數(shù)據(jù)安全視角下的數(shù)據(jù)庫審計技術(shù)進(jìn)化

一、數(shù)據(jù)安全的核心

隨著《數(shù)據(jù)安全法》草案的審議通過，數(shù)據(jù)安全被提升到了國家安全級別的重要地位，數(shù)據(jù)變成如同水電一般重要的生產(chǎn)要素。保障數(shù)據(jù)安全發(fā)展和利用，是各個生產(chǎn)部門，監(jiān)管單位的重要責(zé)任。數(shù)據(jù)安全能力建設(shè)也緊緊圍繞著數(shù)據(jù)這一關(guān)鍵要素的生存周期來展開，以此理念而誕生的DSMM框架逐漸成為主流建設(shè)規(guī)范。數(shù)據(jù)庫作為數(shù)據(jù)的核心載體，其安全防護(hù)是重中之重，而數(shù)據(jù)庫審計則是數(shù)據(jù)庫安全防御體系的重要組成部分。本文將嘗試從“以數(shù)據(jù)為中心”的角度來重新梳理數(shù)據(jù)庫審計的技術(shù)進(jìn)化方向。

二、數(shù)據(jù)庫審計的重要性

數(shù)據(jù)庫審計在gartner咨詢機(jī)構(gòu)2019年發(fā)布的安全產(chǎn)品超生存周期圖譜中，與數(shù)據(jù)庫加密等產(chǎn)品一起劃到了成熟期產(chǎn)品里。作為一款指向性很強(qiáng)，基本不太容易走偏的安全產(chǎn)品，其發(fā)展路程經(jīng)歷了數(shù)據(jù)庫日志審計、數(shù)據(jù)庫流量審計、數(shù)據(jù)庫業(yè)務(wù)審計與防護(hù)等多個階段。在數(shù)據(jù)庫安全防御矩陣中起到了核心角色作用，也是等保合規(guī)建設(shè)中的“基本款”。

三、數(shù)據(jù)庫審計的不足

數(shù)據(jù)庫審計發(fā)展成熟，其作為單品已經(jīng)完備而且基本滿足客戶需求，就如同20世紀(jì)初湯姆生說的，物理大廈已經(jīng)建成，天空一片晴朗，只有那兩朵烏云遮罩。在這兩年的數(shù)據(jù)安全新的發(fā)展形勢下，這兩朵烏云逐漸放大、彌漫，我們從業(yè)人員已經(jīng)不得不對其保持高度重視態(tài)度。

1、重行為，輕數(shù)據(jù)的審計思路

傳統(tǒng)的數(shù)據(jù)庫審計注重上行流量審計，關(guān)注用戶做什么，怎么做。這不止是安全企業(yè)的實現(xiàn)思路問題，相關(guān)安全審計國標(biāo)要求里也是大篇幅描述操作行為審計。在傳統(tǒng)的網(wǎng)絡(luò)安全中，注重操作的合規(guī)性，這可以理解，但是這一側(cè)重點違背了以數(shù)據(jù)為中心的核心理念。我們以一個小偷入室偷竊為例子，備案重點記錄小偷是否入室，用的什么工具，何時何地作案等行為，然后才關(guān)注小偷的作案金額數(shù)量。如果基于數(shù)據(jù)安全的理念，備案應(yīng)優(yōu)先重點關(guān)注家里的物品是否損失，包括偷看，偷摸，偷盜，銷毀等造成個人財產(chǎn)損失的資產(chǎn)信息。這種理念的差異會導(dǎo)致案情界定的不一致。對于數(shù)據(jù)庫操作來說也是一樣的，數(shù)據(jù)庫審計可以輕易判斷sql語句是否有危害，但是針對同一個操作語句，比如 “select * from AA；”，卻缺乏判斷依據(jù)，其本身從行為上看對數(shù)據(jù)庫無害，但如果AA是存儲用戶帳號的表，那么執(zhí)行這條語句就可能會引發(fā)一起敏感數(shù)據(jù)泄漏事故。所以必須依靠查詢的表對象和字段列表來判斷，而這個偏業(yè)務(wù)的信息靠人工梳理，效率低且難以實現(xiàn)。在這種輕數(shù)據(jù)的設(shè)計思路下，難以發(fā)揮出數(shù)據(jù)庫審計的效果。

2、業(yè)務(wù)審計，只是三層關(guān)聯(lián)怎么夠

目前各家產(chǎn)品都實現(xiàn)了業(yè)務(wù)審計。所謂業(yè)務(wù)審計主要靠三層關(guān)聯(lián)審計，從人-應(yīng)用-數(shù)據(jù)庫這三層的訪問鏈路關(guān)聯(lián)來進(jìn)一步定位源訪問信息。三層審計主要實現(xiàn)思路包括兩大類。一種是基于web流量和數(shù)據(jù)庫流量，從操作語句特征、訪問時間戳等維度進(jìn)行擬合。這種方式在并發(fā)量高的時候準(zhǔn)確度低下，基本無法匹配上。另一種是基于agent方式，利用JAVA的特性，hook底層jdbc訪問層，實現(xiàn)web信息和數(shù)據(jù)庫信息的自動關(guān)聯(lián)。通過將數(shù)據(jù)日志傳輸?shù)綌?shù)據(jù)庫審計系統(tǒng)統(tǒng)一存儲和展示。這種實現(xiàn)方式精度高，基本無誤報漏報，對于業(yè)務(wù)方也無需做網(wǎng)絡(luò)改造和業(yè)務(wù)改造。但是需要在應(yīng)用系統(tǒng)加載插件，共享一個進(jìn)程，會帶來一定的性能損耗和穩(wěn)定性風(fēng)險。用戶對這一方法的接受度也不太高。所以目前雖然說三層關(guān)聯(lián)，但是真正落地產(chǎn)生價值的并不多。

三、數(shù)據(jù)庫審計新技術(shù)思路

通過以上分析，總結(jié)了一些技術(shù)點，在數(shù)據(jù)安全時代，可以讓數(shù)據(jù)庫審計發(fā)揮更大的價值。

• 突顯數(shù)據(jù)審計

數(shù)據(jù)庫審計下行流量帶有大量的敏感信息。充分利用數(shù)據(jù)分類分級管理成果，建立一套成熟有效的更新機(jī)制，對訪問敏感的數(shù)據(jù)庫表、字段進(jìn)行重點審計。建立一套依賴于AI能力的數(shù)據(jù)基線，從用戶帳號、獲取敏感數(shù)據(jù)量、執(zhí)行時間段、流量等各個維度綜合判斷異常。由于現(xiàn)實中，存儲能力有限，應(yīng)該根據(jù)分類分級的字段列表，選擇性的存儲關(guān)鍵表、關(guān)鍵字段。

• 全面擁抱業(yè)務(wù)審計

業(yè)務(wù)關(guān)聯(lián)有利于提升整體的審計價值，追溯定位到真正的人。如前所述，兩種主流實現(xiàn)方式都有自己的弊端。如果我們從數(shù)據(jù)自身出發(fā)，不再追求操作行為的一致性，那么問題似乎會好解決一些。比如：用戶通過瀏覽器發(fā)起一個請求，返回了一串手機(jī)號列表，同時后臺數(shù)據(jù)庫也發(fā)生了一起查詢事件，返回了一串手機(jī)號列表。通過判斷二者數(shù)據(jù)的強(qiáng)關(guān)聯(lián)性，自動將訪問信息和數(shù)據(jù)庫操作行為關(guān)聯(lián)綁定，盡管二者在內(nèi)部業(yè)務(wù)實現(xiàn)邏輯上是不一致的。不斷的從二者返回數(shù)據(jù)中進(jìn)行模式匹配，不再基于時間戳和訪問特征的擬合，準(zhǔn)確率會大大提高，真正的做到業(yè)務(wù)關(guān)聯(lián)審計。

• 擁抱大數(shù)據(jù)時代

不管是自建大數(shù)據(jù)分析引擎、引入UEBA技術(shù)理念，進(jìn)行用戶行為分析，刻畫用戶畫像還是將數(shù)據(jù)轉(zhuǎn)發(fā)給第三方大數(shù)據(jù)分析平臺，自身退化成流量探針，對于數(shù)據(jù)庫審計來說，審計結(jié)果展示和利用智能化都不可避免。隨著審計數(shù)據(jù)量的暴漲，傳統(tǒng)的存儲引擎不再適用，大數(shù)據(jù)分布式存儲引擎正在大規(guī)模的引入。在數(shù)據(jù)安全背景下，數(shù)據(jù)庫審計探針化、SDK化幾乎不可避免。

四、總結(jié)

數(shù)據(jù)庫審計是一個成熟化很高的產(chǎn)品，短期內(nèi)看不到具有挑戰(zhàn)性的發(fā)展路線圖。在數(shù)據(jù)安全治理背景下，需要主動適應(yīng)，做一些改變，才能更好的發(fā)揮數(shù)據(jù)庫安全價值。

文章名稱：數(shù)據(jù)安全視角下的數(shù)據(jù)庫審計技術(shù)進(jìn)化
當(dāng)前鏈接：http://www.muchs.cn/news47/267447.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、云服務(wù)器、網(wǎng)站維護(hù)、標(biāo)簽優(yōu)化、網(wǎng)站制作、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)