Безопасность СУБД и бизнес-приложений

Артем Медведев
Руководитель направления безопасности БД и SOC компании "Инфосистемы Джет"

Системы электронного документооборота, хранилища персональных данных, данные о кредитных картах клиентов представляют постоянно растущую коммерческую ценность, став основной целью для злоумышленников. Повсеместное внедрение Web-приложений, появление новых сервисов, лавинообразное расширение ИТ-инфраструктуры организаций привело к невозможности контролировать обычными средствами информационные потоки, действия пользователей с данными бизнес-приложений. В ответ на эти тенденции появились специализированные системы для обеспечения безопасности таких сложных, многозвенных, территориально распределенных систем.

Базы данных - главная цель злоумышленников

За последние годы широкую огласку получил ряд случаев кражи информации, связанных с утечкой данных из БД и махинациями с данными, хранящимися в БД крупных организаций, которые как привели к финансовым потерям, так и оказали влияние на репутацию компаний.

Так, широкое освещение в прессе получил ряд инцидентов, связанных с утечкой баз данных, содержащих персональную информацию клиентов крупных компаний. В 2003 г. СМИ сообщили об утечках информации из базы данных абонентов ОАО "Мобильные ТелеСистемы", в 2004 г. - об атаке, которой подверглась база данных ЦБ РФ о банковских операциях за 2003-2004 гг., а в 2007 г. о том, что украдена база данных абонентов "Корбина Телеком". Скорее всего, все эти кражи были осуществлены легальными пользователями с применением брешей в информационной безопасности внутри организации, в частности уязвимостей СУБД.

Требования регуляторов

Все эти предпосылки вылились в усовершенствование и пересмотр требований как к обеспечению ИБ внутри организаций, так и к ужесточению требований регуляторов к обеспечению защиты информации. Большинство требований регуляторов к обеспечению защиты критичных данных (PCI DSS, HIPAA, SOX, ФЗ-152 "О защите персональных данных" и др.) говорят о необходимости обеспечения непрерывного контроля доступа к данным, выявления уязвимостей инфраструктуры и защиты при передаче информации. Большое внимание уделяется контролю привилегированных пользователей, как основного источника угроз утечек информации, а также контролю доступов к информации пользователей бизнес-приложений таких вендоров, как Oracle, PeopleSoft, SAP, и приложений собственной разработки.

Мониторинг средствами СУБД и приложений

Функционал мониторинга активности в базах данных попытались реализовать все основные производители СУБД и бизнес-приложений, но преимущества встроенных средств контроля порождают и их недостатки. Средства СУБД недостаточно гибки для определения различий между пользователем и злоумышленником. Использование "родных" средств журналирования приводит к многократному увеличению нагрузки на серверы, падает производительность приложений и качество предоставляемых сервисов.

Наиболее часто оптимизация производительности  приложений осуществляется применением метода "connection pooling", при котором используется единая учетная запись для доступа к базе данных. Данный метод скрывает имена конечных пользователей приложений, осуществляющих доступ к БД, то есть становится невозможной идентификация конечного пользователя приложения, запросившего информацию. Пользователь СУБД для пула соединений будет один - AppUser.

Данный метод организации доступа пользователей бизнес-приложений к информации, хранящейся в корпоративных базах данных, дает ряд преимуществ, таких как повышение производительности работы приложения, снижение нагрузки на СУБД и т.п., но в то же время снижает уровень ИБ приложения, так как становится невозможно контролировать действия конечных пользователей.

Таким образом, смещая баланс в сторону повышения уровня ИБ, приходится жертвовать качеством сервисов, и наоборот.

Оптимальным выходом видится использование специализированных решений, которые бы взяли на себя функционал по контролю за информационными потоками и при этом не сказывались бы на производительности информационных систем.

Осознание проблемы обеспечения защиты информации в ядре хранения данных, в базах данных, а также необходимость устранения угроз, исходящих изнутри организации, привели к появлению решений класса DAM (Database Activity Monitoring) для контроля всех активностей на серверах управления базами данных, WAF (Web Application Firewall) для обеспечения контроля доступов к базам данных пользователей бизнес-приложений, а также для популяризации решений класса DLP (Data Leak Prevention) для контроля информационных потоков, выходящих за периметр информационной среды организации.

Межсетевые экраны Web-приложений

Для обеспечения безопасности работы приложений разрабатываются решения класса "Межсетевые экраны Web-приложений" (WAF). Чаще всего решения этого класса представляют собой программно-аппаратные комплексы, которые применяют наборы правил и политик безопасности к наблюдаемому HTTP-трафику, идущему от приложений к базе данных и в обратном направлении. Эти решения позволяют контролировать такие известные типы атак, как Cross-site Scripting (XSS) или SQL-инъекции. Настраивая правила под бизнес-приложения, можно обнаруживать и блокировать множество атак. Однако объем работ для выполнения этой настройки может быть существенен, кроме того, эта работа должна выполняться при изменении приложений.

