіх відповідей і запитів користувачів і додатків з можливістю ретроспективного аналізу за будь-який період часу. Коли платіжні дані потрапляють в сховище, відбувається їх маскування.

Розгортання «Гарди БД 4»

схема впровадження

Найбільш поширена схема впровадження - це «паралельна» схема, або схема з дзеркалюванням трафіку. Вона має на увазі установку аналізатора в паралель з основним потоком трафіку і напрямок на нього копії трафіку. Завдяки можливості контролю веб-додатків комплекс застосовується для контролю взаємодії користувачів з базами даних в триланкової архітектурі (див. Малюнок нижче).

При необхідності контролю великих обсягів трафіку система може масштабироваться. Завдяки можливості кластеризації «Гарда БД» може встановлюватися в великих територіально-розподілених компаніях.

Малюнок 2. Схема розгортання «Гарди БД 4»

Після розгортання комплексу можуть бути виконані наступні основні настройки:

• Профілювання рольової моделі користувачів комплексу.
• Синхронізація з LDAP.
• Налаштування аналізаторів.
• Визначення списків критеріїв.
• Налаштування експорт в SIEM.
• Визначення профілів баз даних веб-додатків.
• Налаштування email-повідомлень.

Рольова модель користувачів

В рамках настройки рольової моделі користувачів (див. Малюнок нижче) здійснюється:

• Визначення уповноважених осіб (прізвище, ім'я).
• Визначення ролі. Крім встановлених ролей (відділ моніторингу, відділ експлуатації, адміністратори системи) можна створити свої ролі для доступу до системи, гнучко розмежовуючи таким чином права доступу.
• Визначення доступу для ролі.

Малюнок 3. Налаштування рольової моделі користувачів «Гарди БД 4»

Синхронізація з LDAP

Синхронізація з LDAP спрощує рутинну роботу і автоматично збагачує дані системи (наприклад, щоб при аналізі дій користувачів бачити не тільки обліковий запис в системі, що захищається, а й інформацію про співробітника, департаменті, а також про відділ, до якого прив'язана дана обліковий запис). Крім того, можна подивитися структуру підприємства, відображену на сервері.

Малюнок 4. Синхронізація з LDAP в «Гарде БД 4»

Налаштування аналізаторів

Під час налаштування серверів комплексу вказуються IP-адреси і порти серверів для передачі на них копії трафіку для подальшого аналізу. Крім того, в цьому розділі налаштувань «Аналізатор» може бути заблокований.

Малюнок 5. Налаштування аналізаторів в «Гарде БД 4»

сканування

Важливим властивістю «Гарди БД» є можливість його інтеграції з контрольованими базами даних в частині різних способів сканування:

• Класифікація даних і місцезнаходження критичною для компанії інформації.
• Сканування на уразливості - сканування баз даних на наявність неоптимальні настоянок, в тому числі в частині прав користувача.
• Сканування на права доступу - дозволяє побачити повну картину рольової моделі доступу до даних будь-СУБД.

Сканування на неоптимальність конфігурації баз даних - відособлена функція «Гарди БД», яка постійно підключається до даних, класифікує інформацію і надсилає звіт у вигляді списків і критеріїв.

Всі три способи сканування проводяться віддалено за допомогою SQL-запитів з комплексу «Гарда БД» на бази даних компанії. Для цього потрібно прописати назву бази, порт, користувачів і пароль.

Визначення списків критеріїв

Списки критеріїв являють собою систему словників, де користувач може застосовувати як встановлені словники, так і створювати власні. Створити новий список критеріїв також можна за допомогою завантаження в нього необхідних записів з файлу, підготовленого заздалегідь. Наприклад, файлу, що містить перелік адміністраторів БД із зазначенням облікових записів

Налаштування експорту в SIEM

В рамках настройки інтеграції з SIEM-системою можна створити кілька шаблонів. Для їх створення (див. Малюнок нижче) необхідно вказати: назву шаблону, IP-адреса, порт і протокол взаємодії (tcp / udp), а також задати формат повідомлення (описується в CEF-форматі). Приклад формату повідомлення для експорту наведено в посібнику власника комплексу.

Малюнок 6. Налаштування шаблону експорту в SIEM в «Гарде БД 4»

Створення профілів баз даних

Для роботи комплексу не тільки з SQL-трафіком, але і з HTTP / HTTPS-трафіком потрібно визначення профілів, відповідних веб-серверів (див. Малюнок нижче). Основне завдання таких профілів - це опис, яким чином відбувається аутентифікація користувачів на захищаються веб-сервери, з метою виділення облікових записів в довільних веб-системах. В рамках настройки профілів БД визначаються URL-адреси сторінок входу в систему і виходу з неї, а також параметри сесій, включаючи зв'язок з cookies.

Малюнок 7. Визначення профілів баз даних в «Гарде БД 4»

журнал

Всі дії, що виконуються з системою, логіруются в журналі, переглянути інформацію по ним можна у відповідному розділі. Ця функціональність корисна для контролю привілейованих користувачів і зниження ризиків, пов'язаних з доступом до інформації, що міститься в «Гарде БД», а також для контролю працездатності комплексу і його налаштувань.

Усього доступно три типи журналів:

• Авторизації - лог всіх фактів авторизаций, виходів і невдалих спроб входу.
• Системні повідомлення - перелік всіх подій, що відбулися в АПК, пов'язаних з його обслуговуванням.
• Вирішення проблеми - журнал, що містить лог дій всіх користувачів - створення / видалення політик, зміна ролей і так далі.

Всі журнали містять IP-адреса, час і назва облікового запису, під якою було скоєно дію. Будь-журнал можна експортувати в форматі csv. Якщо журнал очищається, в нього відразу ж додається новий запис про очищення.

Робота з «Гард БД 4»

Інтерфейс комплексу «Гарда БД 4»

Головне вікно (dashboard) комплексу «Гарда БД 4» - це повноцінний робочий стіл з найбільш важливими звітами і статистикою, який налаштовується індивідуально для кожного користувача.

Малюнок 8. Головне вікно (dashboard) «Гарди БД 4»

Весь інтерфейс інтуїтивно зрозумілий і не вимагає навчання роботі з системою. Будь-який звіт дозволяє дістатися до конкретного цікавить події. Також можна перейти до інформації, що цікавить безпосередньо через меню.

Гнучка настройка політик безпеки

Після розгортання комплекс автоматично виявляє присутні в корпоративній мережі компанії БД і сервери додатків. Сканування відбувається на основі аналізу мережевих пакетів без необхідності сканування портів підприємства. Кожну з виявлених БД можна поставити на контроль, зазначивши пункт «Контролювати БД», змінивши назву баз даних і натиснувши на кнопку «Застосувати» (див. Малюнок нижче).

Малюнок 9. Постановка БД на контроль в «Гарде БД 4»

Після цього до баз даних за замовчуванням буде застосована «Політика тотального перехоплення» (див. Малюнок нижче). Це дозволяє зберігати в комплексі всі запити і відповіді до захищається серверів БД і додатків. Подібна політика за замовчуванням дозволяє співробітнику ІБ розібратися в тому, яка інформація зберігається в захищаються СУБД, а також хто і як до неї звертається, і використовувати цю інформацію для ретроспективного аналізу (для виявлення та розслідування інцидентів).

Малюнок 10. Автоматичне застосування «Політики тотального перехоплення» до БД в «Гарде БД 4»

Завдяки інтерактивному інтерфейсу існує можливість перейти до налаштування політики за допомогою вибору її в складі відображаються для конкретної БД, наприклад, «Політика тотального перехоплення» (див. Попередній малюнок).

«Політика тотального перехоплення» - одна з найпростіших в плані складу конфігураційних налаштувань. При налаштуванні цієї політики можна вибрати тільки перелік контрольованих БД (див. Рисунок нижче).

Малюнок 11. Конфігураційні параметри «Політики тотального перехоплення» в «Гарде БД 4»

Для активації будь-якої політики в «Гарде БД» необхідно вибрати її з переліку в лівому фреймі робочої області. Для створення нової політики (див. Малюнок нижче) необхідно в нижній частині лівого фрейму, що містить перелік політик, вибрати «+ Додати політику» і визначити ряд наступних параметрів (обов'язкові, за традицією, відзначені зірочкою):

