В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Перед ИБ-специалистами банковской организации стояла задача логирования всех обращений к критическим данным в базе данных (БД). Основную проблему представляло специфически написанное приложение, работающее с БД. Любое действие пользователя в интерфейсе генерило запрос к критическим данным в СУБД, что выливалось в драматический рост числа таких обращений и увеличение объема журналов событий, которые необходимо хранить.
Решение проблемы штатными средствами требовало внедрения СХД большого объема и ощутимых для компании затрат. Пришлось искать технологию, позволяющую оптимизировать бюджет при одновременном решении существующей задачи.
Ответом стало внедрение продукта класса DAM, чьи штатные механизмы позволили настроить корреляцию запросов, в которых передавались данные о действиях пользователя, в интерфейсе Web-приложения. Логировались только запросы, представляющие реальное обращение к критически важным данным и связанные с их изменением. Все остальные события отбрасывались. Так удалось свести затраты на новую СХД к нулю, сэкономив порядка $500 000.
Большую ценность для злоумышленников представляет информация о счетах VIP-клиентов банков, и представители банков предпринимают все необходимые меры по ее защите.
В ходе одного из проектов по внедрению решения DAM мы обнаружили, что сотрудник банка имел доступ к базе данных, содержащей информацию о VIP-клиентах и балансе их счетов. И мог совершать операции по изменению баланса и переводу денежных средств на другие счета. Одной из функций DAM является профилирование и категоризация защищаемой информации, а также прав доступа конкретных пользователей. Сотрудники подразделения ИБ оперативно приняли меры и устранили уязвимость. В данном случае банк не понес никаких финансовых потерь. Но известны случаи, когда сотрудники, владея информацией об остатке на счету VIP-клиентов, передавали эту информацию своим подельникам, которые в дальнейшем по фальшивым паспортам осуществляли вывод денежных средств через отделения банков.
Если говорить о стоимости проекта по внедрению средств защиты баз данных, то она зависит от инфраструктуры каждого заказчика. Срок окупаемости варьируется и зависит от потенциального ущерба, который могла повлечь реализация конкретного инцидента. По нашему опыту, окупаемость происходит уже в первые два года.
С целью соответствия Федеральному закону от 7 августа 2001 г. № 115-ФЗ все банки устанавливают лимиты на снятие наличных в банкоматной сети. Лимит зависит от типа карты (Standart, Gold, Platinum).
При проведении пилотного проекта решения класса DAM в одном из банков совместно с представителями подразделения ИБ было обнаружено, что один из администраторов СУБД изменил в БД значение, отвечающее за лимит снятия наличных. Никаких рисков эта операция не несла. Но! Можно представить ситуацию: один из клиентов, остаток по счету которого превышает лимит на снятие наличных в несколько раз, теряет свою карту. Злоумышленник узнает PIN-код, меняет в базе лимит на снятие наличных и одной операцией снимает все денежные средства с конкретного счета через банкомат. Клиент получает SMS об операции, но блокировать карту уже нет смысла, т.к. остаток на счету нулевой.
Все сказанное – вершина айсберга. Базы данных остаются наиболее уязвимым компонентом инфраструктуры. Это подтверждается отчетом компании Ponemon Institute, в котором говорится, что наиболее актуальные риски организаций РФ – это инсайдеры и реализация атак на Web-сервисы, за которыми стоят те самые базы данных. Ущерб организаций от этих угроз за 2015 г. по сравнению с 2014 г. вырос на 29%. Если не предпринять мер, то он продолжит расти.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016