система предотвращения утечек данных из корпоративной субд
advertisement
XIX Международная научно-практическая конференция «СОВРЕМЕННЫЕ ТЕХНИКА И ТЕХНОЛОГИИ» Секция 7: Информатика и управление в технических системах СИСТЕМА ПРЕДОТВРАЩЕНИЯ УТЕЧЕК ДАННЫХ ИЗ КОРПОРАТИВНОЙ СУБД Банокин П. И. Научный руководитель: Цапко С.Г., д.т.н., профессор Томский политехнический университет, 634050, Россия, г. Томск, пр. Ленина, 30 E-mail: pavel805@gmail.com данных, общая частота обращения, выборка данных только определенной категории. Создаваемое решение способно анализировать поведение пользователя и включает следующие компоненты (рис. 1): а) Обработчик статистических данных (компонент «Обработчик статистики») о выполненных SQLзапросах. Хранит статистические данные о выполненных ранее запросах к СУБД и определяет безопасность SQL-запроса. б) ODBC-прокси, представляющий из себя ODBCдрайвер промежуточного уровня. Основные ответственности промежуточного ODBC-прокси: а) Перенаправление вызовов на оригинальный ODBC-драйвер, указанный в конфигурации. б) Отправка SQL-запроса и его результата компоненту «Обработчик статистики» в) Запрет выполнения запроса в случае выявления факта отклонений В статье рассмотрены известные подходы к созданию систем предотвращения утечек данных. Предложен способ создания данного типа систем с использованием промежуточного ODBC-драйвера. Описана архитектура системы предотвращения утечек данных из СУБД. Введение Количество подтвержденных случаев хищения ценной корпоративной информации увеличивается ежегодно [1]. Наиболее трудно выявляемыми являются случаи распространения корпоративных данных, совершенных непосредственно сотрудниками предприятия. Несмотря на небольшой процент в общей статистике случаев утечки корпоративных данных, данные случаи являются наиболее трудно выявляемыми и скрываемыми в официальной статистике [2]. Сложность выявления подобных происшествий обусловлена в том числе и тем, что некоторые сотрудники при увольнении забирают часть ценной корпоративной информации с собой[3]. Корпоративная база данных является одним из основных хранилищ ценной информации, объем которой постоянно увеличивается. Согласно отчету компании Verizon количество утечек данных с серверов БД составляет 6% от всех случаев и 96% по количеству информации.[3]. Существующие средства защиты СУБД использую два основных подхода: а) Анализ данных, выбираемых из СУБД в режиме реального времени. Данный подход может быть реализован посредством наблюдения за памятью процесса СУБД. б) Анализ лог-файлов, которые генерируются встроенными возможностями аудита СУБД. При данном подходе происходит периодическая проверка полученных лог-файлов на соответствие каким-либо критериям. Основным недостатком подобных решений является задержка реакции защиты в случае утечки данных. Описание решения проблемы При выполнении своих повседневных обязанностей сотрудник компании пользуется различными источниками данных. Он формирует отчеты, просматривает таблицы, создает новые записи. В случае целенаправленной выгрузки данных из корпоративной БД поведение пользователя меняется. Могут изменяться такие параметры, как частота обращения к определенным источникам Рис. 1– Диаграмма развертывания программной системы Использование ODBC-прокси обусловлено тем, что интерфейс ODBC хорошо документирован и поддерживается многими СУБД. В рассматриваемой 210 XIX Международная научно-практическая конференция «СОВРЕМЕННЫЕ ТЕХНИКА И ТЕХНОЛОГИИ» Секция 7: Информатика и управление в технических системах архитектуре существуют два основных хранилища: хранилище статистики обращения к СУБД и хранилище поведенческих профилей (рис. 2). Рис. 3 – Взаимодействие объектов При работе с предлагаемой программной системой любое приложение, выполняющее обращение к СУБД, должно подключаться через ODBC-прокси. Система имеет два режима функционирования: режим обучения и активный режим. В режиме обучения происходит накопление статистики, формирование профилей. В активном режиме система может прерывать подозрительные SQL-запросы или только отправлять уведомления администратору БД. Заключение Рассмотренная архитектура имеет ряд отличий, которые делают ее востребованной на рынке DLPсистем: а) Ориентированность на предотвращение утечек данных со стороны сотрудников предприятия. б) Простая интеграция и централизованное управление в существующей IT-инфраструктуре предприятия. Отсутствие необходимости использовать специальные аппаратные компоненты. в) Доступность не только для больших предприятий, но и для среднего бизнеса. Низкие затраты на интеграцию и сопровождение. Рис. 2 – Диаграмма потоков данных Обработчик статистики принимает данные от ODBC-прокси. При выполнении запроса ODBCпрокси обращается к обработчику статистики для получения разрешения на выполнение SQL-запроса. Процесс обработки статистики включает вычисление метрик поведения пользователя, среди которых могут быть следующие: а) Соотношение типов запросов. б) Общее количество выгруженных данных за определенный промежуток времени в) Структура SQL-запроса, оцениваемая по количеству таблиц, участвующих в запросе г) Ширина кортежа. Обработчик статистики реализован в виде JAVAприложения, предоставляющего веб-сервисы. Используется документно-ориентированная СУБД MongoDB. Из статистических данных по прошествии некоторого промежутка времени формируется профиль отдельного пользователя СУБД или группы пользователей. Профиль пользователя или группы пользователей представляет из себя вычисленную математическую модель поведения на основании данных статистики выполнения предыдущих запросов. Результат запроса отправляется обработчику статистики асинхронно, чтобы не замедлять работу клиента СУБД (рис. 3). СПИСОК ЛИТЕРАТУРЫ 1. Data Loss Statistics // Data Loss DB. URL: http://datalossdb.org/statistics (Дата обращения: 7.12.2012) 2. Data breach investigations report 2012 // Verizon Enterprise Solutions Worldwide Site. URL: http://www.verizonbusiness.com/resources/reports/rp _data-breach-investigations-report-2012_en_xg.pdf (Дата обращения: 7.12.2012) 3. Data Leakage Worldwide: The Insider Threat and the Cost of Data Loss // Cisco. URL: http://www.cisco.com/en/US/solutions/collateral/ns17 0/ns896/ns895/Cisco_STL_Data_Leakage_2008.pdf (Дата обращения: 7.12.2012) 211
