Étant donné que les bases de données stockent les précieux actifs numériques et les secrets d'entreprise des entreprises, elles sont actuellement la cible de nombreux vecteurs de cyberattaques. Comment les outils de surveillance de l'activité de la base de données (DAM) peuvent-ils aider à éviter ces menaces ? Quels sont les liens entre le DAM et les systèmes de prévention des pertes de données (DLP) ? Le DAM a-t-il besoin d'un analyse du comportement des utilisateurs (UBA) ? Quel est le rôle de l'apprentissage automatique dans la surveillance de l'activité de la base de données ? Cet article apportera les réponses.
Comment fonctionnent les solutions DAM ?
Il est de notoriété publique que acteurs malveillants considérez les bases de données d'entreprise comme des cibles juteuses. Par conséquent, les protéger contre les intrus devrait être une priorité pour les entreprises. D'autre part, la surveillance des actions des administrateurs est également une tâche importante. La première étape de la construction de ces défenses consiste à comprendre comment les utilisateurs, les administrateurs ou les applications interagissent avec une base de données. Cela vous donnera un aperçu de ce qui est normal et de ce qui pourrait être un signe d'activité non autorisée.
Superviser les utilisateurs privilégiés tels que système de gestion de base de données (SGBD), contrôler l'accès aux données critiques de l'entreprise et assurer la conformité aux exigences réglementaires sont les principaux scénarios d'utilisation du DAM. Alors que les lois sur la confidentialité deviennent plus rigides, un nombre croissant d'entreprises achètent des systèmes DAM pour contrecarrer les fuites de données.
Le DAM est également un outil indispensable dans le e-commerce. Le maintien de journaux dans un système de gestion de la relation client (CRM), qui conserve un enregistrement de toutes les ventes, peut affecter gravement ses performances. De plus, cette approche permet uniquement aux entreprises de suivre les changements dans une base de données sans fournir de surveillance approfondie. DAM va encore plus loin en enregistrant toutes les actions des utilisateurs, y compris les vues d'informations confidentielles.
La fonctionnalité des solutions modernes de surveillance de l'activité des bases de données va au-delà du concept original de tels systèmes. Par exemple, le contrôle d'accès étendu est l'une des fonctionnalités apparues au cours de l'évolution du DAM, vous permettant de savoir qui a consulté des données spécifiques. Dans la plupart des cas, l'utilisation et la maintenance de ces outils relèvent de la responsabilité de l'équipe de sécurité de l'information (InfoSec) d'une entreprise. Ces tâches peuvent également être sous-traitées au service informatique, les spécialistes InfoSec exerçant une fonction de supervision.
Le DAM est également un instrument incroyablement utile pour suivre les exigences réglementaires concernant la sécurité des données, bien qu'aucune loi ne précise qu'une organisation doit acheter des outils complémentaires à cette fin. Les fonctionnalités d'audit et de journalisation intégrées à la plupart des packages de SGBD peuvent suffire à relever les défis définis par les régulateurs, mais avec moins de commodité. Pour convaincre les propriétaires d'entreprise d'acheter des solutions DAM autonomes, les fournisseurs doivent énumérer des arguments supplémentaires en faveur d'une telle décision - par exemple, la charge accrue sur une base de données lorsque ses contrôles natifs sont utilisés.
Différents fournisseurs de DAM utilisent différentes approches pour définir les métriques clés qui influencent le coût d'une solution prête à l'emploi. Pour certains fournisseurs, le paramètre de base est le nombre de serveurs ou de cœurs de base de données ; pour d'autres, c'est le montant du trafic traité et le nombre de transactions. De plus, le client peut acheter des modules supplémentaires qui étendent les fonctionnalités du système. Un modèle d'abonnement avec des paiements annuels ou mensuels est le mécanisme de licence le plus courant à ce stade.
Fonctionnalités DAM
Avant de nous attarder sur les fonctionnalités des solutions DAM, abordons la manière dont elles interagissent avec les bases de données fournies avec leurs propres outils d'audit d'accès. Certains développeurs ont une attitude négative envers l'interférence des systèmes de surveillance d'activité tiers, pensant qu'ils utilisent des méthodes illégitimes de travail avec des bases de données.
D'autre part, la fonctionnalité des outils natifs n'est pas toujours suffisante pour résoudre les tâches des clients. De plus, la falsification des contrôles intégrés ne devrait pas poser de problème car de nombreux systèmes DAM utilisent la méthode Switched Port Analyzer (SPAN), également connue sous le nom de mise en miroir de ports, pour inspecter le trafic sans référence au noyau.
Les systèmes de surveillance de l'activité des bases de données ont-ils besoin de fonctionnalités d'analyse du comportement des utilisateurs ? Il n'y a pas de réponse unique ici. Certains fournisseurs incluent des modules UBA dans leurs produits, tandis que d'autres estiment que ces systèmes doivent être mis en œuvre en tant qu'outils distincts. L'un des avantages de l'utilisation d'un système distinct est la nécessité d'analyser le comportement des utilisateurs en fonction de toutes les actions, et pas seulement de leur travail avec la base de données.
En ce qui concerne le rôle de la surveillance de l'activité de la base de données dans le cadre d'accès Zero Trust, il convient de noter que ce dernier s'étend sur plusieurs couches : réseau, infrastructure, utilisateurs et données. Les systèmes DAM fournissent une application granulaire des politiques de sécurité concernant l'accès à la base de données et surveillent les sessions ouvertes. Cela dit, le DAM n'est pas un élément obligatoire de Zero Trust, mais c'est sans aucun doute un outil efficace et pratique pour mettre ce concept en pratique.
Un système DAM doit-il traiter toutes les requêtes au moyen d'un agent logiciel, ou est-il plus raisonnable d'utiliser uniquement le mécanisme SPAN mentionné ci-dessus pour l'analyse du trafic sans interférer avec le fonctionnement de la base de données ? Il y a différentes opinions. D'une part, l'utilisation d'agents vous permet de surveiller activement et de réagir aux événements. D'autre part, de nombreuses entreprises sont sceptiques quant à l'intervention de tiers dans leurs processus métier et limitent l'utilisation du DAM à la journalisation uniquement.
Bonnes pratiques de déploiement DAM
Un projet de déploiement DAM typique peut durer d'un mois à plusieurs années. Au cours de ce processus, vous devez analyser vos actifs de données, les catégoriser et les hiérarchiser, effectuer une évaluation des risques et établir des techniques de surveillance et de réponse appropriées.
La mise en œuvre de la surveillance de l'activité de la base de données ne se limite généralement pas au déploiement et à la configuration d'un seul système. Cela peut inclure une grande partie de la consultation et de la livraison d'autres outils et données de sécurité, tels que renseignements sur les menaces du dark web. Dans l'ensemble, vous devez élaborer une stratégie complète de protection des données. Cependant, si le seul but est de se conformer aux exigences réglementaires, il faut moins de temps et d'efforts pour mettre en œuvre de tels projets.
La mise en œuvre du DAM est un processus continu et cyclique. En effet, la gamme des bases de données d'une entreprise moyenne s'élargit au fil du temps, les politiques de sécurité sont améliorées et modifiées et les outils de sécurité obtiennent de nouvelles fonctions.
Il existe plusieurs recommandations pour optimiser les coûts de maintenance d'un système DAM. Dans le cas de solutions matures qui sont sur le marché depuis longtemps, il est plus facile de trouver des administrateurs qualifiés. De plus, les produits bien connus proposent de nombreuses implémentations et cas d'utilisation qui sont largement reflétés dans la documentation. Dans certaines situations, le recours à l'expertise du fournisseur pour résoudre les tâches typiques qui surviennent au cours de l'utilisation du produit peut également réduire le coût d'exploitation.
Arrêter les initiés dans leur élan
L'information étant un atout précieux, un contrôle adéquat des bases de données est l'un des éléments les plus importants de la posture de sécurité de toute entreprise. Une fuite ou une compromission de données entraîne non seulement des répercussions sur la réputation, mais al
donc aux pertes matérielles.
Les systèmes DAM constituent la dernière ligne de défense et peuvent aider les professionnels à identifier le type de cybercriminalité le plus complexe - le menace d'initié. Employés qui transmettent des données à des concurrents, administrateurs qui abusent de privilèges élevés à des fins personnelles ou sous-traitants peu scrupuleux qui ont accès à des dossiers commerciaux exclusifs - le risque peut provenir de l'une ou l'autre de ces parties. DAM est la solution miracle qui prévient ces scénarios. Non seulement il peut enregistrer les actions de chaque utilisateur, mais il fonctionne également de manière proactive et empêche les fuites de se produire.
Tendances et prévisions du marché DAM
Comment les solutions de surveillance de l'activité des bases de données vont-elles évoluer dans les années à venir ? Quelles tendances domineront ce domaine de la sécurité d'entreprise ? Allons au fond de cela.
Une tendance prometteuse est le raffinement de la fonctionnalité UBA de ces systèmes grâce à des méthodes d'apprentissage automatique qui aident à analyser les chaînes d'événements, à établir des modèles d'activité de base et à trouver des écarts par rapport au comportement normal de l'utilisateur. Une autre approche intéressante que certains fournisseurs utilisent déjà consiste à conteneuriser des solutions InfoSec individuelles et à les intégrer au sein d'une plate-forme unique. Cela permet aux organisations de mettre en œuvre rapidement des systèmes complexes avec l'ensemble de fonctions requis.
La croissance constante des volumes de données collectées et stockées par les entreprises a fait émerger le besoin de solutions capables de visualiser les résultats du traitement de ces flux de données. La prochaine grande nouveauté dans ce domaine est l'émergence de bases de données cloud auto-configurables qui peuvent mettre à jour et surveiller leur fonctionnement automatiquement. Par ailleurs, des centres de surveillance basés sur le cloud qui peuvent se connecter aux bases de données déployées des clients existent déjà.
De nos jours, les systèmes DAM ne couvrent que très peu le segment des Bases de données SQL qui sont largement représentés dans les architectures de microservices. Les fournisseurs doivent interpréter cela comme un appel à l'action et adapter leurs fonctionnalités et leurs pratiques de licence à ce domaine. Une autre direction dans le progrès des systèmes de surveillance de bases de données est l'interopérabilité avec les soi-disant entrepôts de données, qui sont de plus en plus populaires parmi les entreprises clientes.
