Система протоколирует все обращения к СУБД на основе заданных критериев политик безопасности, протоколы сохраняются во внутреннем аналитическом хранилище и доступны для последующего анализа службами информационной безопасности предприятий.
Система проводит мониторинг обращений к базам данных в режиме реального времени и выявляет подозрительные операции.
Могут сигнализировать о попытках взлома базы данных путём подбора паролей, названий объектов БД.
Могут указывать на попытку «слить» конкурентам базу данных целиком или по частям.
Могут быть вызваны намеренными попытками сгенерировать задержки в работе базы данных чтобы показать её неэффективность и обосновать затраты на модернизацию программного обеспечения или оборудования в корыстных целях. Быть признаком массового сканирования данных в злоумышленных целях.
Любая нетипичная активность может нести потенциальную угрозу. Например, запросы с новыми фильтрами по конфиденциальным данным являются косвенным признаком личного (возможно злоумышленного) интереса к защищаемым данным либо признаками SQL-инъекций.
Современные системы управления базами данных имеют в своём составе средства аудита, однако не способны полностью заменить такие специализированные средства контроля как Meridian DB Patrol.
Встроенные средства аудита СУБД зачастую неэффективны по ряду причин.
Сложность администрирования и управления
Отсутствие контроля привилегированных пользователей
Отсутствие аналитики по поиску инцидентов ИБ
Ощутимое снижение производительности СУБД
Система протоколирует все сетевые обращения пользователей к базе данных. В протокол аудита попадают конструкции языка SQL, конструкции процедурных языков, значения переменных параметризованных запросов.
В протокол аудита попадают:
Meridian DB Patrol может устанавливаться в скрытом для администраторов баз данных режиме, предотвращая обход защиты привилегированными пользователями.
В состав решения входят локальные агенты, которые устанавливаются рядом с системами управления базами данных и отслеживают все локальные обращения к данным. Такой подход не дает скрыть свою активность даже администратору базы данных и другим привилегированным пользователям, эффективно защищает данные от инсайда.
Система позволяет искать факты обращений к определенным объектам базы данных. Имеется возможность настроить шаблоны аудита по ключевым словам в запросах, ответах и переменных в целях обнаружения активности по определенной тематике в общей массе конфиденциальной информации.
Система осуществляет синтаксический анализ запросов к базе данных, распознаёт в запросах отдельные объекты базы данных: имена таблиц, представлений, полей таблиц, синонимов, функций, процедур, пакетов и т.д. Это позволяет осуществлять детальный поиск фактов нарушения безопасности, например, выявить активность запросов по определенному лицу, организации, номерам телефонов и иным атрибутам конфиденциальной информации, которые хранятся в базе данных.
Система поддерживает аудит обращений к СУБД Oracle, Microsoft SQLServer, имеет настройки для работы с бизнес-приложениями SAP Business Object, SAS.
Система поддерживает протоколы СУБД Oracle версий 9i,10g,11g,12c.
Система осуществляет разбор обращений к СУБД MS SQLSERVER в строгом соответствии со спецификацией MS TDS - прикладного протокола взаимодействия клиентских приложений с СУБД. Поддерживаются версии протоколов, используемые в СУБД MS SQLSERVER 2008 и выше.
Контроль всех обращений к базе данных независимо от привилегий пользователя и вида приложения.
Высокая производительность подсистем съема трафика и хранения протоколов аудита, отсутствие влияния на производительность контролируемой СУБД.
Полнофункциональное рабочее место инженера по безопасности.
Возможность использования для территориально-распределенных информационных систем, гибкая настройка комплекса под требования клиента.
Возможность настройки комплекса под требования клиента, комплексная техническая поддержка, приемлемая стоимость.
Meridian DB Patrol является российским аналогом DAM-систем IBM® Security Guardium®, Imperva SecureSphere, McAfee DAM. В сравнении с этими системами использование Meridian DB Patrol обходится заказчику значительно дешевле.
Съёмник обеспечивает разбор и приведение к единому формату событий из протокола доступа к СУБД. Трафик копируется с точек концентрации на съемник с помощью программных (Cisco SPAN) или аппаратных (Network TAP) технологий.
Локальный агент представляет собой программное обеспечение, устанавливаемое на сервер СУБД и осуществляющее протоколирование локальных обращений к СУБД.
Система хранения и обработки данных включает в себя СУБД PostgreSQL для хранения и приложение для обработки результатов анализа трафика.
Система имеет в своем составе приложение - автоматизированное рабочее место (АРМ), которое предоставляет инженеру по безопасности Web интерфейс для работы с системой.
Meridian DB Patrol может протоколировать обращения к СУБД по сети, формируя инциденты безопасности в фоновом режиме, либо выступать как сетевой экран, блокируя нежелательные действия пользователей.
Meridian DB Patrol может быть настроен как на пассивную так и на активную защиту.
В пассивном режиме система использует копию трафика (SPAN), не оказывая влияния на производительность контролируемой базы данных и никак не проявляя себя в корпоративной сети.
В активном режиме Meridian DB Patrol действует как сетевой экран, блокируя нежелательные действия пользователей на уровне сессий СУБД.
Медицинские компании, как и любые учреждения, обрабатывающие персональные данные, в соответствии с законодательством Российской Федерации обязаны обеспечивать режим конфиденциальности в отношении всей информации, получаемой от клиентов. Отсутствие специализированных средств защиты типа Meridian DB Patrol дает возможность неконтролируемого доступа к конфиденциальной информации, приводит к утечкам и создает предпосылки для полной или частичной потери бизнеса.
Юридическая компания в соответствии с законодательством Российской Федерации обязана обеспечивать режим конфиденциальности в отношении всей информации, получаемой от клиентов. Системные администраторы и сотрудники службы безопасности без специализированных средств защиты Meridian DB Patrol могут иметь полный доступ к данным, одновременно обладая возможностью скрыть свои злоумышленные действия, в особенности если имеет место преступный сговор этих лиц.
Подавляющее большинство отделов кадров и бухгалтерии автоматизируют свою деятельность платформой 1С:Предприятие. В наиболее защищенной версии 8.2z фирмой 1С всего лишь реализована возможность регистрации событий, связанных с работой с персональными данными. Поэтому в отсутствии специализированных средств защиты Meridian DB Patrol всегда есть техническая возможность безнаказанно иметь «кривую» настройку платформы с такими «дырами» в защите как: неправильная раздача привилегий (например повышенных) на объекты, отсутствие «по забывчивости» контроля на вновь создаваемые объекты и т.п.
