Системы защиты баз данных

Защита баз данных (мониторинг активности) — это комплекс мероприятий для обеспечения безопасности информации, хранимой в базах данных, а также их конфиденциальности и целостности.

Большинство организаций обрабатывают множество информации, включая системную информацию, коммерческую тайну, персональные данные. И вся эта информация хранится в базах данных, что делает их критичным объектом защиты. Любой сбой в работе баз данных может завершиться для компании большими финансовыми потерями и связан с репутационными рисками. Чтобы этого избежать, была разработана технология мониторинга активности баз данных (DAM). Такие решения позволяют производить мониторинг активности баз данных вне зависимости от используемой в компании системы управления базами данных.

К функциям систем мониторинга активности баз данных относятся:

• Мониторинг привилегированных пользователей. Под такими пользователями понимаются системные администраторы, администраторы баз данных, разработчики (как внутренние, так и внешние). Мониторинг привилегированных пользователей позволяет отслеживать все действия сотрудников, которые они выполняют в базе данных, вплоть до выявления нетипичных или аномальных действий. Задача мониторинга пользователей с расширенными привилегиями считается довольно трудоемкой, так как такие сотрудники обладают повышенным потенциалом в случае проведения атак.
• Мониторинг активности программного обеспечения. В случае, когда приложения работают с базами данных, такой мониторинг позволяет выявить сотрудников, которые выполняют несанкционированные действия через эти приложения. Обычно логика работы таких приложений заключается в том, что существует какой-либо сервис, который обращается от своего имени к базе данных по запросу пользователей. Системы мониторинга активности баз данных позволяют связать определенных пользователей с транзакциями, выполняемыми в базе данных.
• Защита от атак. Одним из распространенных методов атак на приложения является SQL-инъекция. В то время как злоумышленник через приложение направляет собственный SQL-код для получения доступа к конфиденциальной информации, системы мониторинга баз данных могут сравнивать эти действия с нормальным поведением при работе с базами данных.

Все эти функции могут выполняться различными способами или в зависимости от архитектуры системы мониторинга активности баз данных:

• На основе перехвата. Такие системы перехватывают потоки данных на различных уровнях (например, на уровне самой базы данных, сети, операционной системы).
• На основе памяти. Такие системы непрерывно анализируют глобальную область системы с помощью легкого датчика, работающего на уровне операционной системы.
• На основе анализа журнала транзакций. Такие системы схожи по своей функциональности с SIEM-системами, которые анализируют данные, полученные от баз данных.

Развитием систем мониторинга активности баз данных являются системы мониторинга и профилактики активности баз данных (DAMP). Системы DAMP также позволяют отклонять любые несанкционированные действия по отношению к базам данных.