• Назва і короткий опис політики.
• Контрольовані БД. Необхідно зі складу БД, виявлених комплексом, вибрати ті, що підлягають контролю.
• Критерії контролю фактично - це мережеві параметри (IP-адреса і порт), ім'я користувача в базі даних і ім'я користувача в ОС (Логін БД, Логін ОС), запитувані / передані об'єкти БД (Таблиця \ Об'єкт, Поле таблиці \ об'єкта, Ім'я функції \ процедури, SQL-операції), назва клієнтського додатка (Ім'я програми), обсяги даних (Обсяг запиту, Обсяг відповіді, Строк у відповіді), Ключове слово для пошуку в запитах / відповідях, дані про проходження аутентифікації (успішна, неуспішна), Комбінований .
  Регулярні вирази: номера карт, ІПН, СНІЛС, номер посвідчення водія, паспортні дані та інші. Крім того, для будь-якого з описаних типів даних можна включити опцію «маскування» - при цьому всі дані, що потрапили під регулярні вирази, будуть зберігатися в сховищі комплексу в замаскованому вигляді.
• Включення / вимикання статистичного режиму роботи. При включенні цього режиму роботи політика буде повністю відпрацьовувати, але відповіді на запити до баз даних перехоплюватися не будуть. Ця можливість призначена для зниження навантаження на систему, економії місця під сховище і збільшення часу безперервної роботи комплексу.
• Включення / вимикання архівації. Функція переходу в режим дозволяє архівувати дані старше певного часу для підвищення відмовостійкості (за допомогою резервування даних) і зниження навантаження на комплекс (при виборі опції «Архивировать і видаляти»). Сформовані архіви будуть доступні через вибір пункту меню «Архіви».
• Включення / вимикання інтеграції з SIEM-системою. При включенні цієї опції дані будуть не тільки фіксуватися в комплексі, а й вирушати в зовнішнє SIEM-систему. Крім того, в SIEM-систему будуть відправлятися не тільки дані запиту до баз даних, але і дані відповіді, сформованого на цей запит.
• Включення / вимикання відправки даних по e-mail з метою організації оперативного реагування. При включенні цієї опції повідомлення про нові події по політикам також будуть відправлятися на адресу електронної пошти офіцера інформаційної безпеки відповідно до обраного шаблоном повідомлення.

Малюнок 12. Формування нової політики в «Гарде БД 4»

При виборі в якості критерію «Логін БД» (див. Малюнок нижче) можна вручну ввести найменування облікових записів, а можна завантажити заздалегідь сформований список критеріїв (за допомогою кнопки «Вставити список»). Також при визначенні критеріїв можна додати виключення з контролю, що дозволяє зробити настройку політик контролю більш гнучкою.

Малюнок 13. Визначення критерію при формуванні нової політики в «Гарде БД 4»

Додаючи кілька критеріїв у політику, можна деталізувати (звузити) область контролю, зробивши контроль більш точним. Така установка дозволяє мінімізувати кількість помилкових спрацьовувань політики і зменшити обсяг формованих в результаті роботи політики даних, що підлягають перегляду (див. Малюнок нижче).

Малюнок 14. Формування переліку критеріїв нової політики в «Гарде БД 4»

Крім визначення критеріїв і регулярних виразів, в рамках політики може бути налаштоване збагачення даних, спрямоване на підвищення зручності роботи з результатами виконання політики. При налаштуванні збагачення можна (див. Малюнок нижче):

• Задати, наприклад, певні поля LDAP, які дають змогу відобразити в результатах відомості про співробітника, який звернувся до бази даних.
• Обмежити відображається для аудиту інформацію за допомогою вибірки окремих полів з відповіді, що формується при зверненні до БД. Дана можливість реалізується за допомогою додавання окремих полів таблиці для контролю в рамках пункту «Відповіді і змінні».

Малюнок 15. Налаштування збагачення для нової політики в «Гарде БД 4»

При включенні опції «Надіслати дані по e-mail» необхідно вибрати один з визначених раніше шаблонів. Приклад наведено на малюнку нижче.

Малюнок 16. Вибір шаблону надсилання повідомлення e- mail при формуванні політики в «Гарде БД 4»

Малюнок 17. Приклад політики контролю CRM в «Гарде БД 4»

Аудит виявлених подій

Аудит подій здійснюється за допомогою аналізу даних, виявлених при виконанні політики. Відповідні дані можна переглянути за допомогою звернення до «Останнім подій» при конфігуруванні політики або через пункт меню «Дані» (див. Малюнок нижче).

Малюнок 18. Відображення подій, зафіксованих з політики, в «Гарде БД 4»

За допомогою визначення параметрів фільтрації можна обмежити перелік відображуваних подій для зосередження уваги на цікавих в даний момент. Наприклад, можна задати конкретний протокол (див. Малюнок нижче).

