Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем системы предотвращения «выжимки» данных

Джон Г. Сойер

Представляем вашему вниманию относительно новый класс ПО безопасности — системы предотвращения «выжимки» данных, способные остановить злоумышленников еще на подступах к вашей БД.

Списки клиентов, объемы продаж, результаты научно-исследовательских работ, номера кредитных карт... Перечень данных, которые вы не захотели бы сделать достоянием гласности даже под дулом пистолета, становится с каждым днем все длиннее и длиннее. Так почему же большинство организаций предпочитают фокусировать свое внимание не на безопасности своих баз данных (БД), а на том, чтобы они максимально отвечали требованиям других приложений, таких, как системы ERP? Но даже если бы высокая степень защищенности относилась к числу наиболее важных аргументов в пользу покупки той или иной БД, то вы, вероятно, вскоре убедились бы в том, что модель безопасности производителя БД не очень-то согласуется с вашей реальной сетевой инфраструктурой.

Это как раз одна из тех ситуаций, которые заставляют специалистов по безопасности рыдать навзрыд, а производителей — потирать от радости руки, подсчитывая барыши. Согласно данным компании Forrester, общая стоимость рынка ПО безопасности БД, включая средства их мониторинга, шифрования, аудита и оценки, составляет сегодня 600 млн долл., и, по всей вероятности, к 2009 г. превысит цифру в 1 млрд долл. Значительная доля этой суммы будет приходиться на средства обнаружения/предотвращения «выжимки» БД. Эти продукты могут обладать самыми разными возможностями: все они способны отслеживать действия пользователей и предупреждать вас о подозрительном поведении кого-либо из них, а некоторые из продуктов позволяют идти еще дальше, блокируя потенциальных злоумышленников прежде, чем произойдет утечка данных. Какой из этих двух уровней защиты подходит вам больше, зависит от сопоставления последствий неправомочного раскрытия конфиденциальной информации в сравнении с последствиями принудительного закрытия доступа к БД легитимным пользователям.

Еще одна проблема: в старые добрые времена БД атаковали посредством имеющихся в ее ПО уязвимостей. Сегодня же взломщикам для этой цели будут, по всей вероятности, служить плохо написанные веб-приложения (значительно проще обновлять лишь один браузер, нежели поддерживать два десятка разных клиентских программ). Если какое-либо приложение или сервис можно получать через веб, то, скорее всего, его и будут получать через веб, а это значит, что к БД, полной конфиденциальной информации, будет проложено множество путей.

Мы не собираемся винить за такое положение дел того или иного производителя СУБД. Да, небольшой «червь» под названием SQL Slammer и изъяны, вроде «пустого» пароля системного администратора», сделали Microsoft SQL Server 2000 «любимцем» сообщества исследователей безопасности. Однако сейчас маятник качнулся в другую сторону: выпущенное в январе критически важное обновление БД Oracle содержит 51 «заплату», тогда как для Microsoft SQL Server 2005 не было обнародовано ни одной уязвимости — во всяком случае, на момент сдачи данной статьи в печать.

Регистрация действий пользователей

Механизмы защиты БД могут варьироваться от приятно ненавязчивых и малоэффективных вплоть до таких, которые, что называется, «стреляют без предупреждения».

Возьмите, например, встроенные возможности регистрации событий вашим ПО СУБД — аудит БД является настоящим камнем преткновения, и вряд ли эта ситуация выправится в ближайшем будущем без вмешательства заинтересованной общественности. Да, транзакционные журналы не являются сегодня редкостью, однако они были созданы для предотвращения потери данных во время их модификации в случае выхода из строя сервера, прежде чем все изменения зафиксируются в БД. Они не предназначены ни для предотвращения, ни даже для отслеживания враждебной активности.

Что означает это для предприятия? Прежде всего возможны «упущения» в отношении регистрации определенных событий. Например, в случае с Microsoft SQL Server 2000 администратор БД может выключить аудит, выполнить ряд действий и снова его включить... и ничего не будет зарегистрировано. Эта ситуация наглядно показывает, почему столь жизненно важным для организаций, подпадающих под действие закона Sarbanes-Oxley (SOX), является функциональное разграничение обязанностей должностных лиц.

С целью протоколирования действий пользователей и соблюдения требований законодательного акта SOX предприятия могут установить у себя устройства мониторинга активности БД, такие, как AppRadar компании Application Security. Эти устройства включаются в тракт передачи данных (inline) или подключаются к порту анализатора (Switched Port Analyzer — SPAN) коммутатора ЛВС и отслеживают входящий и исходящий трафик сервера БД. Чтобы уменьшить остроту проблемы, связанной с неспособностью сетевого устройства отслеживать активность, имеющую ме-сто на самом сервере БД, можно развернуть хост-агенты, разместив их на этих серверах, чтобы отправлять сообщения соответствующим платформам управления. Такой подход позволяет фиксировать моменты включения и отключения регистрации событий БД.

Кроме всего прочего, разграничение обязанностей вполне достижимо еще и потому, что в настоящее время процесс аудита вынесен на отдельную платформу. Благодаря этому менеджеры по сетевой безопасности и соблюдению законодательных актов способны осуществлять аудит активности пользователей независимо от того, имеет возможность администратор СУБД самолично активизировать средства протоколирования сервера БД или нет.

Великолепно, не правда ли? Да, но только лишь до тех пор, пока в игру не вступят веб-приложения. Как правило, веб-приложения связываются с БД посредством всего лишь одной или двух учетных записей, что превращает аудит в самый настоящий кошмар. Признавая серьезность проблемы, компания Imperva включила в свой продукт SecureSphere Database Security Gateway межсетевой экран для веб-приложений, позволяющий «привязывать» IP-адреса и имена аутентифицированных пользователей веб-приложений к соответствующим запросам к БД. Раньше это было довольно трудоемкой процедурой, которую специалистам по безопасности приходилось выполнять вручную путем корреляции событий, зафиксированных в журналах регистрации веб-сервера и сервера БД.

Остановить вора!

Важность аудита несомненна, однако он обычно осуществляется лишь спустя некоторое время после того, как враждебная активность уже имела место. Лучше оповещать об опасности вовремя или даже предотвращать утечку данных. Для этого вам нужна система предотвращения «выжимки» БД (Database Extrusion Prevention — DBEP).

Средства предотвращения «выжимания» данных останавливают атаки путем отправки команд сброса TCP-соединения как компьютеру злоумышленника (в том числе веб-серверу), так и серверу БД. Или же можно включить устройство DBEP непосредственно в тракт передачи данных (т. е. использовать режим сквозного (inline) его включения) и сбрасывать атакующий трафик раньше, чем он достигнет сервера БД.

Хотя системы DBEP обычно относят к межсетевым экранам для БД, они делают гораздо больше, нежели простое межсетевое экранирование. Они могут блокировать известные атаки, предотвращать неавторизованный доступ, исходя из назначенных пользователям ролей, и обнаруживать аномальную пользовательскую активность. Другими словами, они больше похожи на системы предотвращения вторжений (Intru-sion Prevention System — IPS) или системы обнаружения аномалий в поведении сети (Network Behavior Anomaly Detection — NBAD), нежели на системы обнаружения вторжений (Intrusion Detection System — IDS).

Учитывая рост популярности продуктов DBEP, готовьтесь к тому, что снова будут подняты те же вопросы, которые когда-то возникали при внедрении систем IPS, а именно: что случится, если система DBEP заблокирует легитимный трафик, сорвав тем самым выполнение критически важной SQL-транзакции? Все зависит от ситуации. Приведет ли несанкционированное раскрытие информации к финансовому краху компании под дружный вой падких на «жареное» СМИ, или же все закончится лишь внутренними «разборками» со сваливанием вины друг на друга? Сопоставьте риск блокирования легитимных бизнес-процессов с затратами на устранение последствий утечки информации.

Что покупать?

Выбирайте такую систему DBEP, которая «умеет» выстраивать базовые профили пользователей в соответствии с их нормальной активностью. Создав файл базовой активности, можно затем приспосабливать его к тем или иным бизнес-потребностям по мере их возникновения. Протестированный первым продукт Imperva SecureSphere идеально подойдет для предприятий, которые имеют многочисленные конфиденциальные данные, рассредоточенные по всем их серверам БД, но которые не могут с уверенностью сказать, кому разрешен доступ к этим данным. Система SecureSphere «изучила» учетные данные наших пользователей и «узнала», к каким таблицам БД они обычно обращаются, а также, исходя из их активности, создала их базовые профили. Мы могли динамически модифицировать профили на основе определенных нами правил, чтобы при любом отклонении поведения пользователей от базовой нормы генерировались предупреждающие сообщения.

Продукты, способные выстраивать базовые профили, «руководствуясь» установленными ролями пользователей или безопасными объемами передаваемых данных, являются более предпочтительными, нежели продукты, не позволяющие с достаточной гибкостью и детализацией настраивать правила для выдачи уведомлений или блокирования активности. Гибкость в совокупности с детализацией настройки профилей является краеугольным камнем любой системы предотвращения «выжимки» данных, которая должна надежно и эффективно взаимодействовать с БД, технология которой весьма заметно варьируется по своей сложности от среды к среде и к тому же еще и изменяется время от времени.

Следует отметить, что если ваши данные зашифрованы, то любая сигнатурная технология, основанная на совпадении с шаблоном записей БД, таких, как номера карт социального страхования и кредитных карт, окажется бесполезной. Однако, когда пользователь или веб-приложение «выжимает» огромное количество подобных данных, система все же зафиксирует столь подозрительное поведение.

Описанный уровень защиты обойдется вам недешево, но система DBEP позволяет выполнить требования законов SOX, HIPAA и PCI в отношении документирования доступа и разграничения обязанностей и аудита пользовательской активности. Эта категория продуктов представляется нам перспективной и в отношении соблюдения требований еще только разрабатываемых законодательных актов.

Для нашего сравнительного тестирования продуктов DBEP мы попросили их производителей указать цены на конкретные конфигурации и наборы продуктов, способные обеспечивать защиту дюжины серверов баз данных, одна половина из которых является серверами Oracle SQL Server, а другая — серверами Microsoft SQL Server. Кроме того, мы определили уровни доступа пользователей БД; остальные требования к продуктам см. «Системы предотвращения “выжимки” данных: сценарий тестирования»..





  
11 '2007
СОДЕРЖАНИЕ

бизнес

• Селу и полю — по телефону

сети связи

• От DSLAM — к мультисервисным платформам доступа

• Видео в корпоративных сетях: тенденции рынка

инфраструктура

• Проектирование и создание ЦОДа

• Альтернативные решения для БЛВС

информационные системы

• Готовы ли вы к Ubuntu?

кабельные системы

• На виражах кабельных трасс. Продукты и решения

• Выбираем многомодовое волокно для 10-Гбит/с систем

защита данных

• Тестируем сканеры программного кода

• Тестируем системы предотвращения «выжимки» данных


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх