Выявление инсайдерских угроз и компрометации учетных записей при доступе к базам данных

Согласно данным игроков рынка и регулятора*, только за первые полгода 2025 года зарегистрировано свыше 150 случаев утечек баз данных, что существенно превышает показатели предыдущих периодов. И даже при том, что речь идёт об исследованиях лишь нескольких организаций, имеющих разную методологию и ограничения по выборке, такая «беспощадная» статистика подчёркивает экспоненциальный рост угроз, независимо от типа инфраструктуры, в которой они фиксируются – будь то инфраструктура заказчика или облачные платформы.

Утечки из баз данных происходят преимущественно через два канала: скомпрометированные учетные записи и действия инсайдеров – сотрудников компании, которые могут как действовать от имени своей учетной записи, так и пытаться скомпрометировать учетную запись коллеги, чтобы получить заветный доступ и остаться незамеченными. При этом методы компрометации варьируются от наиболее распространённого – фишинга и социальной инженерии – до сложных, таргетированных атак, продолжительных и распределённых по времени.

Современный арсенал средств защиты от несанкционированного доступа к данным включает множество инструментов, основные из которых DLP, DCAP, DAG, DBF и IDM, ориентированные на отслеживание перемещений информации внутри периметра и трансграничных потоков с использованием сигнатур, правил и условий. Они эффективны для обнаружения и блокировки явных эксфильтраций, однако не так действенны в выявлении ранних стадий компрометации, реагируя преимущественно либо в момент нарушения, либо постфактум – во время расследований свершившихся событий ИБ, либо уже после утечки. Кроме того, анализ данных от таких средств требует от ИБ-специалиста глубокой погруженности в бизнес-контекст компании для различения нормальных и аномальных событий. Ситуация усугубляется, когда в инфраструктуре есть легаси-системы, базы или проприетарное ПО вендоров, ушедших с рынка РФ.

В отдельную группу средств защиты входят системы UEBA, реализующие поведенческий анализ – от сигнатурных корреляций до поведенческого профилирования. Такие инструменты превосходят традиционные по способности детектировать инсайдерскую активность и компрометацию, однако существенно различаются по глубине: часть решений выполняет углубленный анализ за счёт сложных правил корреляции и условий, а часть оценивает лишь параметры поведения, не рассматривая при этом контекст.

Все перечисленные средства, несмотря на кажущееся богатство выбора, при этом не решают главной проблемы: статистика по утечкам неуклонно «ползет» вверх, а значит, имеющегося на сегодняшний день инструментария защиты недостаточно.

Разработанное в нашей компании собственное, альтернативное решение, аналитическая платформа Dataplan, предназначено специально для поиска скрытых угроз и аномалий и их выявления на ранней стадии. Платформа использует следующую логику: для того, чтобы предотвратить утечки, необходимо не просто контролировать вход и выход пользователей, а понимать, как именно они работают в БД.

Пользователи взаимодействуют с БД через SQL-запросы, поэтому на первом этапе Dataplan проводит их анализ. Делается это с помощью специализированных библиотек парсинга, и такой выбор инструмента не случаен. Мы протестировали в действии LLM различных масштабов и разные библиотеки и увидели, что LLM дают высокое качество распознавания, но требуют больших вычислительных мощностей и GPU для получения хоть сколько-то оперативного результата на большой выборке данных. При этом библиотеки парсинга обеспечивают баланс между высокой производительностью на больших объёмах без огромных ресурсов и необходимой точностью анализа – пусть меньшей, чем у LLM, но тем не менее достаточной, чтобы выделить нужную для дальнейшего изучения информацию.

Следующий этап, предусмотренный платформой, это мониторинг количественных и качественных характеристик доступа, запросов, а также виды операций. В ходе такого мониторинга анализируются:

Аналитическая платформа Dataplan объединяет инструменты, необходимые для сбора, хранения и анализа данных, а также средства визуализации. Данные в Dataplan подаются двумя способами: если настроено логирование действий пользователей с БД, то сведения о них легко перенаправляются в платформу, далее выполняется поведенческое профилирование, риск-скоринг, готовится статистическая отчётность. Если же логирование не предусмотрено, то снимается трафик к/от БД, формируется телеметрия, в том числе, с SQL, а затем данные передаются в аналитическое ядро. Отметим, что в определённых случаях второй вариант демонстрирует большую эффективность, так как позволяет увидеть происходящее в БД вне зависимости от подключения и настроек логирования.

Получив данные, платформа проводит их анализ. Выполняется парсинг запросов и ответов, результаты при необходимости обогащаются информацией из справочников и выдаются пользователю в понятном и удобном виде. Сведения по найденным отклонениям доступны в интерфейсе для расследований, а также могут быть переданы в виде отчётов на почту или в виде CEF-сообщений во внешние системы, такие как SIEM или SOAR. На основе полученных результатов специалист по ИБ может более детально и целенаправленно исследовать отдельные объекты с помощью традиционных СЗ от НСД, например, DLP, обращая большее внимание на сотрудников с наибольшими рисками или же тех, в поведении которых зафиксированы аномальные изменения по одному или нескольким критичным параметрам.

Как показывает практика нашей компании, Dataplan демонстрирует наилучшую эффективность в организациях с больше, чем 1000 пользователями и разветвленной инфраструктурой прав доступа, а также в изолированных контурах, где требуется полностью автономное решение. Например, в одном из наших кейсов компания-заказчик из госсектора, работающая в изолированном контуре, неоднократно получала информацию об утечках, но службе ИБ не удавалось выявить нарушителя. Инфраструктура организации включала несколько десятков БД, множество прикладных систем, а доступ к ней имели несколько тысяч пользователей со всей страны. Физически инфраструктура размещалась в ЦОД и управлялась одной СУБД, логирование в которой было отключено из-за исчерпанных вычислительных мощностей. Подключение Dataplan через анализатор сетевого трафика к/от этой СУБД позволило выявить недекларированные БД, таблицы и учетные записи, через которые осуществлялся несанкционированный вывод данных.

В ходе ещё одного кейса применения платформы Dataplan, в компании из сегмента электронной коммерции, также удалось обнаружить каналы утечек и нарушителей. В данном случае критическая информация хранилась в BI, CRM и веб-приложениях, однако от внедрения DLP по разным причинам было решено отказаться. Компания настроила логирование, однако не хватало компетенций и времени на анализ полученных событий. Применение Dataplan показало, что утечки происходили в формате низкочастотной эксфильтации: несколько сотрудников на регулярной основе «выкачивали» небольшие объёмы данных, которые в сумме складывались в значимый массив информации. Обнаружить такую схему помогли анализ поведения группы «подозрительных» пользователей в сравнении с поведением их коллег, а также выявление повторяющейся структуры запросов.

*2023 г - 133 публикации значимых БД (данные Kasperky Digital Footprint Intelligence), 2024 г. - 135 утечек БД (данные Роскомнадзора), январь - июнь 2025 г. - 154 новых публикаций БД (данные F6).