· Внесение критичных изменений в базу данных с целью мошеннических действий или саботажа.
· Удаление.
· Слив и копирование информации.
Реальных историй, как мошенники крадут информацию или модифицируют ее в базах данных, так как БД – это главный информационный актив бизнесов, на них всегда .
Вот реальные кейсы из разных сфер.
Телеком:
Сотрудник салона связи обращался к базе данных, оформлял перевыпуск сим-карт клиентов, чтобы снимать с них деньги. Подсудимый искал в базе данных абонентов, у которых на счету было более 5 000 рублей, подделывал заявление абонента, что он прибыл к нему и просил привязать дополнительную карту к своему лицевому счёту. Затем он заходил в базу, производил необходимые манипуляции и привязывал новую сим-карту к лицевому счёту абонента, вставлял симку в свой телефон, делал USD-запрос (4 цифры) на снятие денег со счета и пересылал их на личный счет. Сначала снимал небольшие суммы и выжидал реакцию службы безопасности. Реакции не следовало, тогда он снимал всю сумму с лицевого счёта. Ущерб составил более полумиллиона рублей.
Производственная компания:
Руководитель отдела продаж планировала увольнение и обещала на новом месте работы, что придет с базами данных контрагентов, сведения о наименовании товаров, входной цене, результатах коммерческой деятельности компании. Эту информацию она скопировала из базы данных, файлы с рабочей электронной почты переслала на личную, а также на почту конкурента.
Банк:
В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей. Соучастник помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Самого инсайдера вычислили позже, подельник его не сдавал.
Перейдем к описанию, что мы реализовали в рамках первого релиза «СёрчИнформ Database Monitor».
Программа логирует все запросы к базам данных и ответы на них и определяет пользователей, которые обращаются к БД и работают (открывают, изменяют, копируют) с информацией в них. Запросы пользователей и ответы SQL-сервера проходят через прокси-сервер и записываются во временное хранилище, которое затем индексируется.
Служба инфобезопасности может формировать отчеты за любые отрезки времени, которые показывают:
· Активность учетных записей приложений, подключенных к БД.
· Запросы к базам данных.
· Статистику запросов.
Проверку можно автоматизировать по перехваченным запросам к базам данных и ответам от них. ИБ-специалист получит уведомление по нарушению политик безопасности, например, о выгрузке большого массива данных или обращению к базе VIP-клиентов и т.п.
Решение интегрируется с другими программами «СёрчИнформ»: DLP-системой, FileAuditor, SIEM-системой. Использование Database Monitor в этой связке позволяет обеспечить защиту всех уровней IT-инфраструктуры (конечного пользователя, файловой системы, баз данных) и сократить время выявления инцидента. Появляется возможность увидеть нарушение на всех, даже самых ранних этапах: в моменте обращения к базе данных (в том числе извне), хранения на рабочей станции, перемещения.
софт на бесплатный тест и задать дополнительные вопросы.
