NDR и DBF: как остановить тихую эксфильтрацию данных из баз
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Тихая эксфильтрация данных - один из самых коварных типов утечек: она маскируется под легитимную активность и часто остаётся незамеченной. В статье разберём, почему традиционные средства защиты не справляются с этой угрозой и как связка технологий NDR (Network Detection and Response) и DBF (Database Firewall) помогает выявлять и блокировать такие инциденты.
В чём опасность тихой эксфильтрации
Главная особенность тихой утечки - её «невидимость». Нет резких всплесков трафика, нет подозрительных SQL‑конструкций: злоумышленник использует обычные SELECT‑запросы, легитимные учётные записи и зашифрованный трафик. Для средств защиты такая активность выглядит как штатная работа.
Распространённые сценарии тихой эксфильтрации:
Компрометация приложения. Злоумышленник не создаёт новую учётную запись, а эксплуатирует пул соединений самого приложения. С точки зрения базы данных запросы остаются легитимными.
Взлом учётной записи привилегированного пользователя. Доступ получают через учётные данные разработчика, администратора или сервисного пользователя и выгружают данные небольшими порциями.
Постепенная выгрузка внутренним пользователем. Данные забирают не одним массивом, а в течение длительного времени, в неудобное для детекта время.
Полуавтоматические и технические процессы. Скрипты, интеграции и временные выгрузки, которые со временем становятся каналом утечки. Часто здесь вообще нет «классического» злоумышленника - есть плохо контролируемый процесс.
Почему отдельные СЗИ не видят угрозу
Каждый класс средств защиты решает свою задачу, но видит только часть картины:
NDR отлично отслеживает сетевую активность, фиксирует нетипичные соединения и аномалии трафика, но слабо интерпретирует смысл SQL‑запросов.
DBF глубоко анализирует операции внутри СУБД: видит, какие таблицы читают, кто и с какими правами это делает. Однако DBF не контролирует, что происходит с данными после их выхода из базы.
SIEM без заранее настроенной логики корреляции не собирает разрозненные сигналы (нетипичный IP, доступ к чувствительной таблице и т. п.) в единую картину инцидента.
В результате утечка происходит «между» средствами защиты: каждый инструмент работает корректно, но не закрывает слепые зоны других.
Как связка NDR и DBF закрывает слепые зоны
Ключевое преимущество интеграции NDR и DBF - совмещение сетевого и прикладного контекста. Алгоритм выглядит так:
NDR выявляет подозрительный сетевой источник (нетипичное поведение хоста, отклонения от baseline, аномальные соединения).
Данные о подозрительном источнике передаются в DBF. Теперь SQL‑запросы, которые ранее выглядели легитимными, анализируются с учётом сетевого контекста.
Формируется единая картина инцидента. Связываются сетевой индикатор и SQL‑активность: становится понятно, откуда пришёл запрос, какие данные читали, как долго это длилось и куда ушли данные.
Такой подход позволяет превратить отдельные сигналы в полноценный вектор атаки и существенно сократить время обнаружения утечки за счёт поведенческих моделей.
Блокировка: риски и зрелость процессов
На первый взгляд, логичное решение - заблокировать подозрительную активность. На практике это один из самых сложных шагов.
Основная причина осторожности - риск остановки бизнес‑процессов. Блокировка на уровне базы данных может привести к сбоям приложений, невозможности сформировать отчёты или падению сервиса. В таких случаях ИБ‑команда предпочитает сначала собрать больше данных и убедиться, что это не ложное срабатывание.
Однако именно эта пауза играет на руку злоумышленнику: при тихой эксфильтрации данные продолжают уходить. Решение о блокировке зависит от зрелости процессов ИБ и уровня доверия к аналитике. Чем полнее система видит контекст, тем безопаснее автоматические реакции.
От детекта к активному противодействию
Связка NDR и DBF не только улучшает обнаружение, но и расширяет возможности реагирования:
Ускорение реакции. Системы могут взаимодействовать напрямую: если NDR уверен в компрометации источника, DBF реагирует практически сразу, без промежуточных этапов.
Работа с содержимым данных. При выявлении злонамеренной выгрузки можно маркировать данные, добавлять скрытые идентификаторы и отслеживать утекшие копии.
Интеграция с Deception и маскированием. Подозрительный хост, пользователь или приложение могут быть незаметно перенаправлены в обезличенную среду. Это позволяет контролировать поведение злоумышленника и полностью исключить риск утечки реальных данных.
Такой подход соответствует концепции XDR: системы сами агрегируют телеметрию, принимают локальные решения и передают во внешнюю среду уже готовые инциденты, а не сырые логи.
Значение для расследования и доказательной базы
Даже если эксфильтрацию не удалось остановить на ранней стадии, связка NDR и DBF радикально улучшает качество расследования. NDR сохраняет сырые сетевые потоки и фиксирует все инциденты, что позволяет полностью реконструировать цепочку атаки.
Важно, что DBF и NDR выступают не просто как источники логов, а как активные участники расследования. Это даёт возможность аргументированно доказать злонамеренность действий, а не просто зафиксировать подозрительную активность.
Вывод
Тихая эксфильтрация - это не следствие «плохих людей» или единичных уязвимостей, а результат инерционности инфраструктуры и восприятия данных как статичного ресурса. Защита должна учитывать динамику и контекст: кто, зачем и в каком окружении работает с данными, и что происходит после их выхода за пределы исходного контура.
Связка NDR и DBF - не «серебряная пуля», но эффективный способ закрыть слепые зоны, которые отдельные средства защиты закрыть не могут. Чем раньше такая интеграция становится частью архитектуры безопасности (а не разовым решением под конкретный кейс), тем меньше шансов у эксфильтрации оставаться «тихой».




