WikiDer > Мониторинг активности базы данных

Database activity monitoring

Мониторинг активности базы данных (ДАМ, он же Аудит корпоративной базы данных и Защита в режиме реального времени[1]) это безопасность базы данных технология для мониторинга и анализа активности баз данных. DAM может комбинировать данные сетевого мониторинга и информацию внутреннего аудита, чтобы предоставить полную картину активности базы данных. Данные, собранные DAM, используются для анализа и составления отчетов об активности базы данных, поддержки расследований нарушений и предупреждения об аномалиях. DAM обычно выполняется непрерывно и в реальном времени.

Мониторинг и предотвращение активности баз данных (DAMP) - это расширение DAM, которое выходит за рамки мониторинга и предупреждений, а также блокирует несанкционированные действия.

DAM помогает предприятиям решать соответствие нормативным требованиям мандаты, подобные Стандарт безопасности данных индустрии платежных карт (PCI DSS), Медицинское страхование Портативность и Акт об ответственности (HIPAA), Закон Сарбейнса-Оксли (SOX), постановлениями правительства США, например NIST 800-53, и постановлениями ЕС.

DAM также является важной технологией для защиты конфиденциальных баз данных от внешних атак киберпреступников. Согласно отчету о расследованиях утечек данных Verizon Business за 2009 год, основанному на данных, проанализированных Verizon Business, о 90 подтвержденных нарушениях, связанных с 285 миллионами скомпрометированных записей в 2008 году, 75% всех взломанных записей поступили с взломанных серверов баз данных.

В соответствии с Gartner, «DAM обеспечивает мониторинг доступа привилегированных пользователей и приложений, который не зависит от встроенных функций ведения журнала и аудита базы данных. Он может действовать как компенсирующий элемент управления для проблем разделения обязанностей привилегированных пользователей путем мониторинга активности администратора. Эта технология также улучшает безопасность базы данных, обнаруживая необычные операции чтения и обновления базы данных на уровне приложения. Агрегирование событий базы данных, корреляция и составление отчетов обеспечивают возможность аудита базы данных без необходимости включения собственных функций аудита базы данных (которые становятся ресурсоемкими по мере повышения уровня аудита) ».[2]

Согласно опросу, проведенному независимой группой пользователей Oracle (IOUG), «в большинстве организаций нет механизмов, которые не позволяли бы администраторам баз данных и другим привилегированным пользователям баз данных читать или изменять конфиденциальную информацию в финансовых, кадровых или других бизнес-приложениях. Большинство из них до сих пор не могут даже обнаружить такие нарушения или инциденты ».

Форрестер называет эту категорию «аудит базы данных и защита в реальном времени».[1]

Общие варианты использования DAM

Мониторинг привилегированных пользователей: Мониторинг привилегированных пользователей (или суперпользователи), Такие как администраторы баз данных (Администраторы баз данных), системные администраторы (или системные администраторы), Разработчики, служба поддержки, а внешний персонал - который обычно имеет неограниченный доступ к корпоративным базам данных - необходим для защиты как от внешних, так и от внутренних угроз. Мониторинг привилегированных пользователей включает аудит всех действий и транзакций; выявление аномальных действий (таких как просмотр конфиденциальных данных или создание новых учетных записей с привилегиями суперпользователя); и согласование наблюдаемых действий (таких как добавление или удаление таблиц) с санкционированными запросами на изменение.

Поскольку большинство организаций уже защищены на уровне периметра, действительно серьезную проблему представляет необходимость мониторинга и защиты от привилегированных пользователей. Следовательно, существует высокая корреляция между Безопасность базы данных и необходимость защиты от инсайдерская угроза. Это сложная задача, поскольку большинство привилегированных пользователей могут использовать сложные методы для атаки на базу данных - хранимые процедуры, триггеры, представления и скрытый трафик - атаки, которые может быть трудно обнаружить с помощью традиционных методов.

Кроме того, поскольку целевые атаки часто приводят к получению злоумышленниками учетных данных привилегированных пользователей, мониторинг привилегированных действий также является эффективным способом выявления скомпрометированных систем.

