场景痛点!应用关联审计视角下的数据库审计安全
2022-8-4 0:00:00浏览量:949编辑:管理员来源:天畅
数据是企业业务的根本,数据库是企业数据的载体,数据库系统是企业信息系统的心脏,数字化社会的急速发展,让企业数据库存储信息的价值和可访问性得到迅猛提升的同时,却也致使数据库存储的信息资产面临着严峻挑战。
2018年8月,华住集团旗下所有酒店数据泄露,泄露的数据包含用户注册资料,入住登记信息,开房记录三类总共约5亿条用户信息,售卖8比特币。
2017年6月,电商丽人丽妆员工利用管理员权限泄露消费者信息1000多万条,获利20多万。
数据库是整个应用系统的核心,有70%以上的泄密事件与数据库相关。数据库安全面临几个主要的风险:
-
网络黑客:利用漏洞,窃取数据!黑客利用数据库系统和WEB系统普遍存在代码级以及逻辑设计上的缺陷,即系统漏洞。外部黑客可以利用这些漏洞发起攻击,入侵数据库,达到窃取、篡改数据的目的。
-
数据使用:内部的工作人员,由于工作便利,可能通过内部网络,访问到数据库服务器。一旦进入数据库所在主机,则可以拷贝、盗取数据库文件,通过解析工具或异地还原即可获得所有用户信息资料。
-
运维场景:权限过高,导致泄露,系统维护人员负责数据库的维护管理,直接掌握数据库DBA用户的口令;这些人员被他人利用,完全可以随时登陆数据库,任意进行客户信息的获取。
-
审计日志不完整导致安全事件难以追查定位;
-
达不到等保明确要求;
-
满足不了行业信息安全合规性文件要求;
数据库系统是一个复杂而又关键的系统,数据库存在各种管理和技术上的风险,如果这些风险变为事实,那么企业数据将遭受严重的经济损失和法律风险。数据库产生安全问题时,具有非常强的隐蔽性,非常难以追查和定位,因为无法查找问题发生的痕迹和证据。因此,数据库安全审计系统成为数据库安全的重要组成部分,它可以通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访问活动一目了然,有据可查,及时掌握数据库的使用情况,并可以对安全隐患进行调整和优化。“谁动了我的数据库”是现在的技术及管理手段需要回答的问题!虽然数据库系统都拥有自身审计功能,但却存在一些不足。
开启自身审计后影响应用系统性能,降低10%左右的性能,影响到正常业务。
数据库自身审计相当于又当运动员又当裁判,不符合相关法规的合规要求,也丧失了审计的中立性和独立性原则。
自身审计采用明文存储,授权用户可以随意修改和删除。
在安全事故发生后,查询和分析极为困难,难以帮助管理员发现和定位问题。各种数据库系统的审计信息格式复杂,不统一,难以集中审计,影响审计效果。
为了减少或者解决数据库安全问题,我们必须进行有效干预,比如采用一些数据库安全技术去实现就是非常好的思路。目前,数据库安全技术主要包括:数据库漏洞扫描、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统等。其中,数据库安全审计系统是数据安全防线中不可缺少的技术手段。
传统的数据库审计产品的审计结果大多以数据库为单位呈现,也就是:某个数据库被谁访问,对数据库进行了哪些操作,操作中存在哪些风险或者违规行为。数据安全治理理念,以应用用户为视角的谁访问了哪些数据,对这些数据进行了哪些操作,这些操作行为是否合规成为一个全新的数据库审计视角。基于这种以应用发起者为出发点,通过哪些应用业务的请求,最终访问了哪些数据,数据库审计全新应用关联审计顺势而出。
在新的应用关联审计视角下,构建了4级应用框架结构,应用请求-应用模块-应用行为-应用:
针对某类相同和相似的应用请求,去除参数化的URL模板(类似于SQL语句模板概念);
多个应用行为的组合,归属于一组功能模块的集合,对应应用服务器的功能菜单;
以应用服务器IP+应用服务器端口+应用工程名定义的一个应用系统。
能够针对外部SQL注入、缓冲区溢出、权限提升、拒绝服务攻击、内部高危操作等危险行为实时监控告警。帮助用户及时采取安全手段,防范安全风险。
对数据库的登录和操作行为建立和健全行为分析模型,提供风险预警,帮助客户构建数据安全管理规范和制度;
满足“网络安全法”的要求,为业务系统数据库存储百亿条的日志信息。
对于应用系统访问数据库的行为实时监控,追溯访问来源可定位终端的应用用户信息。 从应用系统的业务行为追溯数据库风险,关联分析应用操作行为(URL)和数据库操作行为(SQL)。
数据库审计系统实现数据库访问流量全捕获,基于语义语法的精准SQL语句解析能力,具备100%应用关联技术,准确审计访问来源。实现100%无漏审,零误报。
数据库安全审计产品界面简单易用、操作方便。提供SQL语句翻译能力,帮助非技术人员快速了解数据库访问情况。免实施、免培训,可快速掌握上手的数据库审计产品。
数据库安全审计系统支持国际主流数据库:Oracle、SQL Server、MySQL、MariaDB、DB2、PostgreSQL、Sybase、Informix、CacheDB、GP、SAP HANA、Teradata等;支持国产数据库:SgrDB、DM、GBase、KingBase、Oscar等;非关系型数据库:支持MongoDB、Redis等数据库;支持Hive、HBase、Impala、Sentry、HDFS、ES等大数据组件。
数据库审计产品的审计元素包括:表、函数、包、存储过程、视图、数据库登陆用户、客户端ip、端口、MAC、客户端操作系统、用户名、客户端工具、影响行数、结果集、执行时间、操作类型、长语句、大对象、mysql压缩协议、dblink、imp、exp、prepare参数等,这些全面的审计元素实现了数据库审计产品审计结果的全面性。
数据库审计产品基于精确的数据库通讯协议解析,采用句柄追踪\参数绑定追踪和基于词法和语法的SQL解析技术,可以实现在长SQL语句、高并发访问量时不丢包;在多SQL语句情况下,准确记录数据库语句是否执行成功;对于prepare语句,准确将参数值与原始语句和绑定变量关联;对SQL执行结果集进行准确追踪,从而准确记录SQL语句的影响行数。
应用审计视角下的4层应用框架结构保障应用关联审计的准确性
数据库审计产品在新的应用关联审计视角下,构建了4级应用框架结构,应用请求-应用模块-应用行为-应用。
完整的风险匹配规则与多样化的告警方式实现全面风险发现与及时告警
基于横向的黑白名单匹配规则以及黑白名单SQL语句,以及纵向的高中低等风险等级设置,实现准确的数据库访问风险行为匹配。snmp、syslog、短信、邮件等多样性的告警方式,保证数据库风险行为的实时告警。
数据库安全审计产品,不仅在等保2.0合规强制要求中有体现,还是数据库遭受安全风险及数据泄露的事后查证手段,更是数据生命全周期安全保障中的重要技术措施。在大力发展数字经济的当下,依法保障数据安全性,已经是数字经济时代不可或缺的重要环节。