МФИ Софт: Гарда БД

Продукт
Разработчики: МФИ Софт, Гарда Технологии
Дата последнего релиза: 2018/09/13
Технологии: ИБ - Предотвращения утечек информации

Содержание

`Гарда Предприятие`, которое `МФИ Софт` позиционирует как DLP-систему для крупного и среднего бизнеса, способно на скоростях до 10 Гбит/с вести контроль входящего и исходящего корпоративного сетевого трафика, включая веб-почту, обмен по протоколу HTTPS, передачу VoIP и соединения с социальными сетями, на предмет выявления утечек чувствительных для владельца данных. Обнаружив факт нарушения корпоративной политики безопасности, система информирует об этом сотрудников ИБ-отдела.

Группа решений «Гарда» включает в себя:

  • DLP-систему «Гарда Предприятие», совмещающую в себе классические инструменты DLP и мощные аналитические возможности;
  • Систему защиты баз данных «Гарда БД» - аппаратно-программный комплекс класса DAM (Database Activity Monitoring - система аудита сетевого доступа к базам данных), который выявляет нехарактерные обращения к информации и повышает надежность защиты СУБД. Система проводит мониторинг обращений к базам данных в режиме реального времени и выявляет подозрительные операции.

Из интервью Тетенькина Евгения:

Компания "МФИ Софт" в первую очередь известна как разработчик решений СОРМ и IP-телефонии. DLP-системы в России перестали быть экзотикой и стали пользоваться постоянным спросом. Повышенное внимание к защите коммерческой информации постепенно становится массовым, причем не только в сегменте крупного бизнеса и государственных ведомств, но и у компаний среднего сектора, особенно связанных с наукоемким производством и бизнес-услугами.

Еще в 2005 году клиенты стали нас спрашивать - почему нельзя предоставить компаниям свой собственный "мини-СОРМ" для контроля информационных потоков в локальной сети? И мы подумали – почему нет? У нас были свои уникальные технологии работы с сетями, а также отличная возможность учесть ошибки других разработок, существующих на российском рынке. Нам хотелось сделать идеальное решение по соотношению "цена/качество" для крупных и регионально распределенных компаний. И мы это сделали, разработав систему "Гарда Предприятие" для защиты информационных потоков и "Гарду БД" для работы с базами данных.

За 2012 год прирост прибыли по продуктам линейки "Гарда" увеличился на 45%. По оценкам наших аналитиков, мы входим в пятерку лидеров рынка DLP-систем. Учитывая, насколько высока конкуренция на российском DLP-рынке, это можно считать настоящим прорывом.

В первую очередь, конечно, продуктами заинтересовались клиенты, уже имеющие опыт сотрудничества с "МФИ Софт". Это удобно – получать весь комплекс услуг по построению и защите корпоративных сетей и сетей связи от одного поставщика. Хорошим спросом системы "Гарда" пользуются у крупных и регионально распределенных предприятий - в первую очередь это финансовый сектор (например, ДальКомБанк), машиностроение (завод "УАЗ") и ряд телекоммуникационных компаний.

У нас была прекрасная возможность учесть ошибки конкурентов, поэтому мы сразу разработали востребованный на рынке продукт. На сегодня в базовом функционале учтены все популярные запросы клиентов, включая контроль Skype и VoIP-телефонии.

На фундаментальном уровне система "Гарда" базируется на наших собственных уникальных разработках, позволяющих практически на лету обрабатывать большие объемы данных – причем действительно обрабатывать 10 Gbps, а не "до 10 Gbps", существующих только для галочки в пресс-релизе.

Объемы информации, с которой приходится работать среднестатистическому офисному сотруднику, с каждым годом увеличиваются примерно на 30%. Соответственно, увеличивается и объем трафика, который необходимо контролировать. Более того, многие компании, которые раньше могли позволить себе блокировать некоторые каналы коммуникации, сейчас отказываются от этой практики. Гораздо выгоднее пользоваться современными системами взаимодействия с клиентами и подрядчиками (как тот же Skype или социальные сети), и при этом контролировать, чтобы сотрудники ими не злоупотребляли. Поэтому в следующем году повысится спрос на DLP-системы, быстро обрабатывающие большие объемы трафика, и при этом не оказывающие негативного влияния на корпоративную инфраструктуру.