В результате аудиторы теперь требуют наблюдения за привилегированными пользователями на предмет передовых методов безопасности, а также широкого спектра нормативных требований. Мониторинг привилегированных пользователей помогает обеспечить:

Конфиденциальность данных, чтобы конфиденциальные данные просматривали только авторизованные приложения и пользователи.
Управление данными, так что критически важные структуры и значения базы данных не изменяются за пределами корпоративных процедур контроля изменений.

Мониторинг активности приложений: Основная цель мониторинга активности приложений - повысить уровень ответственности конечных пользователей и выявить мошенничество (и другие злоупотребления законным доступом), которые происходят через корпоративные приложения, а не через прямой доступ к базе данных.

Многоуровневые корпоративные приложения, такие как Oracle EBS, PeopleSoft, Джей Ди Эдвардс, SAP, Siebel Systems, Business Intelligence и настраиваемые приложения, созданные на стандартных серверах среднего уровня, таких как IBM WebSphere и Oracle WebLogic Server маскировать личность конечных пользователей на уровне транзакции базы данных. Это делается с помощью механизма оптимизации, известного как «пул соединений». Используя объединенные соединения, приложение объединяет весь пользовательский трафик в пределах нескольких соединений с базой данных, которые идентифицируются только общим именем учетной записи службы. Мониторинг активности приложений позволяет организациям связывать определенные транзакции базы данных с конкретными конечными пользователями приложений, чтобы выявлять несанкционированные или подозрительные действия.

Подотчетность конечного пользователя часто требуется для управление данными требования, такие как Закон Сарбейнса – Оксли. Новое руководство аудитора от Совет по надзору за бухгалтерским учетом публичных компаний за SOX Соблюдение нормативных требований также усилило меры по борьбе с мошенничеством.

Защита от кибератак: SQL-инъекция это тип атаки, используемый для использования неправильных методов программирования в приложениях, использующих реляционные базы данных. Злоумышленник использует приложение для отправки SQL оператор, состоящий из оператора приложения, объединенного с дополнительным оператором, вводимым злоумышленником.[3]

Многие разработчики приложений составляют SQL операторы путем объединения строк и не используют подготовленные операторы; в этом случае приложение подвержено SQL-инъекция атака. Этот метод преобразует оператор SQL приложения из невинного вызова SQL во злонамеренный вызов, который может вызвать несанкционированный доступ, удаление данных или кражу информации.[3]

Один из способов, которым DAM может предотвратить SQL-инъекция заключается в мониторинге активности приложения, создании базовых показателей «нормального поведения» и выявлении атаки на основе отклонения от нормального SQL структуры и нормальные последовательности. Альтернативные подходы контролируют память базы данных, где видны как план выполнения базы данных, так и контекст операторов SQL, и на основе политики могут обеспечивать детальную защиту на уровне объекта.

Основные особенности DAM

По определению Gartner, «инструменты DAM используют несколько механизмов сбора данных (например, серверное программное обеспечение агента и встроенные или внеполосные сетевые сборщики), собирают данные в центральном месте для анализа и создают отчеты на основе поведения. которые нарушают политики безопасности и / или подписи или указывают на аномалии поведения. Спрос на DAM в первую очередь обусловлен необходимостью мониторинга со стороны привилегированных пользователей для проверки результатов аудита, связанных с соблюдением требований, и требованиями к управлению угрозами для мониторинга доступа к базе данных. Требования Enterprise DAM начинают расширяться, выходя за рамки основных функций, таких как способность обнаруживать вредоносную активность или несоответствующий или несанкционированный доступ администратора базы данных (DBA) ». [4]

Более продвинутые функции DAM включают:

  • Возможность отслеживать атаки внутри базы данных и лазейки в реальном времени (например, хранимые процедуры, триггеры, представления и т. Д.)
  • Решение, которое не зависит от большинства ИТ-инфраструктура переменные - такие как шифрование или топология сети
  • Блокировка и предотвращение без привязки к транзакциям
  • Активное обнаружение данных о рисках
  • Улучшенная видимость трафика приложений
  • Возможность предлагать мониторинг активности базы данных в виртуализированных средах или даже в облаке, где нет четко определенной или согласованной топологии сети.[5]


