К основному контенту

Как засечь хакера, который украл логин и пароль для доступа в корпоративную сеть?

Как засечь хакера, который украл логин и пароль для доступа в корпоративную сеть?

Если ИТ-злоумышленник каким-то образом заполучил логин и пароль сотрудника компании для доступа в корпоративную сеть, он может с любого компьютера беспрепятственно войти в сеть, поскольку большинство используемых на сегодняшний день систем информационной безопасности (ИБ) идентифицируют пользователей по этим двум «секретным» буквенно-цифровым наборам (за исключением биометрических инструментов удаленной аутентификации). Но что за личность предъявила при входе в сеть эти наборы определить имеющимися средствами невозможно.

И вот этим-то определением занялись сотрудники американской компании DB Networks, специализирующейся на разработке ПО для ИБ. Для подтверждения «легальности» личности, вводящей логин и пароль для доступа в сеть, в DB Networks вначале решили обращать внимание на IP-адрес компьютера, с которого вводятся логин и пароль. А затем усложнили свое же требование к проверяющему ПО, включив в него алгоритмы контроля двух видов данных, о которых пользователи корпоративных сетей даже не подозревают (да и зачем им эти знания?). Первый вид дополнительной информации, подлежащей проверке, разработчики назвали «указателем базы данных» (в него входят четыре атрибута, описывающие сервер, базу данных (БД), ее схему и таблицы, к которым обратилось лицо, желающее войти в сеть). Второй вид они обозначили как «контекст обращения», в котором ключевыми элементами являются IP-адрес пользователя, порт прослушивания сервера (БД), название пользователя или приложения, отправившего запрос, и сервис СУБД, к которому он обратился.


В ходе разработки «усложненной» системы идентификации аналитики компании нашли корреляцию между определенными указателями и контекстами обращений. Оказалось, что комбинации указателей и контекстов удивительно постоянны, а их количество невелико. И если при проверке вдруг появляется не встречавшаяся ранее пара «указатель – контекст», то система выдает в службу ИБ сигнал о потенциально опасной ситуации и блокирует доступ поступившему запросу (при правильных наборах логина и пароля!).
Эту технологию поддерживают два продукта – DвBN-6300 и Layer 7 Database Sensor. Первый – это аппаратное решение, устанавливаемое между серверами БД и серверами приложений. Второй – программная версия аппаратного решения. После инсталляции DвBN-6300 (или Layer 7 Database Sensor) в течение нескольких дней работает в «ознакомительном» режиме, анализируя в корпоративной сети трафик между серверами БД и серверами приложений и запоминая «легальные» комбинации указателей и контекстов. А затем система идентификации автоматически переходит в рабочий режим поиска аномалий.

См. также:



Комментарии

ПОПУЛЯРНОЕ

eLoran и «еЧайка»: когда морская навигация получит надежную систему позиционирования?

Первым действительно умным городом России станет «нейронный город» Тюмень: как это повлияет на коррупцию?

Российский рынок IoT-решений для бизнеса: статистика и прогнозы

Как Rolls-Royce диагностирует свои авиадвигатели на самолетах Boeing и Airbus

MultiPresenter или как быстро подключить к проектору в конференц-зале?