Jump to content

Мониторинг активности базы данных

Мониторинг активности базы данных (DAM, также известный как аудит базы данных предприятия и защита в режиме реального времени). [1] ) — это технология безопасности баз данных , предназначенная для мониторинга и анализа активности баз данных. DAM может объединять данные сетевого мониторинга и собственную информацию аудита, чтобы предоставить полную картину активности базы данных. Данные, собранные DAM, используются для анализа и составления отчетов об активности базы данных, поддержки расследований нарушений и оповещения об аномалиях. DAM обычно выполняется непрерывно и в режиме реального времени.

Мониторинг и предотвращение активности базы данных (DAMP) — это расширение DAM, которое выходит за рамки мониторинга и оповещений и также блокирует несанкционированные действия.

DAM помогает предприятиям соблюдать нормативные требования, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), Закон о переносимости и подотчетности медицинского страхования (HIPAA), Закон Сарбейнса-Оксли (SOX), постановления правительства США, такие как NIST 800-53, и правила ЕС.

DAM также является важной технологией защиты конфиденциальных баз данных от внешних атак киберпреступников. Согласно отчету Verizon Business о расследованиях утечек данных за 2009 год, основанному на данных, проанализированных по 90 подтвержденным случаям Verizon Business, включающим 285 миллионов скомпрометированных записей в течение 2008 года, 75 процентов всех взломанных записей поступили со скомпрометированных серверов баз данных.

По данным Gartner , «DAM обеспечивает мониторинг доступа привилегированных пользователей и приложений, который не зависит от встроенных функций ведения журнала базы данных и функций аудита. Он может функционировать в качестве компенсирующего средства контроля за проблемами разделения обязанностей привилегированных пользователей путем мониторинга активности администратора. Эта технология также повышает безопасность базы данных, обнаруживая необычную активность чтения и обновления базы данных на уровне приложений. Агрегация событий базы данных, корреляция и отчетность обеспечивают возможность аудита базы данных без необходимости включать встроенные функции аудита базы данных (которые становятся ресурсоемкими по мере повышения уровня аудита)». [2]

Согласно опросу, проведенному Независимой группой пользователей Oracle (IOUG), «большинство организаций не имеют механизмов, предотвращающих чтение или изменение конфиденциальной информации администраторами баз данных и другими привилегированными пользователями баз данных в финансовых, HR- или других бизнес-приложениях. Большинство из них до сих пор не могут даже обнаружить такие нарушения или инциденты».

Forrester называет эту категорию «аудит баз данных и защита в реальном времени». [1]

Распространенные случаи использования DAM [ править ]

Мониторинг привилегированных пользователей. Мониторинг привилегированных пользователей (или суперпользователей ), таких как администраторы баз данных (DBA), системные администраторы (или системные администраторы) , разработчики, служба поддержки и внешний персонал, которые обычно имеют беспрепятственный доступ к корпоративным базам данных, необходим для защиты от как внешние, так и внутренние угрозы. Мониторинг привилегированных пользователей включает в себя аудит всех действий и транзакций; выявление аномальных действий (например, просмотр конфиденциальных данных или создание новых учетных записей с привилегиями суперпользователя); и согласование наблюдаемых действий (таких как добавление или удаление таблиц) с авторизованными запросами на изменение.

Поскольку большинство организаций уже защищены на уровне периметра, действительно серьезной проблемой является необходимость мониторинга и защиты от привилегированных пользователей. Таким образом, существует высокая корреляция между безопасностью базы данных и необходимостью защиты от внутренних угроз . Это сложная задача, поскольку большинство привилегированных пользователей способны использовать сложные методы для атаки на базу данных — хранимые процедуры, триггеры, представления и запутанный трафик — атаки, которые может быть трудно обнаружить традиционными методами.

Кроме того, поскольку целевые атаки часто приводят к тому, что злоумышленники получают учетные данные привилегированных пользователей, мониторинг привилегированных действий также является эффективным способом выявления скомпрометированных систем.

В результате аудиторы теперь требуют контролировать привилегированных пользователей на предмет передовых методов безопасности, а также широкого спектра правил. Мониторинг привилегированных пользователей помогает обеспечить:

Конфиденциальность данных : только авторизованные приложения и пользователи просматривают конфиденциальные данные.• Управление данными , чтобы критические структуры и значения баз данных не изменялись за пределами корпоративных процедур контроля изменений.

