Система защиты баз данных Гарда БД стала продуктом класса DBF

Система защиты баз данных Гарда БД стала продуктом класса DBF

Система защиты баз данных Гарда БД стала продуктом класса DBF

В сентябре 2018 года вышла новая версия системы защиты баз данных «Гарда БД» российского вендора ИБ-решений «Гарда Технологии». Обновленный комплекс оснащен сетевым экраном для разграничения и блокировки доступа пользователей к базам данных и веб-приложениям, став решением класса DBF (Data Base Firewall) — сетевым шлюзом безопасности, работающим в режиме in-line и оперативно блокирующим атаки и угрозы.

Решение представляет собой аппаратно-программный комплекс для аудита сетевого доступа к базам данных и веб-приложениям. Система непрерывно контролирует легитимность доступа всех пользователей к базам данных, включая привилегированных, выявляет подозрительную активность, информирует об инцидентах в режиме реального времени. Благодаря динамическому профилированию, система выявляет подозрительную активность в трафике и мгновенно информирует об этом службу безопасности.

Ключевым отличием обновленной версии «Гарда БД» является возможность использования системы в качестве сетевого экрана.

Сетевой экран баз данных, серверов и приложений открывает возможность мониторинга запросов пользователей к базам данных и управления ими, блокируя нежелательные события. «Гарда БД» в виде сетевого экрана построена по принципу L3 Reverse Proxy — типу прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Это открывает наиболее гибкий и быстрый способ интеграции решения, предполагающего установку «в разрыв». Такая архитектура позволяет обеспечить движение пользовательских запросов к базам данных через сетевой экран «Гарда БД» несколькими способами:

  • Изменение настроек клиентского приложения — вместо IP адреса базы данных прописывается IP-адрес комплекса «Гарда БД».
  • Изменение IP-адреса защищаемого сервера БД — текущий адрес базы данных привязывается к комплексу «Гарда БД», а для сервера баз данных выделяется новый IP адрес.
  • Изменение IP-адреса базы данных происходит с помощью средств настройки системы доменных имен (DNS).

В результате становится проще управлять запросами, распределяя их на идущие через сетевой экран «Гарда БД» и на прямые запросы в базы данных. Все остальные настройки происходят непосредственно в интерфейсе «Гарды БД».

Внедрение сетевого экрана позволяет реализовать полноценную систему разграничения прав доступа к базам данных, блокировать подозрительную активность и предотвратить хищение информации.

Блокировка обращений к базам данных осуществляется на основании настроенных политик безопасности и может включать в себя как белые и черные списки учетных записей, поля таблицы, приложения, так и логические объединения данных параметров, включая содержимое ответов.

«Гарда БД» сама уведомит сотрудника информационной безопасности о блокировке действий пользователей с помощью сообщений в интерфейсе системы, по электронной почте или в единой SIEM системе.

Отказоустойчивость системы достигается за счет установки кластерного сетевого экрана. С помощью технологии VRRP – сетевого протокола для увеличения доступности маршрутизаторов, или внешнего балансировщика, появляется возможность замещения узлов пользовательских запросов. То есть в случае выхода из строя одного из узлов, запрос перенаправляется на второй.

Функция сетевого экрана распространяется на все типы баз данных, которые поддерживает система «Гарда БД» — Oracle, MicrosoftSQL, MySQL, PostgreSQL, Teradata, IBM Netezza, Sybase ASE, IBM DB2 и Линтер, Firebird, Interbase, в том числе на инструменты для взаимодействия с кластером Hadoop — Apache Hive и брокер сообщений Appache Kafca.

В результате АПК «Гарда БД» становится не только инструментом для ежедневной работы специалистов службы информационной безопасности, но и позволяет реализовать полноценную систему контроля доступа пользователей к базам данных, обеспечить разграничение прав доступа к базам данных, даже в тех системах, где предполагается работа пользователя от учетных записей с расширенными полномочиями.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru