Управление пользователями баз данных

Утечки баз данных – один из самых распространенных видов инцидентов в сфере информационной безопасности. С начала 2021 года произошло немало громких скандалов, связанных с БД. Примеры:

  • Появление в продаже личных данных более 1 000 000 пользователей сайта hyundai.ru (9 января).

  • Публикация 12 февраля на одном из хакерских форумов базы с более чем 3 200 000 000 пар адресов и паролей email. Она стала одной из крупнейших в истории.

  • Появление в открытом доступе данных более 214 000 000 пользователей Socialarks (из-за ошибок с конфигурацией облачного хранилища). Пикантности ситуации придал тот факт, что сама компания собирала эти сведения незаконно.

Подобные инциденты происходят по разным причинам. В ряде случаев они случаются из-за намеренных манипуляций внешних или внутренних злоумышленников. В других – из-за неумышленных действий (или наоборот – бездействия) сотрудников. В большинстве случаев одна из причин, способствующих возникновению подобных инцидентов – недостатки в системе управления пользователями баз данных, а часто и вовсе полное отсутствие системности в этих процессах.

Управление и контроль доступа как метод обеспечения безопасности БД

Управление пользователями баз данных и контроль доступа – один из методов организации защиты БД от различного рода инцидентов в сфере ИБ. Одного его для обеспечения безопасности недостаточно. Этот метод эффективно работает в связке с другими:

  • Безопасное конфигурирование. Подразумевает выполнение широкого спектра требований. Например, установку только необходимых для выполнения заданных функций компонентов.

  • Разделение компонент. Хорошая практика, способствующая повышению уровня информационной безопасности БД: ее деление на типы (сегменты) в зависимости от выполняемых задач (например, для разработки, тестирования, промышленной эксплуатации и т. д.).

  • Шифрование данных. Организуется при хранении и передаче.

  • Регулярный аудит. Ему подлежит как информация, хранящаяся в базе, так и учетные данные пользователей, имеющих доступ к ней.

Но все-таки уровень защищенности базы данных во многом зависит именно от того, насколько эффективно и качественно организовано управление пользователями и контроль доступа. Ведь если пользователю удается авторизоваться в системе, обойти другие составляющие защиты – все остальное уже «дело техники».

Как организовать управление пользователями баз данных в компании, с помощью каких инструментов

Самый простой вариант – реализовать управление, которым будет заниматься администратор БД, вручную. На такого специалиста возлагаются задачи по поддержанию оперативной и накапливаемой информации в актуальном рабочем состоянии и другие функции, в том числе и обеспечение защиты информации от несанкционированного доступа.

Многие практикуют такой вариант. Но с разрастанием БД и увеличением количества пользователей управлять доступом вручную становится сложнее. А если в компании используется несколько баз с разными СУБД? Затраты (временные и финансовые) на обеспечение их безопасности и управление пользователями становятся серьезными (для некоторых компаний даже неподъемными). В таких случаях на помощь приходят решения класса IdM/IGA – системы управления доступом (к которому относится наш продукт Solar inRights). С их помощью реализуется управление пользователями (аккаунтами, учетными записями) на основе ролевой модели, эффективность, гибкость и универсальность которой признана экспертами в сфере ИБ.

Возможности IdM-систем по управлению пользователями БД в компании и эффекты от их внедрения

С помощью одного IdM-решения вы сможете централизованно управлять пользователями различных баз данных, обеспечивающих работу информационных систем, необходимых компании. Современные IdM-системы работают с реляционными, иерархическими и сетевыми БД. Взаимодействие с ними осуществляется посредством специальных коннекторов. Для большинства современных СУБД коннекторы идут «в базе». При необходимости можно заказать доработку существующих или создание новых с нуля у компании разработчика IdM/IGA.

Также рассматриваемые решения:

  • Автоматизируют процессы предоставления доступа и управления им в различных БД. Автоматизация включает создание учетных записей (по заявкам или автоматически)? их корректировку на основании каких-либо событий, деактивацию и удаление.

  • Обеспечивают постоянный централизованный мониторинг прав пользователей БД, анализ их соответствия действующим политикам и регламентам, аудит, ресертификацию. Руководство компании и специалисты, отвечающие за информационную безопасность, в любой момент времени владеют полной картиной.

  • Снижают трудозатраты и временные издержки на управление пользователями БД в компании и их полномочиями. Опыт многих наших клиентов показывает, что с внедрением IdM некоторые процессы, на которые уходило по двое-трое суток, реализуются за несколько часов (например, создание учетных записей для новых сотрудников в целевых корпоративных информационных системах).

  • Способствуют предотвращению SOD-конфликтов и инцидентов информационной безопасности, связанных с избыточными/неограниченными правами доступа к БД и целевым информационным системам. Предотвращают проблемы, которые могут быть спровоцированы использованием аккаунтов и учетных записей «общего пользования» (например, передающимися по смене).

  • Накапливают архив с данными о правах, полномочиях, доступах пользователей к корпоративным БД. Эти сведения могут использоваться при расследовании инцидентов в сфере ИБ.

  • Исключают накопление в системе бесхозных учетных записей и аккаунтов, которые могут быть использованы злоумышленниками для компрометации информации, хранящейся в корпоративных базах данных.

Также в современных решениях класса IdM часто реализуется функционал для скоринга рисков. Система анализирует доступы и полномочия пользователя в разных БД и информационных системах и делает выводы о возможных рисках (в том числе с учетом политик ИБ), сигнализирует, когда уровень риска превышает заданный параметр, позволяет строить отчtты и задавать различные сценарии реагирования на превышение уровня риска.

Автоматизировать процессы управления пользователями БД нужно. От этого во многом зависит уровень информационной безопасности компании.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах