Гарда DBF

• Реляционные и нереляционные СУБД, всего более 40 наименований, среди них: MS SQL, MySQL, PostgreSQL, Postgres Pro, MariaDB, РЕД База Данных, MongoDB, ScyllaDB, Redis, Tarantool и т. д.
• Big Data
• Облачные среды
• Бизнес-приложения: ERP, CRM и т. д.
• MPP-хранилища: Teradata, Greenplum, Arenadata DB, Tantor, Jatoba, SAP HANA и другие популярные платформы.

Продукт интегрируется с решениями различных классов, включая SIEM, SOAR. Уведомления о критических событиях могут дублироваться на электронную почту или в интерфейс оператора для мгновенного реагирования.

Нет, поскольку решение работает с копией сетевого трафика. В среднем, при нагрузке до 5Гбит/с агент на сервере СУБД использует 5% вычислительной мощности CPU и 1GB RAM. Потребление ресурсов можно ограничить, и в случае превышения заданного лимита система приостановит перехват.

DAM (Database Activity Monitoring) – система непрерывного независимого мониторинга, аудита и анализа всех обращений к базам данных в реальном времени (или близком к нему).

DBF (Database Firewall) – это специализированный межсетевой экран для защиты СУБД, работающий в режиме активного inline-перехвата трафика (между приложением/клиентом и БД). Использует правила и политики, а также поведенческий анализ, чтобы заблокировать нелегитимные запросы к базе данных. В отличие от DAM-систем, которые анализируют сетевой трафик или встроенные логи СУБД, решения класса DBF, как правило, сочетают анализ сетевого трафика с установкой агентов на серверы баз данных. Такой подход позволяет перехватывать и анализировать локальные обращения к СУБД, например, действия привилегированных пользователей, обеспечивая более полный контроль и, в случае необходимости, дает возможность блокировать вредоносные и подозрительные запросы.

Современные зрелые DBF-решения, в отличие от DAM-систем, позволяют не только расследовать инциденты, но также активно реагировать на угрозы, блокируя их.

Встроенные логи СУБД – это базовая гигиена, но она не защищает от ситуаций, когда администратор СУБД может удалить или отключить логирование.

Гарда DBF хранит данные в защищенном модуле системы. Доступ к системе есть только у службы ИБ.

Встроенные инструменты аудита СУБД, как правило, не фиксируют ответы от СУБД, в которых часто содержится контекст нарушения. «Гарда DBF» этот контент видит, поэтому может определить попытку эксфильтрации (например, SELECT с выборкой тысяч строк и отправкой результата) и в реальном времени заблокировать такое соединение, не дожидаясь передачи данных за пределы периметра.

Встроенный аудит нагружает саму СУБД, в результате чего падает ее производительность, что может быть критично для бизнеса.

Встроенные средства аудита работают только внутри СУБД и не могут дать целостной картины, если в компании используется несколько разных СУБД. «Гарда DBF» — это внешнее средство защиты, позволяющее контролировать их централизованно и независимо от администраторов баз данных.

«Гарда DBF» отвечает требованиям российского законодательства в сфере защиты информации, соответствует национальным и международным стандартам безопасности. Среди них:

• ФЗ-152 «О персональных данных»;
• Приказ ФСТЭК России №239 об обеспечении безопасности значимых объектов критической информационной инфраструктуры;
• Приказ ФСТЭК России №117 о защите информации в государственных и муниципальных информационных системах (ГИС/МИС);
• Приказ ФСТЭК России №21 о защите персональных данных в информационных системах (ИСПДн);
• PCI DSS (международный стандарт безопасности данных платежных карт);
• ГОСТ Р 57580.1-2017 (Национальный стандарт РФ «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»).

Да, «Гарда DBF» имеет сертификат ФСТЭК России по 4-му уровню доверия, что позволяет применять решение на объектах КИИ 1-й категории (информационные системы, сети и автоматизированные системы управления предприятий из ключевых отраслей (энергетика, транспорт, связь, ВПК, здравоохранение)).

Да, «Гарда DBF» поддерживает динамическое маскирование. Оно происходит непосредственно в процессе передачи данных от источника к получателю, без промежуточного этапа создания копии данных. С его помощью удобно разграничивать доступ пользователей базы данных к конфиденциальной информации, предоставляя реальную информацию только определенным категориям пользователей и только в том объеме, который необходим им для работы. Статическое маскирование доступно в продукте Гарда Data Masking.

SIEM-система получает только то, что ей отдали. Например, штатный аудит СУБД может быть отключен администратором (чтобы скрыть следы), и тогда логи в SIEM не дойдут, или в логах может не быть полного текста запроса. «Гарда DBF» работает независимо: получает данные непосредственно из сетевого трафика, а также перехватывает локальные запросы, которые в сетевом трафике не видны.

Весь поток событий сильно нагружает SIEM, необходимо строить большое количество корреляций, фильтровать мусорный трафик, что увеличит нагрузку на систему и повысит ее стоимость. «Гарда DBF» поддерживает гибкую фильтрацию событий при интеграции с SIEM. Администратор может самостоятельно определить, какая информация будет отправляться во внешнюю систему, а какая — обрабатываться только внутри «Гарда DBF». Например, из пяти политик срабатывания передача данных в SIEM может быть настроена только для двух, в то время как события по остальным трем политикам остаются внутри продукта для локального аудита и контроля.

SIEM не позволяет превентивно реагировать на критические угрозы (блокировать запрос).

Да, одна из ключевых и востребованных функций решения — сканирование сети на предмет наличия открытых портов, а также сканирование живого сетевого трафика. «Гарда DBF» автоматически обнаруживает новые, в том числе тестовые и теневые БД, классифицирует их по типу хранимых данных, применяет к ним политики контроля, а также возможности защиты (например, маскирование), закрывая слепые зоны безопасности.