Если
ИТ-злоумышленник каким-то образом заполучил логин и пароль сотрудника компании
для доступа в корпоративную сеть, он может с любого компьютера беспрепятственно
войти в сеть, поскольку большинство используемых на сегодняшний день систем
информационной безопасности (ИБ) идентифицируют пользователей по этим двум
«секретным» буквенно-цифровым наборам (за исключением биометрических инструментов
удаленной аутентификации). Но что за личность предъявила при входе в сеть эти
наборы определить имеющимися средствами невозможно.
И вот этим-то
определением занялись сотрудники американской компании DB Networks,
специализирующейся на разработке ПО для ИБ. Для подтверждения «легальности»
личности, вводящей логин и пароль для доступа в сеть, в DB Networks вначале
решили обращать внимание на IP-адрес компьютера, с которого вводятся логин и
пароль. А затем усложнили свое же требование к проверяющему ПО, включив в него
алгоритмы контроля двух видов данных, о которых пользователи корпоративных
сетей даже не подозревают (да и зачем им эти знания?). Первый вид
дополнительной информации, подлежащей проверке, разработчики назвали
«указателем базы данных» (в него входят четыре атрибута, описывающие сервер,
базу данных (БД), ее схему и таблицы, к которым обратилось лицо, желающее войти
в сеть). Второй вид они обозначили как «контекст обращения», в котором
ключевыми элементами являются IP-адрес пользователя, порт прослушивания сервера
(БД), название пользователя или приложения, отправившего запрос, и сервис СУБД,
к которому он обратился.
В ходе
разработки «усложненной» системы идентификации аналитики компании нашли
корреляцию между определенными указателями и контекстами обращений. Оказалось,
что комбинации указателей и контекстов удивительно постоянны, а их количество
невелико. И если при проверке вдруг появляется не встречавшаяся ранее пара
«указатель – контекст», то система выдает в службу ИБ сигнал о потенциально
опасной ситуации и блокирует доступ поступившему запросу (при правильных
наборах логина и пароля!).
Эту
технологию поддерживают два продукта – DвBN-6300 и Layer 7 Database Sensor.
Первый – это аппаратное решение, устанавливаемое между серверами БД и серверами
приложений. Второй – программная версия аппаратного решения. После инсталляции
DвBN-6300 (или Layer 7 Database Sensor) в течение нескольких дней работает в
«ознакомительном» режиме, анализируя в корпоративной сети трафик между
серверами БД и серверами приложений и запоминая «легальные» комбинации
указателей и контекстов. А затем система идентификации автоматически переходит
в рабочий режим поиска аномалий.
См. также:
- Скачать Driver Booster и обновить драйвера под Windows одним кликом!
- Wi-Fi на птицефабрике: зачем курам беспроводная сеть?
- Самый универсальный мобильный 4G Wi-Fi роутер
Комментарии
Отправить комментарий