Журнал "Information Security/ Информационная безопасность" #4, 2021

Частый вопрос служб без- опасности: как скрыть работу агентского ПО? Технически подкованный специалист может найти любой дополни- тельный модуль, внедренный на сервер базы данных. Более того, часто в установке агент- ских решений задействованы именно администраторы БД. Другой вопрос в том, что в момент, когда что-то про- исходит с агентским решением (остановка или удаление сер- виса), в службу безопасности поступает мгновенное опове- щение как через электронную почту, так и через SIEM-систе- му (Security Information and Event Management). Таким образом, можно оперативно отреагировать на отключение агента и выяснить причину про- изошедшего. Автоматическая персонализация доступа привилегированных пользователей В крупных организациях, как правило, большое число адми- нистраторов имеет привилеги- рованный доступ к базам дан- ных или операционной системе, на которую установлена СУБД. И проблема в том, что, подклю- чившись к системе по ssh, адми- нистратор может обратиться к базе с правами sysdba, а администратор ОС – сменить пользователя на общий аккаунт root или любой другой аккаунт в системе. При совершении какого-либо обращения к базе данных в отчете фиксируется, что обра- щение к данным произвел sysd- ba или root – некий привилеги- рованный пользователь, имею- щий права администратора. Ранее расследование такого инцидента, после получения оповещения, приходилось про- изводить путем прямого выявления нарушителя через проверку каждого администра- тора баз данных. Нашим специалистам удалось автоматизировать отслежива- ние всей цепочки смены поль- зователей для выявления кон- кретного привилегированного пользователя, совершившего неправомерные действия с базами данных. Разработан механизм автоматического поиска логина пользователя и IP-адреса хоста, откуда он под- ключился. Система защиты баз данных и веб-приложений с функциями определения IP привилегиро- ванных пользователей – пол- нофункциональное решение, позволяющее контролировать как локальные, так и сетевые подключения ко всем популяр- ным СУБД, установленным на серверы под управлением ОС семейства Linux (Red Hat Enter- prise Linux, CentOS, Oracle Linux, AstraLinux, Ubuntu Server, SUSE Linux Enterprise Server и т.д.), Solaris, Windows Server, а также AIX. Решение позволяет конт- ролировать действия пользова- телей на всех сегментах, фор- мируя полноценную базу для ретроспективных расследова- ний. Практика применения системы защиты баз данных для предотвращения похищения ПДн клиентов организации Рассмотрим ситуацию, в кото- рой системный администратор, имеющий локальный доступ к базам с персональными дан- ными клиентов банка, открыл интерактивную сессию на сер- вере БД, а затем сменил поль- зователя на административную учетную запись root, с полно- мочиями которой обратился к базе данных. При этом для базы он являлся пользователем root. Путем редактирования файла wtmp, хранящего записи о вхо- дах, администратор скрыл следы своего пребывания в системе. Выгруженные базы с телефонами и паспортными данными клиентов продавались на черном рынке. Внедрение аппаратно-про- граммного комплекса защиты баз данных с использованием агентов и функцией определе- ния IP привилегированных пользователей позволило не только выявить нарушителя среди администраторов, но и заблокировать ему доступ к таблицам с персональными данными, тем самым пред- отвратив хищения. l • 25 КОНТРОЛЬ ДОСТУПА www.itsec.ru Поимка настоящего мошенника вместо подставного лица Ситуация Один из ведущих менеджеров банка при увольнении решил прихватить с собой данные VIP- клиентов. У человека были привилегированные права доступа ко всем базам данных, и он постепенно, в течение 2 месяцев, выкачивал информацию из баз данных разных отделов. Такие расширенные права ему предоставил администратор баз данных. Действия службы ИБ Служба ИБ переконфигурировала правила контроля обращений к БД АБС в "Гарде БД". Оказалось, что сотрудник использовал написанный скрипт, выполняющий PL-/SQL- запрос и использующий служебный (отладочный) функционал для доступа АБС, который пробегался по различным таблицам (минуя ролевую модель приложения) и на выходе формировал excel файл с большим количеством полей. Решение В "Гарда БД" были настроены политики для оперативного реагирования на такие события, а к нарушителю применили дисциплинарные меры в соответствии с корпоративной политикой. Контроль повышения привилегий доступа к данным Ситуация Наличие большого количества бизнес-систем и интерфейсов доступа к данным не позволяет максимально качественно мониторить модель доступа в них всех, особенно когда речь идет о крупных банках. Несмотря на установленные права для сотрудников в штатном интерфейсе АБС или ДБО, службе ИБ необходимо четко понимать, к каким данным на самом деле осуществляется доступ в БД. Действия службы ИБ Службой ИБ неоднократно фиксировались попытки доступа в БД с использованием технологических, административных и подозрительных учетных записей к чувствительной информации. Кроме того, замечались попытки несанкционированного повышения привилегий. Для таких действий не использовались штатные интерфейсы бизнес- систем. Решение Для исключения подобных злоупотреблений в "Гарда БД" были настроены политики мониторинга изменений привилегий учетных записей. Кроме того, для отдельных учетных записей была кардинально пересмотрена матрица доступа, а некоторые (технологические и непонятного происхождения) и вовсе заблокированы. Выяснилось, что несанкционированный доступ осуществлялся посредством выполнения скриптов или прямого доступа к БД на сервере СУБД в обход штатных интерфейсов бизнес-систем. Ваше мнение и вопросы присылайте по адресу is@groteck.ru