Некоторые предприятия также ищут другие функции, в том числе:

  • Аудит конфигурации на соответствие аудитам, требуемым Законом США Сарбейнса-Оксли
  • Возможности DLP, которые решают проблемы безопасности, а также требования к идентификации и защите данных индустрии платежных карт (PCI) и других нормативных основ, ориентированных на данные.
  • Отчетность об аттестации прав пользователей базы данных, требуемая широким спектром нормативных требований
  • Возможность предлагать мониторинг активности базы данных в виртуализированных средах или даже в облаке, где нет четко определенной или согласованной топологии сети.
  • Лучшая интеграция с продуктами для сканирования уязвимостей

Общие архитектуры DAM

На основе перехвата: Большинство современных систем DAM собирают информацию о том, что делает база данных, имея возможность «видеть» связь между клиентом базы данных и сервером базы данных. Что делают системы DAM, так это находят места, где они могут просматривать поток связи и получать запросы и ответы, не требуя участия из базы данных. Сам перехват может выполняться в нескольких точках, таких как память базы данных (например, SGA), в сети (с использованием сетевой TAP или порт SPAN, если соединение не зашифровано), на Операционная система уровень, или на уровне библиотек базы данных.[3]

Если есть незашифрованный сетевой трафик, то анализ пакетов может быть использован. Преимущество состоит в том, что на хосте не выполняется никакой обработки, однако главный недостаток заключается в том, что не будут обнаружены ни локальный трафик, ни сложные атаки внутри базы данных. Для захвата локального доступа некоторые сетевые поставщики развертывают зонд, который запускается на хосте. Этот зонд перехватывает весь локальный доступ, а также может перехватить весь сетевой доступ в случае, если вы не хотите использовать сетевое оборудование или если обмен данными с базой данных зашифрован. Однако, поскольку агент не выполняет всю обработку - вместо этого он передает данные устройству DAM, где происходит вся обработка, - это может повлиять на производительность сети со всем локальным трафиком, а завершение сеанса в реальном времени может быть слишком медленным, чтобы его прервать. несанкционированные запросы.

На основе памяти: Некоторые системы DAM имеют легкий датчик, который подключается к защищенным базам данных и непрерывно опрашивает системная глобальная область (SGA) собрать SQL заявления по мере их выполнения. Подобная архитектура ранее использовалась продуктами оптимизации производительности, которые также использовали SGA и другие общие структуры данных.[3]

В последних версиях этой технологии легкий датчик работает на хосте и присоединяется к процессу на Операционные системы уровень для проверки частных структур данных. Преимущества такого подхода значительны:

  • Полный охват всех транзакций базы данных - датчик отслеживает трафик, поступающий из сети, от хоста, а также от бэкдордов (хранимые процедуры, триггеры, представления)
  • Решение, которое не зависит от большинства переменных ИТ-инфраструктуры - нет необходимости перестраивать сеть, открывать порты или беспокоиться об управлении ключами, если сеть зашифрована, и эту модель также можно использовать для защиты баз данных, развернутых в виртуализированных средах. или в облаке

На основе журнала: Некоторые системы DAM анализируют и извлекают информацию из журналы транзакций (например, журналы повторного выполнения). Эти системы используют тот факт, что большая часть данных хранится в журналы повтора и они очищают эти журналы. К сожалению, не вся необходимая информация содержится в журналах повторного выполнения. Например, Операторы SELECT не являются, и поэтому эти системы будут дополнять данные, которые они собирают из журналов повторного выполнения, данными, которые они собирают из собственных журналов аудита, как показано на рисунке 3. Эти системы представляют собой гибрид настоящей системы DAM (которая полностью независима от СУБД) и SIEM который полагается на данные, генерируемые базой данных. Эти архитектуры обычно подразумевают больше накладных расходов на сервер базы данных.[3]

Рекомендации

[1]