Определенное влияние на появление решений этого класса оказал стандарт PCI DSS, требующий защиты информации о кредитных картах в публичных Web-приложениях, по крайней мере, одним из двух методов:

• анализом кода Web-приложения: вручную, сканированием исходных кодов или оценкой уязвимости;
• установкой точки применения политики безопасности.

Решения класса WAF часто называют Deep Packet Inspection Firewalls (МСЭ с глубоким анализом пакетов), так как они анализируют каждый запрос и ответ на уровнях HTTP/ HTTPS/SOAP/XML-RPC/ Web-служб. При этом сами данные в БД остаются незащищенными, их использование не отслеживается (фактически инспектируется только часть сетевых запросов к БД, идущих от сервера приложений). Как и обычные МСЭ защиты периметра, WAF необходимы, но далеко не всегда достаточны.

Мониторинг и аудит СУБД

Многоуровневая архитектура корпоративных приложений постоянно меняется, необходимо контролировать пользователей приложений в соответствии с их текущими ролями, а особенное внимание уделять контролю привилегированных пользователей.  Помимо пользователей приложений, необходимо контролировать пользователей баз данных, осуществляя мониторинг как доступа на уровне приложений, так и прямого доступа на уровне СУБД. Обеспечение прозрачности всех активностей - ключевой момент в предотвращении мошеннических действий. Решения класса DAM помогают осуществлять контроль всех сессий СУБД (входы, SQL-код, выходы и т.п.), всех исключений СУБД (ошибки, неудачные попытки авторизации), блокирование нежелательных сессий, производить оповещение о различных событиях ИБ. Помимо мониторинга активности в базах данных, решения класса DAM позволяют управлять изменениями объектов СУБД и окружения, управлять уязвимостями СУБД. Предотвращение утечки данных из БД реализуется путем проверки извлекаемой информации, обнаружением аномалий в функционировании, автоматического обнаружения и классификации критичных данных.

Для предотвращения неавторизованных или подозрительных действий со стороны пользователей используются политики безопасности, позволяющие ограничивать доступ к базам данных или конкретным таблицам на основе различных параметров:

• учетные записи пользователей;
• IP-адреса;
• MAC-адреса;
• сетевые протоколы;
• типы SQL-команд;
• бизнес-приложения;
• время суток и др.

Решения класса DAM контролируют все активности в базах данных предприятия, предоставляя детализированную отчетность для дальнейшего расследования событий ИБ, автоматизируя процесс аудита на соответствие требованиям регуляторов и предотвращая утечки информации. Такие отчеты могут содержать различную информацию, такую как:

• все возможные исключения, например ошибки SQL или неудачные попытки аутентификации;
• административные команды, например изменяющие структуры баз данных - DDL (create, drop, alter);
• запросы на выборку данных (select);
• команды, управляющие учетными записями, их ролями и правами доступа, например DML (grant, revoke);
• другие команды, связанные со спецификой СУБД.

Таким образом, при применении решений класса DAM реализуется прозрачность работы СУБД, фиксируются все действия всех пользователей - администраторов, разработчиков, внешних аудиторов, пользователей приложений. При этом отсутствует влияние на производительность систем и реализуется один из главнейших постулатов обеспечения ИБ - разделение полномочий. Администраторы БД теперь не останутся незамеченными, разработчики не смогут совершать преднамеренные или непреднамеренные изменения в структуре баз данных, которые могут повлечь утечку информации или крах БД.

Однако существуют и недостатки у решений такого класса. Один из основных заключается в том, что использование данных после извлечения из БД не отслеживается.

Для этой задачи обеспечения ИБ существует множество решений класса DLP (Data Leak Prevention).

Комплексный подход залог успеха

В заключение хотелось бы отметить, что рекомендации по использованию тех или иных средств защиты критичной информации, обеспечения безопасности СУБД и бизнес-приложений должны применяться только при понимании, что обеспечение ИБ подразумевает как технические средства, так и построение процессов управления информационной безопасностью (процесс мониторинга, управления инцидентами ИБ, уязвимостями, изменениями и контроля соответствия стандартам безопасности), разработку регламентов и инструкций, а также применение в организации разграничения ответственности между сотрудниками. Технические решения - это всего лишь средства автоматизации управления ИБ на предприятии.