В начале 2013 года `МФИ Софт` дополнила эту систему двумя новыми функциями: контроль и возможность активной блокировки передачи данных через порты USB и перехват текстовых сообщений, передаваемых по протоколу Skype. В настоящее время `МФИ Софт` предлагает агенты на рабочие места, использующие только операционные системы семейства Windows.

2018

«Гарда БД» с сетевым экраном

13 сентября 2018 года вышла обновленная версия системы защиты баз данных «Гарда БД» российского вендора ИБ-решений «Гарда Технологии». Обновленный комплекс оснащен сетевым экраном для разграничения и блокировки доступа пользователей к базам данных и веб-приложениям, став решением класса DBF (Data Base Firewall) — сетевым шлюзом безопасности, работающим в режиме in-line и оперативно блокирующим атаки и угрозы.

Система непрерывно контролирует легитимность доступа всех пользователей к базам данных, включая привилегированных, выявляет подозрительную активность, информирует об инцидентах в режиме реального времени. Благодаря динамическому профилированию, система выявляет подозрительную активность в трафике и мгновенно информирует об этом службу безопасности.

Ключевым отличием обновленной версии «Гарда БД» является возможность использования системы в качестве сетевого экрана. Сетевой экран баз данных, серверов и приложений открывает возможность мониторинга запросов пользователей к базам данных и управления ими, блокируя нежелательные события. «Гарда БД» в виде сетевого экрана построена по принципу L3 Reverse Proxy — типу прокси-сервера, который ретранслирует запросы клиентов из внешней сети на один или несколько серверов, логически расположенных во внутренней сети. Это открывает наиболее гибкий и быстрый способ интеграции решения, предполагающего установку «в разрыв». Такая архитектура позволяет обеспечить движение пользовательских запросов к базам данных через сетевой экран «Гарда БД» несколькими способами:

  • Изменение настроек клиентского приложения — вместо IP адреса базы данных прописывается IP-адрес комплекса «Гарда БД».
  • Изменение IP-адреса защищаемого сервера БД — текущий адрес базы данных привязывается к комплексу «Гарда БД», а для сервера баз данных выделяется другой IP адрес.
  • Изменение IP-адреса базы данных происходит с помощью средств настройки системы доменных имен (DNS).

В результате становится проще управлять запросами, распределяя их на идущие через сетевой экран «Гарда БД» и на прямые запросы в базы данных. Все остальные настройки происходят непосредственно в интерфейсе «Гарды БД».

Внедрение сетевого экрана позволяет реализовать полноценную систему разграничения прав доступа к базам данных, блокировать подозрительную активность и предотвратить хищение информации.

Блокировка обращений к базам данных осуществляется на основании настроенных политик безопасности и может включать в себя как белые и черные списки учетных записей, поля таблицы, приложения, так и логические объединения данных параметров, включая содержимое ответов.

«Гарда БД» сама уведомит сотрудника информационной безопасности о блокировке действий пользователей с помощью сообщений в интерфейсе системы, по электронной почте или в единой SIEM системе.

Отказоустойчивость системы достигается за счет установки кластерного сетевого экрана. С помощью технологии VRRP – сетевого протокола для увеличения доступности маршрутизаторов, или внешнего балансировщика, появляется возможность замещения узлов пользовательских запросов. То есть в случае выхода из строя одного из узлов, запрос перенаправляется на второй.

Функция сетевого экрана распространяется на все типы баз данных, которые поддерживает система «Гарда БД».

Функция контроля неявных обращений к базам данных через синонимы

6 сентября 2018 года компания «Гарда Технологии» сообщила об обновлении и расширении функциональных возможностей защиты баз данных и веб-приложений в «Гарда БД».

По информации компании, основная задача системы – обеспечить непрерывный контроль легитимности доступа всех пользователей к базам данных и веб-приложениям. С помощью функции предиктивной аналитики автоматизирован процесс выявления подозрительной активности с оперативным уведомлением службы безопасности.

