Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

SecureSphere обеспечит всестороннюю защиту данных

Джон Г. Сойер

Продукт SS Database Security Gateway компании Imperva положил начало старту серии статей в нашем журнале на тему тестирования средств обнаружения/предотвращения «выжимки» данных из БД (database extrusion).

Системам обнаружения/предотвращения вторжений в базы данных (БД) присущи множество одних и тех же сильных и слабых сторон, которыми обладают их собратья — сетевые системы IDS/IPS. Обеспечиваемые ими механизмы защиты могут напоминать скорее пуделей, чем ротвейлеров, и для вашего душевного спокойствия мы рекомендуем выбирать устройство обнаружения/предотвращения «выжимки» данных, способное самостоятельно выстраивать нормы поведения пользователей (usage patterns). Продукт SecureSphere Database Security Gateway (DSG) G4 компании Imperva, протестированный нами вместе с опциональным сервером MX Management Server, отлично справился с «изучением» норм поведения пользователей, а многочисленный набор сигнатур позволил ему успешно блокировать известные атаки, направленные как против серверов БД, так и против базовой ОС.

Продукт DSG, стоимостью 45 тыс. долл. вполне самодостаточен (т. е. его можно развернуть и администрировать без дополнительных средств), тем не менее MX Server предоставит вам удобный единый пункт управления. Если вы контролируете несколько устройств SecureSphere — в частности, DSG и Database Monitoring Gateway или Web Application Firewall от Imperva, то мы советуем вам потратить на него еще 15 тыс. долл.

И DSG, и сервер управления (MX Server) являются обычными 1-U серверами, только первый из них имеет четырехпортовую Ethernet-плату и два встроенных Ethernet-порта. Эти дополнительные порты позволяют ему работать в сквозном режиме (inline) и выполнять мониторинг трафика. Работая в сквозном режиме, устройство DSG G4 может вести мониторинг сразу для отдельных сетей/серверов.

Тестовая конфигурация

Чтобы задействовать средства управления, в окне веб-интерфейса MX Server нужно создать серверные группы (Server Groups). Мы создали две такие группы, поместив в них наши серверы Microsoft SQL и Oracle. Для создания базового файла рабочей активности (baseline) мы через определенные интервалы времени автоматически запускали сценарии Ruby и iMacros с целью имитации штатных действий пользователей как непосредственно с сервером БД, так и с веб-сайтом электронной коммерции.

Компания Imperva использует средство под названием Dynamic Profiling («динамическое профилирование») для формирования базового файла рабочей активности и изучения считающегося нормальным поведения пользователей. Мы могли бы создать профили и определить таблицы вручную, но значительно эффективнее позволить DSG сделать это «по своему усмотрению», а затем модифицировать полученные профили, исходя из реальных потребностей бизнеса.

Полученные продуктом в результате изучения профили могут динамически изменяться на основе правил. Так, наши сценарии автоматически запрашивали несколько таблиц в БД отдела кадров, случайным образом вставляли в них имена новых сотрудников и меняли записи один раз в несколько часов. Создав базовый файл рабочей активности и выдав разрешение на доступ текущим пользователям, мы определили правила, разрешающие добавление новых пользователей, но предусматривающие выдачу предупреждения при их первом вхождении с систему. Как и ожидалось, это средство работало: был сформирован новый профиль и изучено соответствующее поведение. Когда же мы установили правило, отменяющее разрешение на доступ пользователям, ранее не входившим в систему, то все попытки последних получить доступ к БД были отклонены.

После формирования всех профилей началось настоящее веселье. Мы определели, что следует считать попыткой «выжимки» данных из БД (database extrusion). Компании, которым нужно обеспечить соблюдение требований стандартов индустрии платежных карт, должны иметь в виду, что фирма Imperva предоставляет несколько наборов правил для выявления «утечек» номеров кредитных карт, но они очень велики и содержат более 200 уникальных правил для каждого крупного оператора платежной системы. Более того, все они включаются по умолчанию! Мы подозреваем, что многие компании просто оставят все эти правила включенными и будут мириться с ложными срабатываниями (false positive). Однако проблема заключается в том, что спустя некоторое время вы просто перестаете обращать внимание на предупреждения.

Слишком много информации?

