Управление пользователями баз данных

Утечки баз данных – один из самых распространенных видов инцидентов в сфере информационной безопасности. С начала 2021 года произошло немало громких скандалов, связанных с БД. Примеры:

  • Появление в продаже личных данных более 1 000 000 пользователей сайта hyundai.ru (9 января).

  • Публикация 12 февраля на одном из хакерских форумов базы с более чем 3 200 000 000 пар адресов и паролей email. Она стала одной из крупнейших в истории.

  • Появление в открытом доступе данных более 214 000 000 пользователей Socialarks (из-за ошибок с конфигурацией облачного хранилища). Пикантности ситуации придал тот факт, что сама компания собирала эти сведения незаконно.

Подобные инциденты происходят по разным причинам. В ряде случаев они случаются из-за намеренных манипуляций внешних или внутренних злоумышленников. В других – из-за неумышленных действий (или наоборот – бездействия) сотрудников. В большинстве случаев одна из причин, способствующих возникновению подобных инцидентов – недостатки в системе управления пользователями баз данных, а часто и вовсе полное отсутствие системности в этих процессах.

Управление и контроль доступа как метод обеспечения безопасности БД

Управление пользователями баз данных и контроль доступа – один из методов организации защиты БД от различного рода инцидентов в сфере ИБ. Одного его для обеспечения безопасности недостаточно. Этот метод эффективно работает в связке с другими:

  • Безопасное конфигурирование. Подразумевает выполнение широкого спектра требований. Например, установку только необходимых для выполнения заданных функций компонентов.

  • Разделение компонент. Хорошая практика, способствующая повышению уровня информационной безопасности БД: ее деление на типы (сегменты) в зависимости от выполняемых задач (например, для разработки, тестирования, промышленной эксплуатации и т. д.).

  • Шифрование данных. Организуется при хранении и передаче.

  • Регулярный аудит. Ему подлежит как информация, хранящаяся в базе, так и учетные данные пользователей, имеющих доступ к ней.

Но все-таки уровень защищенности базы данных во многом зависит именно от того, насколько эффективно и качественно организовано управление пользователями и контроль доступа. Ведь если пользователю удается авторизоваться в системе, обойти другие составляющие защиты – все остальное уже «дело техники».

Как организовать управление пользователями баз данных в компании, с помощью каких инструментов

Самый простой вариант – реализовать управление, которым будет заниматься администратор БД, вручную. На такого специалиста возлагаются задачи по поддержанию оперативной и накапливаемой информации в актуальном рабочем состоянии и другие функции, в том числе и обеспечение защиты информации от несанкционированного доступа.

Многие практикуют такой вариант. Но с разрастанием БД и увеличением количества пользователей управлять доступом вручную становится сложнее. А если в компании используется несколько баз с разными СУБД? Затраты (временные и финансовые) на обеспечение их безопасности и управление пользователями становятся серьезными (для некоторых компаний даже неподъемными). В таких случаях на помощь приходят решения класса IdM/IGA – системы управления доступом (к которому относится наш продукт Solar inRights). С их помощью реализуется управление пользователями (аккаунтами, учетными записями) на основе ролевой модели, эффективность, гибкость и универсальность которой признана экспертами в сфере ИБ.

Возможности IdM-систем по управлению пользователями БД в компании и эффекты от их внедрения

С помощью одного IdM-решения вы сможете централизованно управлять пользователями различных баз данных, обеспечивающих работу информационных систем, необходимых компании. Современные IdM-системы работают с реляционными, иерархическими и сетевыми БД. Взаимодействие с ними осуществляется посредством специальных коннекторов. Для большинства современных СУБД коннекторы идут «в базе». При необходимости можно заказать доработку существующих или создание новых с нуля у компании разработчика IdM/IGA.

Также рассматриваемые решения:

  • Автоматизируют процессы предоставления доступа и управления им в различных БД. Автоматизация включает создание учетных записей (по заявкам или автоматически)? их корректировку на основании каких-либо событий, деактивацию и удаление.

  • Обеспечивают постоянный централизованный мониторинг прав пользователей БД, анализ их соответствия действующим политикам и регламентам, аудит, ресертификацию. Руководство компании и специалисты, отвечающие за информационную безопасность, в любой момент времени владеют полной картиной.

  • Снижают трудозатраты и временные издержки на управление пользователями БД в компании и их полномочиями. Опыт многих наших клиентов показывает, что с внедрением IdM некоторые процессы, на которые уходило по двое-трое суток, реализуются за несколько часов (например, создание учетных записей для новых сотрудников в целевых корпоративных информационных системах).

  • Способствуют предотвращению SOD-конфликтов и инцидентов информационной безопасности, связанных с избыточными/неограниченными правами доступа к БД и целевым информационным системам. Предотвращают проблемы, которые могут быть спровоцированы использованием аккаунтов и учетных записей «общего пользования» (например, передающимися по смене).

  • Накапливают архив с данными о правах, полномочиях, доступах пользователей к корпоративным БД. Эти сведения могут использоваться при расследовании инцидентов в сфере ИБ.

  • Исключают накопление в системе бесхозных учетных записей и аккаунтов, которые могут быть использованы злоумышленниками для компрометации информации, хранящейся в корпоративных базах данных.

Также в современных решениях класса IdM часто реализуется функционал для скоринга рисков. Система анализирует доступы и полномочия пользователя в разных БД и информационных системах и делает выводы о возможных рисках (в том числе с учетом политик ИБ), сигнализирует, когда уровень риска превышает заданный параметр, позволяет строить отчtты и задавать различные сценарии реагирования на превышение уровня риска.

Автоматизировать процессы управления пользователями БД нужно. От этого во многом зависит уровень информационной безопасности компании.

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах