8 (800) 302-85-23

21.06.2023

Утечки баз данных

Утечки баз данных

Вебинар

06 августа | 10:00 МСК

Solar appScreener. Обучение для инженеров

Зарегистрироваться

Получить консультацию по Solar Dozor

Систематизированное и структурированное хранение информации – одно из важных условий продуктивной работы современного бизнеса. От использования бумажных журналов и таблиц в Excel компании перешли к специальным базам данных (БД). Однако насколько такие хранилища полезны для организаций, настолько же они привлекательны для злоумышленников, желающих получить доступ к конфиденциальным сведениям, которые в них хранятся. В этой статье обсудим потенциальные угрозы данным в БД и инструменты их защиты. 

что такое база данных

Что такое база данных

База данных – это упорядоченный набор информации или данных, которые структурированно хранятся и обрабатываются в электронном виде. Этими данными можно легко управлять, изменять их, обновлять, контролировать и упорядочивать. Управление данными в базах происходит с помощью СУБД – системы управления базами данных. База данных может содержать сведения любого формата: файлы, фото и видео, контакты, отчеты и т. д.

Безусловно, всю информацию можно хранить в электронных таблицах, однако с ростом зрелости бизнеса и увеличением объема данных (что рано или поздно происходит с любой компанией) становится намного удобнее и выгоднее использовать базы данных. И вот основные причины почему:

  • Возможность удаленного доступа, сильно упрощающая командную работу с информацией.
  • Эффективное масштабирование без влияния на скорость работы с данными. Базы могут хранить огромное количество информации, поэтому незаменимы для крупных организаций.
  • Интеграция данных, то есть возможность их объединения из нескольких источников для централизованного представления пользователям. 
  • Хранение информации по категориям. Это очень удобно, если в базе много разноплановых сведений.
  • Высокая скорость работы баз данных. Например, обычные онлайн-таблицы могут медленно загружаться из-за нестабильного интернета. А специальные хранилища проектируются так, чтобы в любом случае давать пользователю быстрый отклик. 

Еще одна полезная функция баз данных – возможность наделить пользователей определенными ролями, в соответствии с которыми они могут работать с информацией. Например, определенным пользователям будет разрешено только чтение без возможности вносить изменения, более привилегированным – любые действия с файлами. 

Виды баз данных

Чтобы снизить вероятность утечек сведений из баз данных, нужно выбрать надежное хранилище. В первую очередь следует опираться на тип и объем информации, которая будет там фигурировать. Второй важный критерий – тип запросов при обращении. Третий – производительность. 

Выделяют следующие виды баз данных:

  • Иерархические – самый простой вид баз данных, в котором каждая запись исходит от «родителя», то есть связана с предыдущей записью.

  • Сетевые – в отличие от иерархической базы данных представляют собой общий граф, и у каждой записи может быть более одного родительского объекта.

  • Объектно-ориентированные – записи представлены в виде объектов с уникальными идентификаторами. Каждый объект в такой базе имеет свои свойства, что и определяет методы работы с ним. Для совершения необходимых действий с этим объектом достаточно вызвать его по коду или имени.

  • Реляционные (SQL) – базы со строгой структурой и построчным хранением данных. Преимущества: высокая производительность и возможность часто вносить изменения. Минус: выдача ограниченного количества записей за один запрос.  

  • Базы NoSQL (нереляционные) – бывают трех типов: key-value («ключ-знание»), графовые и колоночные. Первые хранят данные в виде хеш-таблиц с присваиванием записям ключей. Если вы хотите получить какое-то значение, нужно ввести его ключ. Например, чтобы узнать размер скидки конкретного покупателя, нужно ввести ключ «Скидка». В графовых базах данных сведения фигурируют в виде ребер, узлов, свойств и связей. Например, вся информация о конкретном сотруднике хранится в узле, а ребра показывают его взаимосвязи с другими сотрудниками организации. Все сведения о сотруднике из такой базы данных можно получить за один запрос. Колоночные базы данных хранят информацию в виде таблиц. Структура таблиц строго не регламентирована, они могут объединяться в семейства колонок по определенным свойствам.

Особенностью нереляционных баз данных является то, что они способны обрабатывать слабоструктурированные или неструктурированные данные. Сегодня они становятся все более популярны.

  • NewSQL – этот тип объединяет в себе свойства реляционных баз данных, поддержку SQL-запросов и горизонтальную масштабируемость NoSQL баз данных. Благодаря такой «гибридности» NewSQL базы обладают более высокой производительностью.

Самые распространенные базы данных – реляционные. Их вполне достаточно, если деятельность организации не предусматривает специфических сценариев взаимодействия с данными. 

базы данных для систематизированного хранения информации

Риски утечек баз данных

Злоумышленники активно эксплуатируют уязвимости информационных баз, поэтому в целях защиты необходимо понимать природу возможных угроз. Ниже приведены самые распространенные их них:

  • Нелегитимный доступ к базам данных. Такие инциденты часто происходят, если компания не блокирует неактивные учетные записи («мертвые») или пренебрегает изменением базовых настроек безопасности. Не нужно забывать и о рисках злоупотребления легитимными привилегиями доступа. Сотрудники компании могут использовать свои учетные записи с целью изменить, удалить или скопировать данные из базы. 
  • Инъекционные атаки типа SQL или NoSQL. Они эффективны в отношении серверов, использующих соответствующий язык программирования. Атаки такого типа направлены на передачу команд в ядро хранилища с целью инициировать утечки баз данных. 
  • Перехват данных в момент их движения. Чаще всего такие угрозы реализуются с помощью программ-шпионов или снифферов, которые могут маскироваться под устройства, подключенные к корпоративным сетям. 

В арсенале злоумышленников множество специальных средств и схем, позволяющих совершать и нетипичные атаки. Тем более что сотрудники организаций часто сами оставляют преступникам лазейки для проникновения в информационные базы. Например, забывают должным образом настроить программное обеспечение после обновления компонентов.

В чем опасность утечки баз данных

Утечка конфиденциальной информации из баз данных грозит компании серьезными последствиями. Ниже представлен перечень сведений, которые злоумышленники могут украсть, и к чему это может привести:

  • Персональные данные сотрудников организации, ее клиентов, партнеров и поставщиков. Последствий такой утечки может быть много – от вмешательства в частную жизнь фигурантов до шантажа, оборотных штрафов и репутационных потерь.
  • Корпоративные документы, идеи, разработки. Если эти данные окажутся в руках конкурентов, организацию ждет упущенная выгода и другие финансовые потери.

Главная опасность состоит в том, что утечки не всегда быстро обнаруживаются. По этой причине службе безопасности компании не удается вовремя оценить масштаб катастрофы и принять меры. 

Ответственность за утечку базы данных

Административная ответственность за утечку персональных данных регулируется статьей 13.11 КоАП РФ в редакции от 7 февраля 2017 года. Потеря контроля над информацией грозит компании крупным штрафом. К тому же сотрудники, клиенты или партнеры, чьи данные фигурировали в базе, могут подать на организацию коллективный иск. 

Глобальность последствий зависит от объема и характера данных, которые утекли. Если потеряно небольшое количество информации, компании, скорее всего, удастся избежать серьезных санкций. 

Методы защиты базы данных от утечки

Условно способы защиты можно разделить на основные и дополнительные. Первые направлены на профилактику, оперативное обнаружение и устранение угроз. Дополнительные меры связаны с организационными мероприятиями по вопросам обеспечения конфиденциальности информации.

методы защиты от утечки баз данных

К основным способам обеспечения безопасности баз данных относятся:

  • Парольная защита, подразумевающая вход в базу только после введения индивидуального ключа. Самый простой способ, о котором никогда не стоит забывать, так же как и о регулярной смене пароля.
  • Шифрование всех записей, включенных в базу данных. Это технология кодирования, которая делает информацию нечитаемой для посторонних. Чтобы получить сведения в надлежащем виде, необходимо войти со специальным ключом (паролем). 
  • Разграничение прав доступа к базам данных. В зависимости от ролей и набора полномочий сотрудникам выдают максимальный (полный) или ограниченный доступ. Кто-то сможет только просматривать данные или вносить незначительные изменения, кто-то – добавлять и удалять информацию, менять структуру записей.
  • Резервное копирование информации из баз данных (бэкап). Например, настройка переноса сведений на независимый носитель или жесткий диск. Это позволит восстановить данные, если они будут удалены или изменены в результате кибератаки.
  • Маскировка полей таблиц. Такая мера защиты базы данных от утечки подразумевает ограничение просмотра некоторых структурных элементов. Например, пользователи с избирательным доступом не будут видеть отдельные поля с особо важной информацией.
  • Установка программных и аппаратных средств защиты, которые затруднят злоумышленникам доступ к информации. Например, DAM (Database Activity Monitoring), Database Firewall (DBF), DLP-систем. 
  • Своевременное обслуживание базы – установка и настройка обновлений, контроль работы всех компонентов. 

К дополнительным мерам относятся использование программ обеспечения целостности информации и контроль действий сотрудников. Очень важно проводить инструктажи и обучение по работе с базами данных. Персонал должен знать, к каким последствиям приведут утечки и осознавать необходимость неукоснительного соблюдения регламента. 

DLP-системы для защиты от утечки баз данных 

Наряду с традиционными инструментами в сфере защиты безопасности широко применяются DLP-системы (Data Leak Prevention). Это комплексные инструменты для мониторинга использования конфиденциальной информации в процессе ее хранения и перемещения по каналам коммуникаций, выявления случаев корпоративного мошенничества и расследования инцидентов.

Современные DLP-системы, такие как Solar Dozor, имеют встроенные технологии контроля выгрузок из баз данных. Они обнаруживают факт выгрузки конфиденциальных сведений из базы данных и попытку ее передачи по различным каналам: электронной почте, облачным хранилищам, мессенджерам, файлообменникам и т. д. При этом DLP-cистема может работать как в режиме копии трафика (в таком случае передача выгрузки из базы данных происходит, но офицер безопасности получает уведомление об этом), так и в режиме блокировки (передача выгрузки не происходит, передача данных блокируется).

Выводы

Утечки баз данных зачастую имеют глобальные последствия для организации. Поэтому важно не полагаться только на встроенные инструменты защиты баз данных и обязательно внедрить дополнительные решения по обеспечению безопасности. 

Наряду с традиционными методами (шифрование данных, резервное копирование и разграничение доступа) следует использовать специальные инструменты корпоративного класса – DAM-решения, DLP-системы, решения класса PAM (контроль привилегированных пользователей). Они позволяют выявлять уязвимости в системе безопасности, обнаруживать нелегитимные действия с информацией, анализировать поведение сотрудников, контролировать каналы коммуникации во избежание случайной или намеренной утечки данных. 

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.