Журнал "Information Security/ Информационная безопасность" #4, 2021

Не всегда запросы адми- нистраторов и разработчи- ков можно контролировать на сетевом уровне. Сложность контроля дей- ствий привилегированных пользователей заключается в том, что они не оперируют интерфейсом бизнес- систем, а обладают досту- пом непосредственно к сырым данным, находя- щимся в базах. В компаниях, опери- рующих критичной информацией (напри- мер, данными клиен- тов), есть два подхода к распределению ролей пользователей: в пер- вом случае права досту- па к системе имеют все пользователи, а во вто- ром – есть четкое разграниче- ние прав по отдельным катего- риям данных и управляемый перечень пользователей, имею- щих доступ как к данным, так и к функциональным возмож- ностям той или иной бизнес- системы. Например, информа- ция из CRM (Customer Rela- tionship Management – управ- ление отношениями с клиента- ми) может быть видна одним сотрудникам и не видна другим. Но ни одна информационная система и, что важно, СУБД, входящая в ее состав, не обхо- дится без учетных записей при- вилегированных пользовате- лей, как правило, администра- торов и разработчиков. Учиты- вая максимально широкие права доступа этой группы лиц, крайне важен непрерывный мониторинг их действий. Не всегда запросы данных пользователей можно контро- лировать на сетевом уровне как по причине возможности локального подключения к сер- верам баз данных, при наличии физического доступа в ЦОД и серверные помещения, так и в случае подключения по про- токолам удаленного доступа (RDP, SSH и т.д.). Именно для таких пользователей и типичных для них способов подключения используются агентские реше- ния контроля доступа к базам данных. Сложность контроля привилегированных пользователей Классическая система класса DAM/DBF (Database Firewall и Data Access Management – система аудита и блокировки сетевого доступа к базам дан- ных) работает по принципу пас- сивного мониторинга обраще- ний пользователей к базам дан- ных. Контроль на сетевом уров- не дает сотруднику информа- ционной безопасности возмож- ность понять, кто сделал тот или иной запрос, когда он был сделан, что собой представлял (чтение, удаление, изменение), а также какую информацию получил пользователь из защи- щаемой системы. Сложность контроля действий привилегированных пользова- телей заключается в том, что они не оперируют интерфейсом бизнес-систем, а обладают доступом непосредственно к сырым данным, находящимся в базах. В большинстве случаев такие пользователи хорошо представляют себе их структуру и понимают, в какие таблицы, колонки следует сделать запро- сы, чтобы получить нужную информацию в обход приложе- ния. Возможности контроля привилегированных пользователей через агенты Применение агентского ПО отличается от пассивных реше- ний, потому что ставится непо- средственно на оборудование заказчика и позволяет непре- рывно мониторить все под- ключения к серверу баз дан- ных. У пользователей бывают опа- сения, что агентское ПО будет потреблять значительное коли- чество ресурсов, но это мнение устарело: как правило, агент- ское ПО предварительно обка- тывается на тестовых базах и настраивается под пороговые значения ресурсов клиента. При превышении пороговых значе- ний агент посылает сигнал администратору и переходит в режим мониторинга. 24 • ТЕХНОЛОГИИ Увидеть то, что скрыто, или Контроль доступа привилегированных пользователей к базам данных аиболее опасные случаи утечек данных в крупных холдингах – это последствия выгрузок из корпоративных баз данных, совершаемых привилегированными пользователями. Н Дмитрий Ларин, директор по разработке продукта “Гарда Технологии”