一、數(shù)據(jù)安全的核心隨著《數(shù)據(jù)安全法》草案的審議通過,,數(shù)據(jù)安全被提升到了國家安全級別的重要地位,,數(shù)據(jù)變成如同水電一般重要的生產(chǎn)要素。保障數(shù)據(jù)安全發(fā)展和利用,,是各個生產(chǎn)部門,,監(jiān)管單位的重要責任。數(shù)據(jù)安全能力建設也緊緊圍繞著數(shù)據(jù)這一關鍵要素的生存周期來展開,,以此理念而誕生的DSMM框架逐漸成為主流建設規(guī)范,。數(shù)據(jù)庫作為數(shù)據(jù)的核心載體,,其安全防護是重中之重,而數(shù)據(jù)庫審計則是數(shù)據(jù)庫安全防御體系的重要組成部分,。本文將嘗試從“以數(shù)據(jù)為中心”的角度來重新梳理數(shù)據(jù)庫審計的技術進化方向。 二,、數(shù)據(jù)庫審計的重要性數(shù)據(jù)庫審計在gartner咨詢機構2019年發(fā)布的安全產(chǎn)品超生存周期圖譜中,,與數(shù)據(jù)庫加密等產(chǎn)品一起劃到了成熟期產(chǎn)品里。作為一款指向性很強,,基本不太容易走偏的安全產(chǎn)品,,其發(fā)展路程經(jīng)歷了數(shù)據(jù)庫日志審計、數(shù)據(jù)庫流量審計,、數(shù)據(jù)庫業(yè)務審計與防護等多個階段,。在數(shù)據(jù)庫安全防御矩陣中起到了核心角色作用,也是等保合規(guī)建設中的“基本款”,。 三,、數(shù)據(jù)庫審計的不足數(shù)據(jù)庫審計發(fā)展成熟,其作為單品已經(jīng)完備而且基本滿足客戶需求,,就如同20世紀初湯姆生說的,,物理大廈已經(jīng)建成,天空一片晴朗,,只有那兩朵烏云遮罩,。在這兩年的數(shù)據(jù)安全新的發(fā)展形勢下,這兩朵烏云逐漸放大,、彌漫,,我們從業(yè)人員已經(jīng)不得不對其保持高度重視態(tài)度。 1,、重行為,,輕數(shù)據(jù)的審計思路傳統(tǒng)的數(shù)據(jù)庫審計注重上行流量審計,關注用戶做什么,,怎么做,。這不止是安全企業(yè)的實現(xiàn)思路問題,相關安全審計國標要求里也是大篇幅描述操作行為審計,。在傳統(tǒng)的網(wǎng)絡安全中,,注重操作的合規(guī)性,這可以理解,,但是這一側重點違背了以數(shù)據(jù)為中心的核心理念,。我們以一個小偷入室偷竊為例子,備案重點記錄小偷是否入室,,用的什么工具,,何時何地作案等行為,,然后才關注小偷的作案金額數(shù)量。如果基于數(shù)據(jù)安全的理念,,備案應優(yōu)先重點關注家里的物品是否損失,,包括偷看,偷摸,,偷盜,,銷毀等造成個人財產(chǎn)損失的資產(chǎn)信息。這種理念的差異會導致案情界定的不一致,。對于數(shù)據(jù)庫操作來說也是一樣的,,數(shù)據(jù)庫審計可以輕易判斷sql語句是否有危害,但是針對同一個操作語句,,比如 “select * from AA,;”,卻缺乏判斷依據(jù),,其本身從行為上看對數(shù)據(jù)庫無害,,但如果AA是存儲用戶賬號的表,那么執(zhí)行這條語句就可能會引發(fā)一起敏感數(shù)據(jù)泄漏事故,。所以必須依靠查詢的表對象和字段列表來判斷,,而這個偏業(yè)務的信息靠人工梳理,效率低且難以實現(xiàn),。在這種輕數(shù)據(jù)的設計思路下,,難以發(fā)揮出數(shù)據(jù)庫審計最佳的效果。 2,、業(yè)務審計,,只是三層關聯(lián)怎么夠目前各家產(chǎn)品都實現(xiàn)了業(yè)務審計。所謂業(yè)務審計主要靠三層關聯(lián)審計,,從人-應用-數(shù)據(jù)庫這三層的訪問鏈路關聯(lián)來進一步定位源訪問信息,。三層審計主要實現(xiàn)思路包括兩大類。一種是基于web流量和數(shù)據(jù)庫流量,,從操作語句特征,、訪問時間戳等維度進行擬合。這種方式在并發(fā)量高的時候準確度低下,,基本無法匹配上,。另一種是基于agent方式,利用JAVA的特性,,hook底層jdbc訪問層,,實現(xiàn)web信息和數(shù)據(jù)庫信息的自動關聯(lián)。通過將數(shù)據(jù)日志傳輸?shù)綌?shù)據(jù)庫審計系統(tǒng)統(tǒng)一存儲和展示,。這種實現(xiàn)方式精度高,,基本無誤報漏報,,對于業(yè)務方也無需做網(wǎng)絡改造和業(yè)務改造。但是需要在應用系統(tǒng)加載插件,,共享一個進程,,會帶來一定的性能損耗和穩(wěn)定性風險。用戶對這一方法的接受度也不太高,。所以目前雖然說三層關聯(lián),,但是真正落地產(chǎn)生價值的并不多。  編輯 三,、數(shù)據(jù)庫審計新技術思路通過以上分析,我們總結了一些技術點,,在數(shù)據(jù)安全時代,,可以讓數(shù)據(jù)庫審計發(fā)揮更大的價值。
數(shù)據(jù)庫審計下行流量帶有大量的敏感信息,。充分利用數(shù)據(jù)分類分級管理成果,,建立一套成熟有效的更新機制,對訪問敏感的數(shù)據(jù)庫表,、字段進行重點審計,。建立一套依賴于AI能力的數(shù)據(jù)基線,從用戶賬號,、獲取敏感數(shù)據(jù)量,、執(zhí)行時間段、流量等各個維度綜合判斷異常,。由于現(xiàn)實中,,存儲能力有限,應該根據(jù)分類分級的字段列表,,選擇性的存儲關鍵表,、關鍵字段。
業(yè)務關聯(lián)有利于提升整體的審計價值,,追溯定位到真正的人,。如前所述,兩種主流實現(xiàn)方式都有自己的弊端,。如果我們從數(shù)據(jù)自身出發(fā),,不再追求操作行為的一致性,那么問題似乎會好解決一些,。比如:用戶通過瀏覽器發(fā)起一個請求,,返回了一串手機號列表,同時后臺數(shù)據(jù)庫也發(fā)生了一起查詢事件,,返回了一串手機號列表,。通過判斷二者數(shù)據(jù)的強關聯(lián)性,,自動將訪問信息和數(shù)據(jù)庫操作行為關聯(lián)綁定,盡管二者在內部業(yè)務實現(xiàn)邏輯上是不一致的,。不斷的從二者返回數(shù)據(jù)中進行模式匹配,,不再基于時間戳和訪問特征的擬合,準確率會大大提高,,真正的做到業(yè)務關聯(lián)審計,。
不管是自建大數(shù)據(jù)分析引擎、引入UEBA技術理念,,進行用戶行為分析,,刻畫用戶畫像還是將數(shù)據(jù)轉發(fā)給第三方大數(shù)據(jù)分析平臺,自身退化成流量探針,,對于數(shù)據(jù)庫審計來說,,審計結果展示和利用智能化都不可避免。隨著審計數(shù)據(jù)量的暴漲,,傳統(tǒng)的存儲引擎不再適用,,大數(shù)據(jù)分布式存儲引擎正在大規(guī)模的引入。在數(shù)據(jù)安全背景下,,數(shù)據(jù)庫審計探針化,、SDK化幾乎不可避免。 四,、總結數(shù)據(jù)庫審計是一個成熟化很高的產(chǎn)品,,短期內看不到具有挑戰(zhàn)性的發(fā)展路線圖。在數(shù)據(jù)安全治理背景下,,需要主動適應,,做一些改變,才能更好的發(fā)揮數(shù)據(jù)庫安全價值,。
 編輯
|
|
|
來自: 昵稱65231363 > 《待分類》
