資料庫審計技術進化
隨著《資料安全法》草案的審議透過,資料安全被提升到了國家安全級別的重要地位,資料變成如同水電一般重要的生產要素。保障資料安全發展和利用,是各個生產部門,監管單位的重要責任。 |
資料安全能力建設也緊緊圍繞著資料這一關鍵要素的生存週期來展開,以此理念而誕生的DSMM框架逐漸成為主流建設規範。資料庫作為資料的核心載體,其安全防護是重中之重,而資料庫審計則是資料庫安全防禦體系的重要組成部分。本文將嘗試從“以資料為中心”的角度來重新梳理資料庫審計的技術進化方向。
資料庫審計在gartner諮詢機構2019年釋出的安全產品超生存週期圖譜中,與資料庫加密等產品一起劃到了成熟期產品裡。作為一款指向性很強,基本不太容易走偏的安全產品,其發展路程經歷了資料庫日誌審計、資料庫流量審計、資料庫業務審計與防護等多個階段。在資料庫安全防禦矩陣中起到了核心角色作用,也是等保合規建設中的“基本款”。
資料庫審計發展成熟,其作為單品已經完備而且基本滿足客戶需求,就如同20世紀初湯姆生說的,物理大廈已經建成,天空一片晴朗,只有那兩朵烏雲遮罩。在這兩年的資料安全新的發展形勢下,這兩朵烏雲逐漸放大、瀰漫,我們從業人員已經不得不對其保持高度重視態度。
傳統的資料庫審計注重上行流量審計,關注使用者做什麼,怎麼做。這不止是安全企業的實現思路問題,相關安全審計國標要求裡也是大篇幅描述操作行為審計。在傳統的網路安全中,注重操作的合規性,這可以理解,但是這一側重點違背了以資料為中心的核心理念。我們以一個小偷入室偷竊為例子,備案重點記錄小偷是否入室,用的什麼工具,何時何地作案等行為,然後才關注小偷的作案金額數量。
如果基於資料安全的理念,備案應優先重點關注家裡的物品是否損失,包括偷看,偷摸,偷盜,銷燬等造成個人財產損失的資產資訊。這種理念的差異會導致案情界定的不一致。對於資料庫操作來說也是一樣的,資料庫審計可以輕易判斷sql語句是否有危害,但是針對同一個操作語句,比如 “select * from AA;”,卻缺乏判斷依據,其本身從行為上看對資料庫無害,但如果AA是儲存使用者帳號的表,那麼執行這條語句就可能會引發一起敏感資料洩漏事故。
所以必須依靠查詢的表物件和欄位列表來判斷,而這個偏業務的資訊靠人工梳理,效率低且難以實現。在這種輕資料的設計思路下,難以發揮出資料庫審計最佳的效果。
目前各家產品都實現了業務審計。所謂業務審計主要靠三層關聯審計,從人-應用-資料庫這三層的訪問鏈路關聯來進一步定位源訪問資訊。三層審計主要實現思路包括兩大類。一種是基於web流量和資料庫流量,從操作語句特徵、訪問時間戳等維度進行擬合。這種方式在併發量高的時候準確度低下,基本無法匹配上。另一種是基於agent方式,利用JAVA的特性,hook底層jdbc訪問層,實現web資訊和資料庫資訊的自動關聯。透過將資料日誌傳輸到資料庫審計系統統一儲存和展示。
這種實現方式精度高,基本無誤報漏報,對於業務方也無需做網路改造和業務改造。但是需要在應用系統載入外掛,共享一個程式,會帶來一定的效能損耗和穩定性風險。使用者對這一方法的接受度也不太高。所以目前雖然說三層關聯,但是真正落地產生價值的並不多。
透過以上分析,我們總結了一些技術點,在資料安全時代,可以讓資料庫審計發揮更大的價值。
資料庫審計下行流量帶有大量的敏感資訊。充分利用資料分類分級管理成果,建立一套成熟有效的更新機制,對訪問敏感的資料庫表、欄位進行重點審計。建立一套依賴於AI能力的資料基線,從使用者帳號、獲取敏感資料量、執行時間段、流量等各個維度綜合判斷異常。由於現實中,儲存能力有限,應該根據分類分級的欄位列表,選擇性的儲存關鍵表、關鍵欄位。
業務關聯有利於提升整體的審計價值,追溯定位到真正的人。如前所述,兩種主流實現方式都有自己的弊端。如果我們從資料自身出發,不再追求操作行為的一致性,那麼問題似乎會好解決一些。比如:使用者透過瀏覽器發起一個請求,返回了一串手機號列表,同時後臺資料庫也發生了一起查詢事件,返回了一串手機號列表。透過判斷二者資料的強關聯性,自動將訪問資訊和資料庫操作行為關聯繫結,儘管二者在內部業務實現邏輯上是不一致的。不斷的從二者返回資料中進行模式匹配,不再基於時間戳和訪問特徵的擬合,準確率會大大提高,真正的做到業務關聯審計。
不管是自建大資料分析引擎、引入UEBA技術理念,進行使用者行為分析,刻畫使用者畫像還是將資料轉發給第三方大資料分析平臺,自身退化成流量探針,對於資料庫審計來說,審計結果展示和利用智慧化都不可避免。隨著審計資料量的暴漲,傳統的儲存引擎不再適用,大資料分散式儲存引擎正在大規模的引入。在資料安全背景下,資料庫審計探針化、SDK化幾乎不可避免。
資料庫審計是一個成熟化很高的產品,短期內看不到具有挑戰性的發展路線圖。在資料安全治理背景下,需要主動適應,做一些改變,才能更好的發揮資料庫安全價值。
原文地址:https://www.linuxprobe.com/data-security-perspective.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2729306/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 【審計】標準資料庫審計資料庫
- iOS資料庫技術進階iOS資料庫
- 4月22日丨【雲資料庫技術沙龍】技術進化,讓資料更智慧資料庫
- 資料庫審計-hexorbase資料庫HexoORB
- 拍拍貸資料庫審計資料庫
- 資料庫DDL操作審計資料庫
- Oracle資料庫效能優化技術(zt)Oracle資料庫優化
- MySQL資料庫審計系統MySql資料庫
- Access資料庫審計工具mdbtools資料庫
- ORACLE 資料庫審計詳解Oracle資料庫
- ORACLE資料庫標準審計Oracle資料庫
- 審計Oracle資料庫的使用Oracle資料庫
- 淺談PHP自動化程式碼審計技術PHP
- Oracle資料庫效能最佳化技術(轉)Oracle資料庫
- 開啟mysql 資料庫審計功能。MySql資料庫
- Oracle資料庫審計功能介紹Oracle資料庫
- openGauss 設定資料庫審計資料庫
- PHP自動化白盒審計技術與實現PHP
- Oracle資料庫效能最佳化技術(轉載)Oracle資料庫
- 《智慧城市資料庫審計與文件加密技術規範》釋出資料庫加密
- 資料庫安全審計在資料安全中的功能資料庫
- 安全管理:polardb資料庫審計功能資料庫
- 向量資料庫技術全景資料庫
- Java的資料庫程式設計(JDBC)技術[轉]Java資料庫程式設計JDBC
- Oracle FGA細粒度審計——基於內容的資料庫審計(一)Oracle資料庫
- Oracle FGA細粒度審計——基於內容的資料庫審計(二)Oracle資料庫
- Oracle FGA細粒度審計——基於內容的資料庫審計(三)Oracle資料庫
- 資料庫全量SQL分析與審計系統效能優化之旅資料庫SQL優化
- 分散式資料庫技術的演進和發展方向分散式資料庫
- 分散式 SQL 資料庫與表格最佳化技術分散式SQL資料庫
- 有沒有完全自主的國產化資料庫技術資料庫
- 謹慎做資料庫技術的標準化(轉)資料庫
- 審計資料庫登陸登出觸發器資料庫觸發器
- 資料庫審計(create/alter/drop table、user、tablespace)資料庫
- mysql資料庫分割槽技術MySql資料庫
- 資料庫壓縮技術探索資料庫
- ORACLE資料庫恢復技術Oracle資料庫
- 資料庫注入技術小結資料庫