Расширился перечень контролируемых СУБД, к Oracle, MicrosoftSQL, MySQL, PostgreSQL, Teradata, IBM Netezza, Sybase ASE, IBM DB2, Линтер, Firebird и Interbase в комплекс «Гарда БД» добавились Apache Hive и Appache Kafca. Появилась возможность выгрузки данных в несколько SIEM систем. Выгрузка в LDAP теперь возможна по отдельным подразделениям, что делает контроль доступа к данным быстрым и удобным.

Реализована доменная авторизация пользователей в систему «Гарда БД». С помощью тонкой настройки прав пользователей открывается возможность разграничения доступа к данным политик безопасности, то есть можно указывать, данные каких политик может просматривать каждый пользователь или данные с каких анализаторов, – таким образом, пользователь может смотреть только данные своего региона.

В очередной версии «Гарды БД» появилась функция контроля неявных обращений к базам данных через синонимы, представления или функции. Это позволяет сотрудникам по информационной безопасности оперативно перехватывать подозрительные запросы и предотвращать утечки информации, даже в том случае, когда обращение к таблицам с критичными данными происходило через вызов вспомогательных процедур.

«Гарда БД» автоматически находит базы данных в сети компании, независимо от ее территориальной распределенности, с возможностью сканирования их на наличие критичной информации и уязвимостей. Вся информация по филиалам собирается в едином центре в виде многоуровневых отчетов и доступна сотрудникам службы безопасности в режиме реального времени.

В соответствии с требованиями стандарта PCI DSS расширена возможность маскирования данных, в результате чего происходит замена реальных данных символами, это позволяет повысить защиту данных даже в рамках самого предприятия.

Внедрение сетевого экрана позволяет реализовать полноценную систему разграничения прав доступа к базам данных, блокировать подозрительную активность и предотвращать хищение информации. Хранилище данных «Гарда БД» может быть реализовано в виде отказоустойчивого кластера. С помощью технологии VRRP – сетевого протокола для увеличения доступности маршрутизаторов, или внешнего балансировщика, появляется возможность замещения узлов пользовательских запросов. Если один из узлов вышел из строя, запрос перенаправляется на второй.

«Гарда БД» становится ежедневным инструментом для оперативной работы специалистов службы безопасности: выявляет вредоносную активность в сетевом трафике, проводит расследования с последующим устранением инцидентов и создает политики безопасности для исключения их повторения.

По словам представителей компании, в результате обновления расширились возможности АПК «Гарда БД» в реализации распределенных систем, выявлении подозрительной активности пользователей, а также проактивной защиты баз данных.

2017: Модуль поведенческой аналитики для расследования ИБ-инцидентов

В октябре 2017 года вышла очередная версия системы защиты баз данных «Гарда БД» от МФИ Софт. Комплекс оснащен модулем поведенческой аналитики для расследования и предотвращения инцидентов безопасности.

Решение представляет собой аппаратно-программный комплекс для аудита сетевого доступа к базам данных и веб-приложениям. Система непрерывно контролирует легитимность доступа всех пользователей к базам данных, включая привилегированных, выявляет подозрительную активность и информирует об инцидентах в режиме реального времени.

Ровно год назад произошла кардинальная смена архитектуры системы. В основе комплекса — производительная платформа с возможностью тотального хранения всего трафика запросов и ответов к базам данных и веб-серверам. За год система приобрела целый ряд обновлений, которые делают работу служб безопасности результативной в вопросах детальной аналитики, предотвращении внутреннего фрода и расследовании инцидентов.

Основные изменения

  • В обновленной версии «Гарда БД» появилась ключевая функция — поведенческая аналитика, которая позволяет выявить возможные утечки ценной информации еще до их совершения по анализу поведения пользователей.
  • Расширился и перечень контролируемых СУБД, к Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, IBM Netezza, Sybase ASE, IBM DB2 и Линтер в обновленной версии «Гарда БД» добавились Firebird, Interbase.
  • Оповещения, тестовые уведомления и детальные отчеты по политикам приходят на электронную почту в реальном времени, при этом интеграция с почтовыми серверами возможна без авторизации.
  • Добавлена также функция декодирования офисных документов, которая обеспечивает защиту на уровне веб-приложений, где сформированные отчеты или клиентские данные передаются в виде офисных документов.
  • Поиск по большим неструктурированным объемам данных происходит за считанные секунды и дополнен возможностью фильтрации запросов по их размеру. Аппаратно-программный комплекс интегрируется с SIEM и теперь поддерживает формат LEEF при экспорте информации.
  • «Гарда БД» автоматически находит новые базы данных в сети компании и сканирует их на наличие критичной информации и уязвимостей. Обновленная система адаптирована под компании любого масштаба вне зависимости от их территориальной распределённости.