Малюнок 19. Відображення подій відповідно до параметрів фільтрації в «Гарде БД 4»

Комплекс дозволяє отримати відповідь на кожен запит до бази даних. Для цього необхідно вибрати потрібну запис в журналі даних, і в що виїжджає вікні відобразиться повний текст запиту, що передаються змінні, а також відповідь в табличному вигляді.

Малюнок 20. Зафіксоване комплексом «Гарда БД 4» вміст відповіді на запит до БД

По всій інформації, отриманої в результаті роботи політики, можна здійснювати пошук необхідних відомостей, тим самим більш точно виявляти цікавлять з точки зору реагування і «розбору польотів» події. Пошук по виявленим і відфільтрованим подій здійснюється за допомогою введення в рядок пошуку цікавить параметра (контентний пошук по вмісту запиту, відповіді або змінної), наприклад, прізвища (див. Малюнок нижче). Пошук подій за ключовими словами здійснюється дуже оперативно і є досить затребуваним функціоналом.

Малюнок 21. Контентний пошук по вмісту в «Гарде БД 4»

Пошук і фільтрація можливі не тільки по введенню ключових слів, а й за вибором потрібних даних в полях відображаються відомостей за допомогою фільтрації (див. Малюнок нижче). Тим самим кількість подій, які підпадають під всі задані параметри, різко скорочується, і з ними стає вже простіше працювати співробітнику служби безпеки.

Малюнок 22. Додаткові можливості пошуку / фільтрації подій в «Гарде БД 4»

Однак такий вид аудиту, як робота з текстовою інформацією, можливий, коли відомі якісь параметри пошуку. В іншому випадку доцільно починати аудит з графічного подання відомостей про події, зафіксованих в комплексі.

В рамках нової версії комплексу «Гарда БД 4» реалізована підсистема графічного відображення перехопленої інформації (див. Малюнок нижче), що містить близько 70 попередньо встановлених звітів - топ за зверненнями.

Малюнок 23. Графічне відображення перехопленої інформації в «Гарде БД 4»

«Гарда БД 4» здійснює контекстний пошук по графічному поданням. Для цього необхідно задати шуканий параметр, так само як і при пошуку по текстовому поданням подій (див. Малюнок нижче).

Малюнок 24. Контентний пошук по графічному відображенню в «Гарде БД 4»

Крім того, завдяки реалізованим налаштувань графіків (лівий фрейм області відображення) можна задати детальні характеристики пошуку. Наприклад, щоб встановити осіб (Логін БД), які звернулися до шуканого параметру. Для цього в пункті «Кількість запитів» необхідно вибрати «Логін БД», в результаті буде сформований графік «Топ за кількістю запитів».

Малюнок 25. Встановлення осіб, часто зверталися до шуканого параметру пошуку в «Гарде БД 4»

Відносно виділяється піку можна проводити подальше розслідування. Вибравши на піковому стовпці «Додавання в фільтр», можна отримати статистику за зверненнями для конкретної особи (див. Малюнок нижче). А перейшовши у вкладку текстового відображення інформації, можна детально досліджувати запити, сформовані їм до бази даних, і отримані відповіді.

Малюнок 26. Обробка пікового значення графічного представлення в «Гарде БД 4»

Крім того, будь-який з відображених графіків, який цікавий для уповноваженого з точки зору подальшого контролю, може бути доданий на головний екран (dashboard) комплексу або до складу формованих звітів. Для цього потрібно вибрати на графіку пункт «Зберегти»: «На головну» або «В звіти» (див. Малюнок нижче).

Малюнок 27. Вибір збереження графічного представлення «На головну» або «В звіти» в «Гарде БД 4»

Повідомлення про події

У «Гарде БД 4» гнучке налаштування повідомлень про події (див. Малюнок нижче). В рамках настройки повідомлень про події визначається, кого і як часто необхідно повідомляти, а також задаються параметри SMTP-сервера для відправки відповідних повідомлень.

Малюнок 28. Налаштування шаблону повідомлення по e- mail в «Гарде БД 4»

Перегляд «сирих» даних

Оновлена ​​в новій версії комплексу система зберігання (в ній зберігається весь трафік - як запити, так і відповіді) і реалізовані «швидкі» механізми пошуку дозволяють дуже оперативно знайти і проаналізувати будь-яку необхідну інформацію за різні періоди часу незалежно, потрапили вони під налаштовані політики безпеки , або ж «перехопити» виключно по «Політиці тотального перехоплення».

