DAM является аббревиатурой от англоязычного мониторинга активности баз данных . Это классы инструментов и технологий для мониторинга и анализа деятельности в базах данных. Обычно они не полагаются на собственные журналы базы данных, такие как журналы отслеживания или транзакций, но имеют собственный механизм аудита, работающий практически в реальном времени.
Расширением системы DAM является система DAMP (мониторинг и предотвращение активности баз данных), которая, как следует из названия, выходит за рамки мониторинга и оповещения и добавляет возможность блокировать несанкционированные действия.
Основные области применения
1. Мониторинг привилегированных пользователей.
Привилегированные пользователи, такие как администраторы баз данных (DBA), системные администраторы (sysadmin), программисты, служба поддержки и внешние сотрудники, имеющие доступ к корпоративным данным, являются источником угроз как для внешних, так и для внутренних атак в организации. Контроль активности и операций в базе данных таких пользователей позволяет выявлять все недействительные действия и оповещать в случае нарушения политики или фиксированного базового уровня.
Запрещенные действия могут включать, например: просмотр конфиденциальных данных, создание новых учетных записей с высокими разрешениями, добавление или удаление таблиц.
Поэтому мониторинг привилегированных учетных записей может помочь в обнаружении хакерской атаки на данные, поскольку в каждой запланированной атаке существует фаза пересечения и использования учетной записи с высокими привилегиями. Кроме того, аудиторы требуют мониторинга привилегированных учетных записей с точки зрения соответствия рекомендациям и правовым нормам, касающимся безопасности. В основном речь идет об обеспечении конфиденциальности данных и управлении данными, то есть о том, что критически важные для организации ресурсы модифицируются только посредством подготовленных внутренних процедур и под надлежащим надзором.
2. Мониторинг активности приложений.
Основная цель здесь - передать часть ответственности конечному пользователю и обнаружить мошенников и другие злоупотребления, которые совершаются с помощью корпоративных приложений, а не с помощью прямого доступа к базам данных.
Бизнес-приложения обычно строятся из промежуточного уровня между конечным пользователем и базой данных. Это приводит к тому, что личность пользователя маскируется, все соединения и операции с данными выполняются от имени общей учетной записи службы. Система DAM имеет возможность связывать определенные операции с данными с конечным пользователем, что помогает выявлять несанкционированные или подозрительные действия.
3. Защита от кибератак.
Реляционные базы данных в первую очередь подвергаются атаке, называемой SQL-инъекцией. Это тип атаки, который использует плохие методы в коде приложения, который создает запросы SQL. Если конечное приложение не использует подготовленный оператор SQL, а создает его на основе строк объединения, предоставленных другой конечной точкой, злоумышленник может легко заменить свой вредоносный запрос SQL. Благодаря этому можно получить несанкционированный доступ к базе данных, удалить данные или украсть информацию.
DAM может предотвратить такие действия, создав базовый уровень активности на сервере SQL и отслеживая все операции, а также предупреждая, если какой-либо из запросов отклоняется от принятой нормы.
Альтернативный подход включает мониторинг памяти базы данных, которая содержит как каждый вызванный запрос, так и информацию о том, что было изменено в базе данных. Затем вы можете сравнить его с реализованной политикой безопасности.
Функциональные возможности инструментов DAM
Ниже приведены дополнительные функции, которые предлагают лучшие системы DAM:
- обнаружение внутренних и внешних атак с использованием известных бэкдеров SQL
- блокирование и предотвращение атак независимо от операций, выполняемых с данными
- Отображение данных об угрозах в реальном времени
- автоматический запуск резервного копирования
- возможность мониторинга виртуальных и даже облачных сред, где нет четкой топологии сети
- интеграция с системами DLP
- интеграция с системами SIEM
- интеграция со сканерами уязвимостей
Разные подходы к архитектуре
1. Перехват на основе.
Большинство современных систем DAM работают таким образом, что они могут видеть всю связь между клиентом и сервером базы данных. Затем DAM устанавливаются в местах, где они могут просматривать коммуникационный поток и получать необходимую информацию, не влияя на саму структуру базы данных. Сам захват может быть выполнен несколькими способами: из базовой памяти (SGA), в сети (с использованием порта TAP или SPAN), с уровня операционной системы.
Однако самый простой способ - использовать перехват пакетов, но мы не видим здесь локальный трафик и не будем обнаруживать сложные атаки изнутри. Для захвата локального трафика некоторые поставщики используют датчики (агенты), установленные на серверах баз данных, которые предназначены для сбора информации и ее передачи на внешний процессор.
2. На основе памяти.
Подход, включающий подключение к защищенной области хранения базы данных и запрос ее для сбора информации о выполненных операторах SQL. В новейших системах DAM датчик освещенности добавлен в процесс операционной системы, который управляет частными структурами данных.
Это решение удобно для управления всей инфраструктурой, поскольку нет необходимости перенастраивать сеть, открывать порты или беспокоиться об управлении учетными данными. Кроме того, такая система имеет представление обо всех низкоуровневых операциях с SQL - входящий и исходящий трафик, выполняет локальные представления, триггеры или процедуры с данными.
3. На основе журнала.
Некоторые системы DAM извлекают и анализируют информацию из журналов транзакций на серверах SQL. В этих системах используется тот факт, что большая часть необходимых данных записывается и хранится в журналах, и нет необходимости в избыточности. К сожалению, не все инструкции сохраняются в собственных журналах. Например, нет инструкции SELECT.
Системы, работающие таким образом, являются чем-то на границе между DAM и SIEM, потому что они не создают свои собственные данные, а вместо этого загружают и анализируют необходимую информацию из собственных журналов, созданных базой данных.
Под итожим
DAM является крайне необходимой и даже необходимой технологией, когда речь идет о защите конфиденциальных данных от киберпреступников. Подавляющее большинство атак, похищающих записи из баз данных, относятся к взломанным серверам баз данных. Благодаря внедрению DAM, он может предотвратить большинство атак SQL-инъекций или злоупотребление учетными данными.
Помимо введения дополнительного уровня защиты, DAM позволяет сократить объем встроенного аудита базы данных и зачастую повысить производительность самой базы данных.