«
В этом году мы реализовали важную задачу для защиты баз данных и веб-приложений. Динамическое профилирование – модуль для выявления аномалий по автоматически построенным профилям пользователей. «Гарда БД» собирает информацию обо всех пользователях баз данных и веб-приложений в автоматическом режиме еще до того, как закончится период обучения, и если инцидент происходит сразу после внедрения, информация о нем уже будет в архиве событий. Благодаря контентному анализу профиль пользователя строится не только по статистической модели, но и по доступу к определенным типам данных. Все это позволяет проводить расследования и строить проактивную систему информационной безопасности в компании, выявлять инциденты еще до их совершения, — рассказал Сергей Добрушский, руководитель направления защиты баз данных, МФИ Софт.
»

2016

Система защиты баз данных «Гарда БД 4.0»

В октябре 2016 года российский вендор систем информационной безопасности «МФИ Софт» анонсировал выпуск версии системы защиты баз данных «Гарда БД 4.0».

Гарда БД 4.0 (2016)

Решение представляет собой аппаратно-программный комплекс для аудита сетевого доступа к базам данных и веб-приложениям. Система в автоматическом режиме контролирует правомочность доступа всех пользователей к базам данных, выявляет подозрительную активность и факты нарушения политик безопасности.

Первая версия системы «Гарда БД» появилась в 2006 году. В ее основу заложен многолетний опыт в области анализа сетевого трафика и информационной безопасности. Однако версия системы «Гарда БД» – это не просто обновление, а кардинальная смена архитектуры в соответствии с современными стандартами производительности и дизайна. В версии «Гарда БД» контролирует еще больший спектр актуальных СУБДOracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, IBM Netezza, Sybase ASE, IBM DB2 и Линтер. Помимо этого, сделан упор на контроль бизнес-приложений с веб-интерфейсом, например CRM, автоматизированные банковские системы (АБС) или системы документооборота.

Сердцем системы стала производительная платформа с возможностью хранения всего трафика запросов и ответов к базам данных и веб-серверам. Это вывело аналитические возможности решения на новый уровень – пользователям доступны не только статистические данные, но и инструменты расследования инцидентов, например, выявление аномальных событий по 70 предустановленным шаблонам и автоматическое выявления попыток больших выгрузок и атак по подбору учетных записей или названий таблиц.

Логика «Гарды БД» основана на анализе больших объемов неструктурированной информации о работе всех баз данных компании. Благодаря этому поиск по всему архиву, включая ответы на запросы, происходит за секунды, – это особенно важно при проведении ретроспективного анализа и расследовании инцидентов информационной безопасности.

«Гарда БД» автоматически находит базы данных в сети компании и сканирует их на наличие критичной информации. Функция сканирования на уязвимости определяет не заблокированные учетные записи несуществующих пользователей, простые пароли или неустановленные патчи. Интеграция с любыми SIEM-системами и LDAP расширяет возможности анализа событий безопасности по новым срезам. Гибкая архитектура адаптирована под организации любого масштаба вне зависимости от территориальной распределённости и количества защищаемых объектов.

Система защиты баз данных в реестре отечественного ПО

В сентябре 2016 года система защиты баз данных «Гарда БД» российского вендора «МФИ Софт» официально вошла в Единый реестр российских программ для электронных вычислительных машин и баз данных.

СУБД на базе Netezza теперь под защитой «Гарды БД»

Летом 2016 года «МФИ Софт» объявил о поддержке СУБД IBM Netezza в специализированной системе защиты баз данных «Гарда БД». Кроме IBM Nettezza система «Гарда БД» поддерживает такие СУБД, как Oracle, Microsoft SQL, PostgreSQL, MySQL, Teradata, Sybase ASE, Линтер.

2015

Вышел релиз версии «Гарда БД»

5 июня 2015 года «МФИ Софт» сообщила о выпуске следующей версии интеллектуальной системы защиты баз данных «Гарда БД».

Новые возможности продукта повышают эффективность защиты персональных данных и другой информации, а также защищают СУБД от попыток внешнего вторжения.

Модернизированная система помогает находить в сети неконтролируемые базы данных, о существовании которых службе безопасности может быть неизвестно, классифицировать их и ставить на автоматический контроль по выбранным политикам безопасности.

Созданы программные механизмы выявления аномальной активности пользователей, формально не превышающих своих прав доступа: обращения к полям данных, нехарактерные для пользователя или подозрительно большие объемы выгрузки. Для защиты баз данных от действий администраторов, система контролирует действия пользователей непосредственно на сервере базы данных. Технологии анализа легитимности обращений к СУБД помогут своевременно выявить попытки внедрения SQL-кода.

В этом релизе добавлена возможность автоматического формирования политик безопасности на основе результатов анализа содержимого баз данных.

Полнотекстовый поиск по архиву перехваченной информации дает возможность ретроспективного анализа инцидентов и выявления причин аномалий. Для более точного результата поиска оптимизирована система фильтрации и добавлена возможность поиска по содержимому запросов и ответов к базам данных.

Продукт получила возможность интеграции с SIEM-системами для комплексного управления информационной безопасностью предприятия.

Расширен список контролируемых типов баз данных: разработчики адаптировали решение для работы с Sybase.

Группа решений для защиты информации "Гарда" сертифицированы ФСТЭК России

Российская инновационная компания «МФИ Софт» получила сертификаты ФСТЭК на группу решений для защиты информации «Гарда». В результате сертификационных испытаний получено подтверждение, что программные средства защиты от несанкционированного доступа к информации «Гарда Предприятие» и «Гарда БД» соответствуют требованиям РД ФСТЭК, по 4 уровню контроля отсутствия недекларированных возможностей и могут использоваться для защиты информации в автоматизированных системах до класса защищенности 1Г включительно и в ИСПДн всех уровней защищенности.

Сертификация решений «МФИ Софт» в соответствии с руководящими документами ФСТЭК России подтверждает высокий уровень надежности и дает возможность внедрять безопасные информационные решения в организации, где возможно использование только сертифицированных продуктов (в частности, в органах государственной власти).

2013: Гарда БД 3.2.

2 декабря 2013 года компания «МФИ Софт» сообщила о выпуске новой версии системы защиты баз данных – АПК «Гарда БД» 3.2.

Новый механизм хранения данных, расширенные возможности мониторинга и упрощенная процедура формирования списка критериев позволяют полностью перевернуть представление ИБ-специалистов об удобстве контроля больших объемов данных.


Новшества

В обновленной версии решения реализован новый механизм хранения данных, который позволил заметно увеличить скорость записи и существенно сэкономить место на жестких дисках. Скорость обработки данных в «Гарда БД» по-прежнему остается одной из самых высоких на рынке систем защиты. Кроме этого, новый механизм быстрого поиска позволил десятикратно увеличить скорость поиска по свойствам перехваченных объектов (запросов в базы данных) и по ответам базы данных.

В новой версии системы действует механизм определения шифрованных соединений, осуществления поиска и перехвата инцидентов по ключевым словам в запросах и ответах. Процедура формирования списка критериев упростилась – теперь их можно формировать по уже заданным в базах данных параметрам благодаря возможности получать доступ к контролируемым базам данных непосредственно из интерфейса системы «Гарда БД».

Новая версия системы может стать полезной компаниям, чей бизнес связан с обслуживанием клиентов через Интернет. В «Гарда БД» появился функционал мониторинга действий пользователей, осуществляющих соединения с базами данных через web-интерфейс по протоколу http (пользователи интернет-банков, личных кабинетов и т.п.).

Помимо этого, разработчики реализовали несколько типов визуализации графических отчетов и механизм циклической перезаписи данных, который обеспечивает автономную работоспособность комплекса без вмешательства администратора системы.

Примечания