Мониторинг активности приложений. Основная цель мониторинга активности приложений — обеспечить более высокий уровень подотчетности конечных пользователей и обнаружить мошенничество (и другие злоупотребления законным доступом), которое происходит через корпоративные приложения, а не через прямой доступ к базе данных.

Многоуровневые корпоративные приложения, такие как Oracle EBS , PeopleSoft , JD Edwards , SAP , Siebel Systems , Business Intelligence, а также пользовательские приложения, созданные на стандартных серверах среднего уровня, таких как IBM WebSphere и Oracle WebLogic Server, маскируют личность конечных пользователей на уровне Уровень транзакций базы данных. Это делается с помощью механизма оптимизации, известного как «пул соединений». Используя соединения в пуле, приложение объединяет весь пользовательский трафик в несколько соединений с базой данных, которые идентифицируются только по общему имени учетной записи службы. Мониторинг активности приложений позволяет организациям связывать определенные транзакции базы данных с конкретными конечными пользователями приложений, чтобы выявлять несанкционированные или подозрительные действия.

Подотчетность конечных пользователей часто требуется в соответствии с требованиями управления данными , такими как Закон Сарбейнса-Оксли . Новое руководство для аудиторов Совета по надзору за бухгалтерским учетом публичных компаний по соблюдению требований SOX также усилило внимание к контролю против мошенничества.

Защита от кибератак. SQL-инъекция — это тип атаки, используемый для использования плохих методов написания кода в приложениях, использующих реляционные базы данных. Злоумышленник использует приложение для отправки оператора SQL , состоящего из оператора приложения, объединенного с дополнительным оператором, введенным злоумышленником. [3]

Многие разработчики приложений составляют операторы SQL путем объединения строк и не используют подготовленные операторы; в этом случае приложение уязвимо для атаки SQL-инъекцией . Этот метод преобразует оператор SQL приложения из невинного вызова SQL в злонамеренный вызов, который может вызвать несанкционированный доступ, удаление данных или кражу информации. [3]

Одним из способов, с помощью которого DAM может предотвратить внедрение SQL, является мониторинг активности приложения, создание базового уровня «нормального поведения» и выявление атаки, основанной на отличии от обычных структур SQL и нормальных последовательностей. Альтернативные подходы контролируют память базы данных, где видны как план выполнения базы данных, так и контекст операторов SQL, и на основе политики могут обеспечить детальную защиту на уровне объекта.

Основные особенности DAM [ править ]

По определению Gartner, «инструменты DAM используют несколько механизмов сбора данных (например, серверное агентское программное обеспечение и встроенные или внеполосные сетевые сборщики), агрегируют данные в центральном месте для анализа и составляют отчеты на основе поведения». которые нарушают политики безопасности и/или подписи или указывают на поведенческие аномалии. Спрос на DAM обусловлен в первую очередь необходимостью мониторинга привилегированных пользователей для рассмотрения результатов аудита, связанного с соблюдением требований, а также требованиями управления угрозами для мониторинга доступа к базе данных. Требования к корпоративной DAM начинают расширяться, выходя за рамки базовых функций, таких как способность обнаруживать вредоносную активность или неправомерный или несанкционированный доступ администратора базы данных (DBA)». [4]

Более продвинутые функции DAM включают в себя:

  • Возможность отслеживать атаки внутри базы данных и лазейки в режиме реального времени (например, хранимые процедуры, триггеры, представления и т. д.).
  • Решение, которое не зависит от большинства переменных ИТ-инфраструктуры , таких как шифрование или топология сети.
  • Блокировка и предотвращение без привязки к транзакциям
  • Активное обнаружение данных, подверженных риску
  • Улучшена видимость трафика приложений.
  • Возможность предлагать мониторинг активности базы данных в виртуализированных средах или даже в облаке, где нет четко определенной или согласованной топологии сети.

Некоторые предприятия также ищут другие функции, в том числе:

  • Аудит конфигурации для соответствия аудитам, требуемым Законом Сарбейнса-Оксли США.
  • Возможности DLP, которые решают проблемы безопасности, а также требования идентификации и защиты данных индустрии платежных карт (PCI) и других нормативных рамок, ориентированных на данные.
  • Отчеты о подтверждении прав пользователей базы данных, необходимые в соответствии с широким спектром нормативных актов.
  • Возможность предлагать мониторинг активности базы данных в виртуализированных средах или даже в облаке, где нет четко определенной или согласованной топологии сети.
  • Улучшенная интеграция с продуктами сканирования уязвимостей.