графічні звіти

У «Гарде БД 4» в порівнянні з попередньою версією в значній мірі перероблена підсистема звітності. У комплексі реалізована велика кількість встановлених звітів, включаючи віджети «даних», які ми розглядали вище, і спеціалізовані (галузеві) звіти, орієнтовані на вимоги стандартів (наприклад, PCI DSS, СТО БР Іббсе і т. Д.).

Реалізовані звіти доступні в меню «Звіти» → «Налаштування» (див. Малюнок нижче). Будь-який звіт може бути перенесений на головний екран системи.

Малюнок 29. Склад і настройка звітів в «Гарде БД 4»

Під час налаштування звітів визначаються: політики для контролю, фільтри, що дозволяють зосередити увагу на найбільш цікавих для події, формати представлення (графічний або табличний вигляд) і параметри зберігання звітів.

Малюнок 30. Архів звітів в «Гарде БД 4»

Після вивантаження і відкриття файлу зі звітом можна ознайомитися з відповідними відомостями, представленими в графічному або в табличному вигляді.

Висновки

Комплекс «Гарда БД 4» - один з небагатьох вітчизняних товарів, що забезпечує гідний захист баз даних і веб-додатків. Реалізація в комплексі автоматизованого моніторингу БД і сканування їх на уразливості надає можливість безперервного контролю доступу до даних і мінімізує ризик витоку конфіденційних даних (включаючи персональні дані) і в середині компанії, так і ззовні.

«Гарда БД 4» поставляється на єдиному сервері, що зручно при впровадженні. Система має можливість горизонтального масштабування для ефективності роботи в територіально-розподілених компаніях з великими обсягами даних.

Передбачена можливість поставки системи на віртуальній машині для зручності тестування.

Апаратно-програмний комплекс «Гарда БД 4» найбільш актуальний для організацій банківської сфери, телеком-операторів, страхових і торгових компаній, де ризики розкрадання конфіденційних даних високі, а наслідки від витоку - значні.

Преимущества

До ключових переваг рішення відносяться:

• Широкі можливості автоматизації рутинних завдань ІБ-фахівця.
• Висока продуктивність виконання аналізу оброблюваної інформації. Продуктивність досягає десятків терабайт в секунду.
• Мінімальний вплив на продуктивність мережевого оточення і серверів систем СУБД.
• Можливість докладного аналізу запитів і потоків даних в триланкової архітектурі взаємодії користувачів з БД.
• Масштабованість комплексу під будь-які структурні зміни корпоративних інформаційних систем.
• Відсутність в «Гарде БД 4» компонентів, що вимагають додаткового ліцензування.
• Інтуїтивно зрозумілий веб-інтерфейс і застосування попередньо налаштованих політик реагування, які не потребують якоїсь спеціальної кваліфікації у користувача продукту.
• Можливість інтеграції з SIEM і LDAP.
• Сканування на права доступу - дозволяє побачити повну картину рольової моделі доступу до даних будь-СУБД.
• Організація сховища - дозволяє зафіксувати і в подальшому використовувати для ретроспективного аналізу великі обсяги даних, що містять не тільки запити користувачів до БД, а й сформовані на них відповіді. Ця інформація допомагає при проведенні розслідувань інцидентів.
• Автоматичне виявлення БД в корпоративній мережі компанії і їх подальша класифікація за вмістом.
• Контроль звернень до БД, виконуваних через веб-додатки.
• Автоматична діагностика СУБД на предмет виявлення вразливостей, невстановлених патчів і інформування про них уповноважених осіб компанії.
• Можливість роботи з усіма відомими СУБД, включаючи Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, Sybase ASE, IBM Netezza, IBM DB2, Линтер, Apache Cassandra.
• Можливість автоматичного блокування небажаних (несанкціонованих) дій.
• Зручний контентний і критеріальний пошук.

Недоліки

До основних недоліків комплексу можна віднести:

• Відсутність можливості автоматичного формування тимчасових рішень по блокуванню (усунення) вразливостей БД, виявлених при скануванні, до моменту установки на серверах необхідних патчів.
• Відсутність інтеграції з системами обліку заявок (кейсів) для автоматичної фіксації виявлених проблем і заклади відповідних заявок на їх рішення.