Компания DB Networks разработала технологию, которая способна отличить честных пользователей от злоумышленников с крадеными паролями и враждебно настроенных инсайдеров. Это позволяет быстрее реагировать на проникновение в сеть.

Обычная система управления базами данных проверяет лишь наличие должных прав у обращающегося к ней пользователя или приложения. Её не волнует, каким образом были получены эти права, и для чего именно они используются. Технология DB Networks восполняет этот пробел.

Она следит за двумя аспектами каждого обращения к базе данных. Первый аспект называется указателем базы данных. Он состоит из четырёх атрибутов: сервера, базы данных, её схемы и таблицы, к которым обратился пользователь.

Другой аспект — это так называемый контекст обращения. Он объединяет IP-адрес клиента, порт прослушивания сервера базы данных (listener port), название пользователя или приложения, отправившего запрос, и сервис СУБД, к которому он обратился.

datafow

В DB Networks обнаружили, что определённым указателям почти всегда соответствуют одни и те же контексты. Комбинации указателей и контекстов поразительно стабильны, а их число не так уже велико. Появление необычной пары указателя и контекст — серьёзный повод для беспокойства. В большистве случаев оно свидетельствует о том, что запрос отправлен злоумышленником или враждебным инсайдером.

Технология реализована в двух продуктах DB Networks: DBN-6300 и Layer 7 Database Sensor. DBN-6300 представляет собой специальное устройство, которое устанавливается между серверами базы данных и серверами приложений. Layer 7 Database Sensor — это софтовый аналог DBN-6300.

dbnetworks

После установки продукты DB Networks в течение нескольких дней анализируют трафик между серверами баз данных и серверами приложений и запоминают возможные комбинации указателей и контекстов. Затем они переключаются в режим поиска аномалий и бьют тревогу, когда замечают странные пары указателей и контекстов.

5 комментариев

  1. ltex

    20.04.2016 at 15:39

    Да ладно, такие системы давно уже есть. Любая ДБ мониторинг система способна понять и предотвартить атаку, при правильно настроенном полиси. А что если я «одмин» и сижу с дома по ВПН и сразу делаю селект куда мне нужно — как система поймет что я не я? По их логике я должен поработать чуток — чтоб система меня приняла за своего?

    • schoolboy

      20.04.2016 at 19:25

      Если ты «одмин» и два года делаешь селекты куда тебе нужно из дома по vpn, а затем внезапно начинаешь дампить EXP запросами все продакшн базы, то очень интересно увидеть твой policy-based сенсор для таких отклонений.

      • ltex

        21.04.2016 at 09:47

        Я попробую пояснить свою точку зрения :

        а) когда у тебя есть конкретные полиси (статика) которые запрещают «одмину» лазить по таблицам юзеров или по клиентским базам, где лежат платежные данные, либо применяется так называемый «маскинг» конкретных данных, а также с дома просто закрывается любой коннект — это одно. Это как бы уже есть — OWASP конкретно даже прописывает какие политики нужны для таких вот статичных дел.
        б) когда продукт «сам знает кто сидит за компом и способен узнать бла бла тест тьюринга, скайнет» — я крайне скептически настроен в данном промежутке времени к так называемому «behavioral analytics». Т.е. данный продукт может распознать когда сидит «одмин» а когда не одмин. Просто машина на данном этапе развития не способна распознать человека, а тем более — такую категрию людей как «хацкеры» — т.к. его дейтсвия не предсказуемы — наверняка залезть в систему и крошить все подрят — крайне не правильно, все делается постепенно и внедряется.

        Классика(тут было описано кстати на сайте) — залесть в завод хим. веществ, и просто взорвать турбины — менее эффективно ежли на конвеере на одной из остоновок увеличить кол-во вещества и попортить продукт, пока вычислят где поломка. Из описания к продукту — понятно что он «учится» — и все что после этого у него не так как было в обучении = аномалия.

        Выходит как Вы написали, ежли я постоянно дамплю базы с дома по ВПН а потом просто делаю селект — это выходит тоже аномалия?

        • ltex

          21.04.2016 at 09:58

          Я еще хотел бы дополнить, что нельзя забывать что на данный момент — все компьютеры подчиняются законам. Любая программа грубо говоря состоит из «if-else», просто на другом уровне. Эта система — не отрицаю, очень хорошая задумка, но я думаю что пока что нет такого алгоритма который способен перехватить поведение человека, да еще и в real-time. Просто важные assets Вашей сети в ДБ должны быть закрыты даже от ДБА, маской или чем то еще. При взломе, ищут привелегированный доступ, но если и он перекрыт — ничего сделать нельзя. А вот это «ничего нельзя» можно достигнуть статической полиси.

          Я конечно очень поддерживаю данный продукт, но считаю просто что ажиотаж — слишком преждевременен.

          • schoolboy

            22.04.2016 at 02:22

            Отвечу с конца. Ажиотажа не увидел. Обычная новость по пресс-релизу. Вендор представил новый функционал, вроде он даже работает, ну и отлично.
            По поводу «должны быть закрыты» это про управление полномочиями. Тут немного про другое. Случай такой: «статика» настроена правильно, креды валидные, но скомпрометированы. Тогда злодей может делать что угодно в рамках полномочий и его не заметят. Как такое искать?
            Вендор предложил использовать соответствие указателя контексту. Тут я верю, сам видел такие «поведенческие шаблоны» во взаимодействии с БД.
            Вендор предложил настраивать сенсор автоматически на основе «машинного обучения». И тут я согласен. Всяко лучше, чем посадить «безопасников» писать вручную пачки правил для каждой вьюхи. Особенно с учетом динамических изменений конфигураций.
            Теперь насчёт «аномалий». Написано, что они сопоставляют mode, table reference и context, называя это dataflow. Предположу, что если изменится контекст (например вместо сервера приложений запрос придёт из Занзибара) или указатель (вместо «SELECT * FROM customers» придёт «SELECT * FROM dba_users»), то это будет считаться аномалией и система выдаст предупреждение. Что правильно (ИМХО). Мне лучше получить вопрос от коллеги, не я ли делаю дамп базы, чем получить в логах запись, что база сдамплена и отправлена куда не надо. Да и коллегам ИБ проще изредка добавлять активность в список нормальных, чем расследовать инциденты.
            Насчёт «распознать человека», весь матан давно есть и работает (у тех же гуглей). А матан он на то и матан, чтобы не верить а проверить можно было. В данном случае нужно просто анализировать запросы, никакого скайнета.
            Итого: нормальная штука, даже полезная. Пусть будет, чё.

Оставить мнение