DAM Общие архитектуры

На основе перехвата: большинство современных систем DAM собирают сведения о том, что делает база данных, имея возможность «видеть» обмен данными между клиентом базы данных и сервером базы данных. Что делают системы DAM, так это находят места, где они могут просматривать поток связи и получать запросы и ответы, не требуя участия базы данных. Прокси-сервер безопасности базы данных — это неинтрузивный метод для DAM. Сам перехват также может осуществляться в нескольких точках, таких как память базы данных (например, SGA), в сети (с использованием сетевого TAP или порта SPAN, если связь не зашифрована), на уровне операционной системы или на уровне уровень библиотек базы данных. [3]

Если имеется незашифрованный сетевой трафик, перехват пакетов можно использовать . Преимущество заключается в том, что на хосте не выполняется никакая обработка, однако основным недостатком является то, что как локальный трафик, так и сложные атаки внутри базы данных не будут обнаружены. Для захвата локального доступа некоторые сетевые поставщики используют зонд, работающий на хосте. Этот зонд перехватывает весь локальный доступ, а также может перехватывать весь сетевой доступ, если вы не хотите использовать сетевое оборудование или если связь с базой данных зашифрована. Однако, поскольку агент не выполняет всю обработку — вместо этого он передает данные на устройство DAM, где происходит вся обработка — это может повлиять на производительность сети со всем локальным трафиком, а завершение сеанса в реальном времени может быть слишком медленным, чтобы его можно было прервать. несанкционированные запросы.

На основе памяти: некоторые системы DAM имеют легкий датчик, который подключается к защищенным базам данных и постоянно опрашивает глобальную область системы (SGA) для сбора операторов SQL по мере их выполнения. Подобная архитектура ранее использовалась продуктами оптимизации производительности, которые также использовали SGA и другие общие структуры данных. [3]

В последних версиях этой технологии на хосте работает легкий датчик, который подключается к процессу на уровне ОС для проверки частных структур данных. Преимущества такого подхода значительны:

  • Полный охват всех транзакций базы данных — датчик охватывает трафик, поступающий из сети, с хоста, а также из бэкдоров (хранимые процедуры, триггеры, представления).
  • Решение, которое не зависит от большинства переменных ИТ-инфраструктуры: нет необходимости перепроектировать сеть, открывать порты или беспокоиться об управлении ключами, если сеть зашифрована; эту модель также можно использовать для защиты баз данных, развернутых в виртуализированных средах. или в облаке

На основе журналов: некоторые системы DAM анализируют и извлекают информацию из журналов транзакций (например, журналов повторного выполнения). Эти системы используют тот факт, что большая часть данных хранится в журналах повторного выполнения , и очищают эти журналы. К сожалению, не вся необходимая информация содержится в журналах повторного выполнения. Например, операторы SELECT не являются таковыми, поэтому эти системы будут дополнять данные, которые они собирают из журналов повторного выполнения, данными, которые они собирают из собственных журналов аудита, как показано на рисунке 3. Эти системы представляют собой гибрид настоящей системы DAM (которая полностью независим от СУБД ) и SIEM , который опирается на данные, генерируемые базой данных. Эти архитектуры обычно подразумевают большую нагрузку на сервер базы данных. [3]

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б «Волна Forrester: аудит корпоративных баз данных и защита в реальном времени, четвертый квартал 2007 г., октябрь 2007 г., Джонатан Пенн, Кэти Смилли, Forrester Research» . Архивировано из оригинала 28 июня 2019 г. Проверено 10 декабря 2009 г.
  2. ^ Обнаружение закономерностей с помощью технологий мониторинга безопасности и обнаружения мошенничества, Марк Николетт, Авива Литан, Пол Э. Проктор, 2 сентября 2009 г., Gartner Inc. [ мертвая ссылка ]
  3. Перейти обратно: Перейти обратно: а б с д и HOWTO по обеспечению безопасности и аудиту Oracle 10g и 11g, Рон Бен Натан, доктор философии, CRC Press, 2009 г.
  4. ^ Обзор рынка мониторинга активности баз данных, Джеффри Уитман, Марк Николетт, 3 февраля 2009 г., Gartner Inc.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Database_activity_monitoring&oldid=1195947560"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: b0144116be06dc104078c71073939b02__1705345440
URL1:https://arc.ask3.ru/arc/aa/b0/02/b0144116be06dc104078c71073939b02.html
Заголовок, (Title) документа по адресу, URL1:
Database activity monitoring - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)