Резкий рост запросов с ошибками
Могут сигнализировать о попытках взлома базы данных путём подбора паролей, названий объектов БД.
Система Meridian DB Patrol осуществляет аудит сетевого и локального доступа к системам управления базами данных в целях мониторинга действий пользователей и защиты конфиденциальных данных.
Система протоколирует все обращения к СУБД на основе заданных критериев политик безопасности, протоколы сохраняются во внутреннем аналитическом хранилище и доступны для последующего анализа службами информационной безопасности предприятий.
Система проводит мониторинг обращений к базам данных в режиме реального времени и выявляет подозрительные операции.
Могут сигнализировать о попытках взлома базы данных путём подбора паролей, названий объектов БД.
Могут указывать на попытку «слить» конкурентам базу данных целиком или по частям.
Могут быть вызваны намеренными попытками сгенерировать задержки в работе базы данных чтобы показать её неэффективность и обосновать затраты на модернизацию программного обеспечения или оборудования в корыстных целях. Быть признаком массового сканирования данных в злоумышленных целях.
Любая нетипичная активность может нести потенциальную угрозу. Например, запросы с новыми фильтрами по конфиденциальным данным являются косвенным признаком личного (возможно злоумышленного) интереса к защищаемым данным либо признаками SQL-инъекций.
Meridian DB Patrol решает внутренние задачи ИБ:
Meridian DB Patrol помогает следовать требованиям:
Современные системы управления базами данных имеют в своём составе средства аудита, однако не способны полностью заменить такие специализированные средства контроля как Meridian DB Patrol.
Встроенные средства аудита СУБД зачастую неэффективны по ряду причин.
Сложность администрирования и управления
Отсутствие контроля привилегированных пользователей
Отсутствие аналитики по поиску инцидентов ИБ
Ощутимое снижение производительности СУБД
Контроль всех обращений к базе данных независимо от привилегий пользователя и вида приложения.
Высокая производительность подсистем съема трафика и хранения протоколов аудита, отсутствие влияния на производительность контролируемой СУБД.
Полнофункциональное рабочее место инженера по безопасности.
Возможность использования для территориально-распределенных информационных систем, гибкая настройка комплекса под требования клиента.
Возможность настройки комплекса под требования клиента, комплексная техническая поддержка, приемлемая стоимость.
Meridian DB Patrol является российским аналогом DAM-систем IBM® Security Guardium®, Imperva SecureSphere, McAfee DAM. В сравнении с этими системами использование Meridian DB Patrol обходится заказчику значительно дешевле.
Съёмник обеспечивает разбор и приведение к единому формату событий из протокола доступа к СУБД. Трафик копируется с точек концентрации на съемник с помощью программных (Cisco SPAN) или аппаратных (Network TAP) технологий.
Локальный агент представляет собой программное обеспечение, устанавливаемое на сервер СУБД и осуществляющее протоколирование локальных обращений к СУБД.
Система хранения и обработки данных включает в себя СУБД PostgreSQL для хранения и приложение для обработки результатов анализа трафика.
Система имеет в своем составе приложение - автоматизированное рабочее место (АРМ), которое предоставляет инженеру по безопасности Web интерфейс для работы с системой.
Meridian DB Patrol может протоколировать обращения к СУБД по сети, формируя инциденты безопасности в фоновом режиме, либо выступать как сетевой экран, блокируя нежелательные действия пользователей.
Meridian DB Patrol может быть настроен как на пассивную так и на активную защиту.
В пассивном режиме система использует копию трафика (SPAN), не оказывая влияния на производительность контролируемой базы данных и никак не проявляя себя в корпоративной сети.
В активном режиме Meridian DB Patrol действует как сетевой экран, блокируя нежелательные действия пользователей на уровне сессий СУБД.