Средства аудита действий пользователей в DSG значительно более развиты, чем в большинстве ПО серверов БД. Устройство DSG может вести протоколирование откликов от БД, что позволит вам выяснить, например, какие именно данные вызвали появление предупреждений. Хотя эта функция полезна, но сама по себе она может стать причиной нарушения нормативных актов. Представьте себе, что злоумышленник смог скинуть в дамп 1500 номеров кредитных карт и все они попали в журнальные файлы DSG. В этом случае вы вступите в противоречие с правилами индустрии платежных систем. А как насчет запросов, которые содержат информацию, имеющую, согласно определениям актов HIPAA (о защите врачебной тайны) или SOX конфиденциальный характер?

К счастью, компания Imper-va решает эту проблему и предусмотрела наличие опции исключения открытого текста запросов (raw queries) из журналов. Компания также способствует соблюдению нормативных актов, обеспечив разграничение полномочий за счет вынесения регистрации событий за пределы круга обязанно-стей администратора БД.

Поскольку DSG можно устанавливать как промежуточное сетевое устройство (inline), то оно способно действовать как межсетевой экран и система предотвращения атак, что делает его цену в 45 тыс. долл. вполне приемлемой. Помимо использования профилей для определения нормального рабочего трафика, DSG включает сигнатуры известных атак и декодеры протоколов для выявления аномалий, указывающих на возможную атаку. Представители Imperva заявили нам следующее: поскольку у большинства их заказчиков уже есть межсетевые экраны, то соответствующие средства их продукта являются наименее востребованными. Однако, на наш взгляд, они полезны как добавление с целью реализации многоуровневой модели защиты.

Мы имитировали несколько атак SQL injection, направлен-ных против нашего приложения электронной коммерции. Сигнатуры продукта выявили некоторые из них, но не все. Затем мы отключили сигнатуры, чтобы посмотреть, «заметит» ли устройство изменение в поведении веб-пользователя по отношению к его базовому профилю. Оно заметило. Согласно концепции IPS, продукт DSG включает сигнатуры, способные блокировать атаки не только против сервера БД, но и против базовой ОС.

Еще один приятный момент: продукт Imperva включает аналитический компонент для определения состояния дел с обеспечением безопасности сервера БД. Помимо собственно защиты от известных атак, он проверяет наличие общих средств безопасности БД и безопасность базовой ОС, обнаруживает уязвимости БД. Мы запустили этот сканер против машин с установленными по умолчанию СУБД Microsoft SQL Server 2000 и 2005, чтобы «послушать», что он нам «скажет» на это. Как мы и рассчитывали, сканер нашел все уязвимости, которые мы ожидали увидеть в каждом, инсталлированном по умолчанию продукте.

Все задачи управления решаются прямо в интерфейсе MX Management Server. Внесенные изменения распространяются на управляемые устройства щелчком мыши по кнопке Activate Settings («Активировать установки»), после чего изменения вступают в силу практически немедленно. Для компаний, располагающих большим числом географически разбросанных серверов БД или желающих использовать и другие продукты фирмы Imperva, сервер MX Management Server станет удачным выбором, так как предоставит им централизованное управление и набор политик через удобный в использовании интерфейс.

Итак, DSG компании Imperva — это надежный и солидный продукт. Ну а нам не терпится протестировать его конкурентов и посмотреть, как они будут выглядеть на его фоне. По завершении тестирования мы представим вам всесторонний сравнительный анализ этих продуктов с полным набором таблиц и диаграмм..


дилер мерседес в москве тут




  
13 '2007
СОДЕРЖАНИЕ

инфраструктура

• Контрольно-измерительные системы для сетей Ethernet/IP

• «Энергетическая конституция», или об актуальности строительства мини-ТЭС

• ИБП для ЦОДов: системы нового поколения или маркетинг «чистой воды»

• WANтастика!

бизнес

• К новому опыту пользования телекоммуникациями

информационные системы

• Чем меньше call-центр, тем больше проблем

• Формула доброй воли

• Мобильные IM-сервисы преодолевают барьеры

сети связи

• Из TDM в IP без «разрушений»

• Телекоммуникации для объектов коммерческой недвижимости

кабельные системы

• От категории 5e к классу F: демистификация кабельных спецификаций

• Говорим «претерминированные решения», подразумеваем «быстрая инсталляция»

защита данных

• Управление идентификацией: настала пора для гибких решений

• SecureSphere обеспечит всестороннюю защиту данных


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх